0netdbg/KsDumperDriver

# KsDumperDriver (KsDumper)  我一直对逆向工程很感兴趣。几天前，我想查看一些游戏内部结构来娱乐一下，但它被 EAC（EasyAntiCheat）打包和保护了。 这意味着它的句柄被剥离了，我无法从 Ring3 转储进程。我决定尝试制作一个自定义驱动程序，允许我在不使用 OpenProcess 的情况下复制进程内存。 我对 Windows 内核和 PE 文件结构一无所知，所以花了很多时间阅读文章和论坛来完成这个项目。 ## 功能 - 使用内核驱动程序转储任意进程主模块（x86 和 x64 均可） - 重建 PE32/PE64 头和节 - 适用于受保护的系统进程和被剥离句柄的进程（反作弊） **注意**：未重建导入表。 ## 使用方法 在使用 KsDumperClient 之前，需要先加载 KsDumper 驱动程序。 由于它未签名，您需要以任何您想要的方式加载它。我在 Win10 上使用 drvmap。 如果您也想使用，本版本中提供了所有内容。 - 以管理员身份运行 `Driver/LoadCapcom.bat`。先不要按任何键或关闭窗口！ - 以管理员身份运行 `Driver/LoadUnsignedDriver.bat`。 - 在 `LoadCapcom` 命令窗口中按回车键以卸载驱动程序。 - 运行 `KsDumperClient.exe`。 - 大功告成！ **注意**：驱动程序会保持加载状态直到您重启，所以如果您关闭了 KsDumperClient.exe，可以直接重新打开它！ **注意2**：虽然它可以转储 x86 和 x64 进程，但必须在 x64 Windows 上运行。 ## 免责声明 这个项目是我学习 Windows 内核、PE 文件结构和内核-用户空间交互的一种方式。它仅供信息和教育目的提供。 考虑到这个项目的性质，强烈建议在 `Virtual Environment`（虚拟环境）中运行。我不对可能发生在您系统上的任何崩溃或损坏负责。 **重要提示**：此工具不会尝试隐藏自己。如果您针对受保护的游戏，反作弊可能会将其标记为作弊并在一段时间后禁止您。使用 `Virtual Environment`（虚拟环境）！ ## 参考资料 - https://github.com/not-wlan/drvmap - https://github.com/Zer0Mem0ry/KernelBhop - https://github.com/NtQuery/Scylla/ - http://terminus.rewolf.pl/terminus/ - https://www.unknowncheats.me/ ## 自行编译 - 需要 Visual Studio 2017 - 需要 Windows Driver Kit (WDK) - 需要 .NET 4.6.1

标签：Capcom, CTF工具, drvmap, EasyAntiCheat, HTTP工具, PE32, PE64, PE文件结构, Ring0, Ruby on Rails, SSH蜜罐, UML, Windows内核, 云资产清单, 内存转储, 内核驱动, 反作弊绕过, 句柄剥离, 子域名枚举, 客户端加密, 恶意软件工具, 未签名驱动, 游戏作弊, 游戏安全, 漏洞搜索, 用户态内核态交互, 白帽子, 系统安全, 网络协议, 网络安全审计, 进程注入, 逆向工程, 驱动加载, 驱动程序