KsDumper 修改版
KsDumper应该有人听过吧,用驱动来绕过各种保护来从内存中dump模块,挺好用一工具,但是问题是他只能dump主模块。这是原版:https://github.com/EquiFox/KsDumper
事情经过:
昨天想整赛马娘发现 GameAssembly.dll 是加壳的,IL2CPPDumper没法用,脱壳我就懒得脱了我就想到直接去从内存里dump,
然后打开Explorer suite的task explorer发现整不了这玩意,连模块信息都看不到。 然后一看好家伙这玩意还有个Umamusume64.sys来保护
然后就想到了以前dump codol用的ksDumper,然后发现他只能dump主模块,
于是我折腾一晚上各种蓝屏(以前没写过驱动233)
加了个dump子模块的功能(只读了peb64,所以32位的模块信息没有读,但是我不需要所以没有加)
Github:https://github.com/GEEKiDoS/ksDumper
使用方法:和原版一样,
先运行 LoadCapcom.bat 加载 Capcom 驱动,
然后运行 LoadUnsignedDriver.bat 来通过capcom驱动的漏洞来加载dumper的内核模块
然后打开 KsDumperClient.exe 就可以了
已知问题:
快速切换当前选中的进程名会导致蓝屏23333 本帖最后由 GEEKiDoS 于 2021-3-31 12:05 编辑
vipcrack 发表于 2021-3-31 10:51
为什么我原版和这个都用管理员权限运行CMD命令,都出错?
系统是Win7 x64,不知道啥原因,请指点。
可能是drvmap这个工具只能win10用 你试试别的方法加载驱动
原作者的readme里写的:
It is unsigned so you need to load it however you want. I'm using drvmap for Win10.
不过驱动编译的时候的目标系统和sdk是win10,win7加载了也会蓝屏吧 GEEKiDoS 发表于 2021-3-31 12:00
可能是drvmap这个工具只能win10用 你试试别的方法加载驱动
原作者的readme里写的:
感谢解答,暂时用WIN7,这个用不上。
drvmap没找到win7版本的 感谢分享 真厉害啊。没写过驱动的人 感谢楼主分享,谢谢啦 多谢分享!!! 谢谢分享。打算自己好好研究研究。 感谢楼主分享,支持一下! 谢谢分享啊 感谢分享!
感谢分享