KsDumper
저는 항상 리버스 엔지니어링에 관심이있었습니다. 며칠 전 재미를 위해 게임 내부를 살펴보고 싶었지만 EAC (EasyAntiCheat)에 의해 포장되고 보호되었습니다. 이것은 핸들이 벗겨졌고 Ring3에서 프로세스를 덤프 할 수 없음을 의미합니다. OpenProcess를 사용하지 않고 프로세스 메모리를 복사 할 수있는 사용자 지정 드라이버를 만들기로 결정했습니다. 저는 Windows 커널, PE 파일 구조에 대해 전혀 몰랐기 때문에이 프로젝트를 만들기 위해 기사와 포럼을 읽는 데 많은 시간을 보냈습니다.
풍모
- 커널 드라이버 (x86 및 x64 모두)를 사용하여 프로세스 기본 모듈을 덤프합니다.
- PE32 / PE64 헤더 및 섹션 다시 작성
- 핸들이 제거 된 보호 된 시스템 프로세스 및 프로세스에서 작동 (치트 방지)
참고 : 가져 오기 테이블은 다시 작성되지 않습니다.
용법
KsDumperClient를 사용하기 전에 KsDumper 드라이버를로드해야합니다.
서명되지 않았으므로 원하는대로로드해야합니다. Win10에 drvmap을 사용하고 있습니다. 이 릴리스에서도 사용하려는 경우 모든 것이 제공됩니다.
- Driver/LoadCapcom.bat관리자로 실행 합니다. 아직 아무 키도 누르거나 창을 닫지 마십시오!
- Driver/LoadUnsignedDriver.bat관리자로 실행 합니다.
- LoadCapcomcmd 에서 Enter를 눌러 드라이버를 언로드하십시오.
- 를 실행하십시오 KsDumperClient.exe.
- 이익!
참고 : 드라이버는 재부팅 할 때까지로드 된 상태로 유지되므로 KsDumperClient.exe를 닫으면 다시 열 수 있습니다!
참고 2 : x86 및 x64 프로세스를 모두 덤프 할 수 있지만 x64 Windows에서 실행해야합니다.
부인 성명
이 프로젝트는 Windows 커널, PE 파일 구조 및 커널-사용자 공간 상호 작용에 대해 배울 수있는 방법이었습니다. 정보 및 교육 목적으로 만 사용할 수 있습니다.
이 프로젝트의 특성을 고려할 때 Virtual Environment. 귀하의 시스템에 발생할 수있는 충돌이나 손상에 대해 책임지지 않습니다.
중요 :이 도구는 자신을 숨기려고하지 않습니다. 보호 된 게임을 표적으로 삼는 경우 치트 방지는이를 치트로 표시하고 잠시 후 사용자를 금지 할 수 있습니다. 를 사용 Virtual Environment!
참고 문헌
- https://github.com/not-wlan/drvmap
- https://github.com/Zer0Mem0ry/KernelBhop
- https://github.com/NtQuery/Scylla/
- http://terminus.rewolf.pl/terminus/
- https://www.unknowncheats.me/
직접 컴파일
- Visual Studio 2017 필요
- WDK (Windows Driver Kit) 필요
- .NET 4.6.1 필요
https://github.com/aweNousaku/KsDumper
'개인 저장' 카테고리의 다른 글
| 세금 내용 총정리 (0) | 2020.08.12 |
|---|---|
| 신규 데이터 학습 (0) | 2020.08.10 |
| WDK (Windows 드라이버 키트) 다운로드 (0) | 2020.08.07 |
| HDTunePro5.6.exe (0) | 2020.08.07 |
| D.I.E (Detect it Easy) 3.0버전 (0) | 2020.08.05 |
