Zitat Zitat von EBFE Beitrag anzeigen
Es basiert auf der Annahme, dass die üblichen RunPE APIs genutzt werden: CreateProcess, ZwUnmapViewOfSection, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread. Genauer: es hookt die ResumeThread und WriteProcessMemory API. Daher funktioniert es heutzutage nicht mehr wirklich zuverlässig, da viele "C0der" auf "ZwResumeThread" und "ZwWriteProcessMemory" Aufrufe umgestiegen sind
Hier gibt es so ein ähnliches Tool, dass einige Anti-Bypass Methoden integriert hat. Für die meisten RUNPE Anwender sollte es unmöglich sein das zu bypassen:

hxxp://www.hackhound.org/forum/index.php?topic=20577.0