Eu sempre tive interesse em engenharia reversa . Alguns dias atrás, eu queria olhar para alguns, jogos internos por diversão, mas ele estava empacotado e protegido pela EAC (EasyAntiCheat). Isso significa que sua alça foi removida e não foi possível despejar o processo do Ring3. Decidi tentar criar um driver personalizado que me permitisse copiar a memória do processo sem usar o OpenProcess. Como eu não sabia nada sobre o kernel do Windows , a estrutura de arquivos do PE, passei muito tempo lendo artigos e fóruns para fazer esse projeto.

Recursos

• Despejar qualquer módulo principal do processo usando um driver de kernel (x86 e x64)
• Reconstruir cabeçalho e seções PE32 / PE64
• Funciona em processos do sistema protegido e com alças despojadas (anti-cheats)

Nota : A tabela de importação não é reconstruída.

Uso
Antes de usar o KsDumperClient, o driver KsDumper precisa ser carregado.
Como não está assinado, é necessário carregá-lo da maneira que desejar. Estou usando o drvmap para Win10. Tudo é fornecido nesta versão se você quiser usá-lo também.

• Execute Driver/LoadCapcom.batcomo administrador. Não pressione nenhuma tecla ou feche a janela ainda!
• Execute Driver/LoadUnsignedDriver.batcomo administrador.
• Pressione enter no LoadCapcomcmd para descarregar o driver.
• Corra KsDumperClient.exe.
• Lucro!

Nota : O driver permanece carregado até a reinicialização; portanto, se você fechar o KsDumperClient.exe, poderá reabri-lo!
Nota2 : Embora possa despejar os processos x86 e x64, isso deve ser executado no Windows x64.

Referências

• https://github.com/not-wlan/drvmap
• https://github.com/Zer0Mem0ry/KernelBhop
• https://github.com/NtQuery/Scylla/
• http://terminus.rewolf.pl/terminus/
• https://www.unknowncheats.me/

Compile-se

• Requer Visual Studio 2017
• Requer o Windows Driver Kit (WDK)
• Requer .NET 4.6.1

Baixar KsDumper