KsDumper

感谢mastercodeon314，现在有一个可以在 Windows 11 上运行的端口。尽情享受吧！
https://github.com/mastercodeon314/KsDumper-11

我一直对逆向工程感兴趣。几天前，我想看看一些游戏内部的乐趣，但它被 EAC（EasyAntiCheat）打包和保护。这意味着它的句柄被剥夺了，我无法从 Ring3 转储该进程。我决定尝试制作一个自定义驱动程序，允许我在不使用 OpenProcess 的情况下复制进程内存。我对Windows内核、PE文件结构一无所知，所以我花了很多时间阅读文章和论坛来制作这个项目。

• 使用内核驱动程序转储任何进程主模块（x86 和 x64）
• 重建 PE32/PE64 标头和部分
• 适用于受保护的系统进程和带有剥离句柄的进程（反作弊）

注意：导入表不会重建。

在使用KsDumperClient之前，需要加载KsDumper驱动程序。

它是未签名的，因此您需要根据需要加载它。我在 Win10 上使用 drvmap。如果您也想使用它，此版本中提供了所有内容。

• 以管理员身份运行Driver/LoadCapcom.bat 。暂时不要按任何键或关闭窗口！
• 以管理员身份运行Driver/LoadUnsignedDriver.bat 。
• 在LoadCapcom cmd 中按 Enter 键卸载驱动程序。
• 运行KsDumperClient.exe 。
• 利润 ！

注意：驱动程序将保持加载状态，直到您重新启动，因此如果您关闭 KsDumperClient.exe，您可以重新打开它！
注意2 ：尽管它可以转储 x86 和 x64 进程，但它必须在 x64 Windows 上运行。

这个项目是我了解 Windows 内核、PE 文件结构和内核与用户空间交互的一种方式。它仅供参考和教育目的。

考虑到该项目的性质，强烈建议在Virtual Environment中运行它。我对您的系统可能发生的任何崩溃或损坏不承担任何责任。

重要提示：此工具不会尝试隐藏自身。如果您的目标是受保护的游戏，反作弊程序可能会将其标记为作弊，并在一段时间后禁止您。使用Virtual Environment ！

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

• 需要 Visual Studio 2017
• 需要 Windows 驱动程序工具包 (WDK)
• 需要.NET 4.6.1