Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 280
- Реакции
- 6
Привет, амигос.
Возвращаюсь в строй и начинаю делиться своими наработками. Сегодня выкладываю свой Process-Dumper. Штука универсальная, работает с любой игрой, вне зависимости от наличия защиты типа Theia, Hyperion и прочих обфускаторов.
ВАЖНО: В комплекте идет драйвер, но он не является Undetected — это демонстрационный пример для понимания принципов работы.
О ТУЛЗЕ
Инструмент для дампинга зашифрованных процессов из памяти. Работает в рилтайме: мониторит страницы памяти, дожидается их расшифровки и пересобирает рабочий PE-файл на выходе.
КАК ЭТО РАБОТАЕТ
ФУНКЦИОНАЛ
ИСПОЛЬЗОВАНИЕ
Пример:
СБОРКА
СКАЧАТЬ
Парни, кто уже пробовал прогонять через него защищенные бинарники? Какие игры с какими протекторами тестили, как справляется с IAT? Делитесь результатами в треде.
Возвращаюсь в строй и начинаю делиться своими наработками. Сегодня выкладываю свой Process-Dumper. Штука универсальная, работает с любой игрой, вне зависимости от наличия защиты типа Theia, Hyperion и прочих обфускаторов.
ВАЖНО: В комплекте идет драйвер, но он не является Undetected — это демонстрационный пример для понимания принципов работы.
О ТУЛЗЕ
Инструмент для дампинга зашифрованных процессов из памяти. Работает в рилтайме: мониторит страницы памяти, дожидается их расшифровки и пересобирает рабочий PE-файл на выходе.
КАК ЭТО РАБОТАЕТ
- Kernel-драйвер: Считывает память целевого процесса через IOCTL (можно замапить через KDmapper), что обходит ограничения на чтение дескрипторов из юзермода.
- Мониторинг страниц: Отслеживает состояние страниц NOACCESS, которые становятся доступными после расшифровки.
- Ребилд PE: Восстанавливает заголовки, импорты и секции.
- Очистка: Удаляет битые записи RUNTIME_FUNCTION из директории исключений.
ФУНКЦИОНАЛ
- Import Resolution: Сканирует .rdata на предмет экспортируемых функций, создает новую секцию .rimport с валидной IAT и патчит ссылки call/jmp.
- Auto-stop threshold: Позволяет задать процент расшифровки (например, 0.5 для 50%), после которого дамп сохранится автоматически.
- Disk Fallback: Если страницу не удается прочитать из памяти, берет данные из файла на диске.
ИСПОЛЬЗОВАНИЕ
Код:
ProcessDumper.exe <process.exe> [-t threshold]Пример:
Код:
ProcessDumper.exe game.exe -t 0.5СБОРКА
- Открой ProcessDumper.sln в Visual Studio.
- Собери оба проекта: ProcessDumper (usermode) и IOCTL Driver (kernel).
- Замапь драйвер через KDmapper перед запуском дампера.
Идеи по разрешению импортов, исправлению директорий исключений и порогам расшифровки вдохновлены работой Vulkan (atrexus).
СКАЧАТЬ
Пожалуйста, авторизуйтесь для просмотра ссылки.
Пожалуйста, авторизуйтесь для просмотра ссылки.
Парни, кто уже пробовал прогонять через него защищенные бинарники? Какие игры с какими протекторами тестили, как справляется с IAT? Делитесь результатами в треде.
