KsDumper
v1.1
Благодаря mastercodeon314 теперь есть порт, работающий на Windows 11. Наслаждайтесь!
https://github.com/mastercodeon314/KsDumper-11
Меня всегда интересовал реверс-инжиниринг. Несколько дней назад я хотел ради интереса взглянуть на внутренности игры, но она была упакована и защищена EAC (EasyAntiCheat). Это означает, что его дескриптор был удален, и мне не удалось выгрузить процесс из Ring3. Я решил попробовать создать собственный драйвер, который позволил бы мне копировать память процесса без использования OpenProcess. Я ничего не знал о ядре Windows и файловой структуре PE, поэтому потратил много времени на чтение статей и форумов, чтобы создать этот проект.
Примечание . Таблица импорта не перестраивается.
Перед использованием KsDumperClient необходимо загрузить драйвер KsDumper.
Он не подписан, поэтому вам нужно загрузить его так, как вы хотите. Я использую drvmap для Win10. В этом выпуске есть все, если вы тоже захотите его использовать.
Driver/LoadCapcom.bat от имени администратора. Пока не нажимайте никаких клавиш и не закрывайте окно!Driver/LoadUnsignedDriver.bat от имени администратора.LoadCapcom , чтобы выгрузить драйвер.KsDumperClient.exe . Примечание . Драйвер остается загруженным до перезагрузки, поэтому, если вы закроете KsDumperClient.exe, вы сможете просто открыть его снова!
Примечание 2. Несмотря на то, что он может создавать дампы как процессов x86, так и x64, он должен работать в Windows x64.
Этот проект стал для меня способом узнать о ядре Windows, файловой структуре PE и взаимодействии ядра и пользовательского пространства. Он был доступен только для информационных и образовательных целей.
Учитывая характер этого проекта, настоятельно рекомендуется запускать его в Virtual Environment . Я не несу ответственности за сбой или повреждение, которое может произойти с вашей системой.
Важно : Этот инструмент не пытается скрыть себя. Если вы нацелены на защищенные игры, античит может пометить это как чит и через некоторое время забанить вас. Используйте Virtual Environment !
