Browse By

KsDumper – Processos de despejo usando o poder do espaço do kernel

 Eu sempre tive interesse em engenharia reversa . Alguns dias atrás, eu queria olhar para alguns, jogos internos por diversão, mas ele estava empacotado e protegido pela EAC (EasyAntiCheat). Isso significa que sua alça foi removida e não foi possível despejar o processo do Ring3. Decidi tentar criar um driver personalizado que me permitisse copiar a memória do processo sem usar o OpenProcess. Como eu não sabia nada sobre o kernel do Windows , a estrutura de arquivos do PE, passei muito tempo lendo artigos e fóruns para fazer esse projeto.


Recursos

  • Despejar qualquer módulo principal do processo usando um driver de kernel (x86 e x64)
  • Reconstruir cabeçalho e seções PE32 / PE64
  • Funciona em processos do sistema protegido e com alças despojadas (anti-cheats)

Nota : A tabela de importação não é reconstruída.

Uso
Antes de usar o KsDumperClient, o driver KsDumper precisa ser carregado.
Como não está assinado, é necessário carregá-lo da maneira que desejar. Estou usando o drvmap para Win10. Tudo é fornecido nesta versão se você quiser usá-lo também.

  • Execute Driver/LoadCapcom.batcomo administrador. Não pressione nenhuma tecla ou feche a janela ainda!
  • Execute Driver/LoadUnsignedDriver.batcomo administrador.
  • Pressione enter no LoadCapcomcmd para descarregar o driver.
  • Corra KsDumperClient.exe.
  • Lucro!

Nota : O driver permanece carregado até a reinicialização; portanto, se você fechar o KsDumperClient.exe, poderá reabri-lo!
Nota2 : Embora possa despejar os processos x86 e x64, isso deve ser executado no Windows x64.

Referências

Compile-se

  • Requer Visual Studio 2017
  • Requer o Windows Driver Kit (WDK)
  • Requer .NET 4.6.1

Baixar KsDumper

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.