KsDumper 修改版

GEEKiDoS · 发表于 2021-3-30 19:34

KsDumper应该有人听过吧，用驱动来绕过各种保护来从内存中dump模块，挺好用一工具，但是问题是他只能dump主模块。
这是原版：https://github.com/EquiFox/KsDumper

QQ截图20210330193209.jpg

事情经过：
昨天想整赛马娘发现 GameAssembly.dll 是加壳的，IL2CPPDumper没法用，脱壳我就懒得脱了我就想到直接去从内存里dump，
然后打开Explorer suite的task explorer发现整不了这玩意，连模块信息都看不到。然后一看好家伙这玩意还有个Umamusume64.sys来保护

[E%B%{GG1%5[HO`RG`FN.jpg

然后就想到了以前dump codol用的ksDumper，然后发现他只能dump主模块，
于是我折腾一晚上各种蓝屏（以前没写过驱动233）
加了个dump子模块的功能（只读了peb64，所以32位的模块信息没有读，但是我不需要所以没有加）

QQ截图20210330193357.jpg

Github：https://github.com/GEEKiDoS/ksDumper

使用方法：和原版一样，
先运行 LoadCapcom.bat 加载 Capcom 驱动，
然后运行 LoadUnsignedDriver.bat 来通过capcom驱动的漏洞来加载dumper的内核模块
然后打开 KsDumperClient.exe 就可以了

已知问题：
快速切换当前选中的进程名会导致蓝屏23333

GEEKiDoS · 发表于 2021-3-31 12:00

本帖最后由 GEEKiDoS 于 2021-3-31 12:05 编辑

vipcrack 发表于 2021-3-31 10:51
为什么我原版和这个都用管理员权限运行CMD命令，都出错？

系统是Win7 x64，不知道啥原因，请指点。

可能是drvmap这个工具只能win10用你试试别的方法加载驱动
原作者的readme里写的：

It is unsigned so you need to load it however you want. I'm using drvmap for Win10.

不过驱动编译的时候的目标系统和sdk是win10，win7加载了也会蓝屏吧

vipcrack · 发表于 2021-3-31 12:12

GEEKiDoS 发表于 2021-3-31 12:00
可能是drvmap这个工具只能win10用你试试别的方法加载驱动
原作者的readme里写的：

感谢解答，暂时用WIN7，这个用不上。

drvmap没找到win7版本的

sw6108251 · 发表于 2021-3-30 20:20

感谢分享

wildfire_810 · 发表于 2021-3-30 20:54

真厉害啊。没写过驱动的人

charm8888 · 发表于 2021-3-30 21:51

感谢楼主分享，谢谢啦

868083 · 发表于 2021-3-30 22:54

多谢分享！！！

yqjys123 · 发表于 2021-3-31 00:26

谢谢分享。打算自己好好研究研究。

lsz7575 · 发表于 2021-3-31 00:30

感谢楼主分享，支持一下！

fly19930620 · 发表于 2021-3-31 08:05

谢谢分享啊

lyliucn · 发表于 2021-3-31 08:50

感谢分享！

whngomj · 发表于 2021-3-31 09:45

感谢分享

帐号		自动登录	找回密码
密码			注册[Register]

[Other] KsDumper 修改版

免费评分

本帖被以下淘专辑推荐:

个人中心