KsDumper
v1.1
Graças ao mastercodeon314 agora existe uma porta funcionando no Windows 11. Aproveite!
https://github.com/mastercodeon314/KsDumper-11
Sempre tive interesse em engenharia reversa. Há alguns dias, eu queria dar uma olhada em alguns componentes internos do jogo para me divertir, mas eles estavam embalados e protegidos pelo EAC (EasyAntiCheat). Isso significa que seu identificador foi removido e não consegui despejar o processo do Ring3. Decidi tentar fazer um driver customizado que me permitisse copiar a memória do processo sem usar OpenProcess. Eu não sabia nada sobre o kernel do Windows e a estrutura de arquivos PE, então passei muito tempo lendo artigos e fóruns para fazer este projeto.
Nota : A tabela de importação não é reconstruída.
Antes de usar o KsDumperClient, o driver KsDumper precisa ser carregado.
Ele não está assinado, então você precisa carregá-lo como quiser. Estou usando o drvmap para Win10. Tudo é fornecido nesta versão se você quiser usá-lo também.
Driver/LoadCapcom.bat como administrador. Não pressione nenhuma tecla nem feche a janela ainda!Driver/LoadUnsignedDriver.bat como administrador.LoadCapcom para descarregar o driver.KsDumperClient.exe . Nota : O driver permanece carregado até você reiniciar, portanto, se você fechar o KsDumperClient.exe, poderá simplesmente reabri-lo!
Nota2 : Embora possa despejar processos x86 e x64, ele deve ser executado no Windows x64.
Este projeto foi uma forma de aprender sobre o kernel do Windows, a estrutura de arquivos PE e as interações entre o espaço do usuário e o kernel. Ele foi disponibilizado apenas para fins informativos e educacionais.
Considerando a natureza deste projeto, é altamente recomendável executá-lo em Virtual Environment . Não me responsabilizo por qualquer travamento ou dano que possa acontecer ao seu sistema.
Importante : Esta ferramenta não tenta se esconder. Se você tiver como alvo jogos protegidos, o anti-cheat poderá sinalizar isso como cheat e bani-lo depois de um tempo. Use um Virtual Environment !
