Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 280
- Реакции
- 6
Народ, решил поделиться наработкой. Основу кода пилил мой кент, я лишь довел до ума интерфейс и логику работы с драйвером. По сути — это инструмент для дампа памяти процесса прямо из Kernel-режима.
Технические требования:
Инструкция по эксплуатации:
Запускать строго от имени Администратора. Софт читает память цели через Kernel-драйвер, что позволяет обходить базовые ограничения юзермода. Указываем PID процесса, можно докинуть имя модуля (например, r5apex_dx12.exe), чтобы софт сам подцепил базовый адрес.
По дефолту дампится весь модуль согласно SizeOfImage в PE-заголовке, но размер можно задать вручную. Дамп сохраняется в out.bin — дальше юзайте pe_unmapper для восстановления в нормальный PE-формат.
Важное примечание:
Сам драйвер приложить не могу, так как он лицензионный — юзайте свой. Но я прикладываю доку по API-интерфейсу, чтобы вы понимали, какие функции драйвера ожидает этот дамп-инструмент.
Братва, кто уже ковырял дампы Apex через Kernel, есть какие-то идеи по оптимизации выгрузки памяти или обходу античита при чтении? Делитесь опытом в треде.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Технические требования:
- Драйвер: Нужно закинуть файл драйвера в корень проекта (рядом с DUMPER.cpp).
- Сборка: Открываем dumper.sln через Visual Studio, ставим Release | x64 и компилим.
- Результат: Исполняемый файл падает в папку x64\Release\dumper.exe.
Инструкция по эксплуатации:
Запускать строго от имени Администратора. Софт читает память цели через Kernel-драйвер, что позволяет обходить базовые ограничения юзермода. Указываем PID процесса, можно докинуть имя модуля (например, r5apex_dx12.exe), чтобы софт сам подцепил базовый адрес.
По дефолту дампится весь модуль согласно SizeOfImage в PE-заголовке, но размер можно задать вручную. Дамп сохраняется в out.bin — дальше юзайте pe_unmapper для восстановления в нормальный PE-формат.
Важное примечание:
Сам драйвер приложить не могу, так как он лицензионный — юзайте свой. Но я прикладываю доку по API-интерфейсу, чтобы вы понимали, какие функции драйвера ожидает этот дамп-инструмент.
Код:
// Documentation for Driver Interface
// Required functions: ReadVirtualMemory, GetBaseAddressБратва, кто уже ковырял дампы Apex через Kernel, есть какие-то идеи по оптимизации выгрузки памяти или обходу античита при чтении? Делитесь опытом в треде.
