Das ist der Urvater aller heutigen "RunPE Based" Module (siehe Veröffentlichungsjahr)wie sie auch in cryptic zum einsatz kommt(
Das Prinzip wird erklärt sowie die Funktionsweise - was will man mehr?
PS:
98% der verfügbaren Malware-Crypter basieren afaik auf Mem-Exec Methode (wobei 95% der Programmierer diese einfach stur kopiert. Z.B wird die "PE-Realign"/Fix Optionen zuzüglich der ganzen Antis inzwischen sehr gerne in die "eigegen" Crypter eingebaut (damit korrigiert man dann die SizeOfImage nach dem Anhängen der "gecrypteten" Datei an die Stub.exe, so dass sie mit der tatsächlichen Größe übereinstimmt). Aber die angehängte Exe wird immer noch schön brav über CreateFile/ReadFile auf eigenes Modul ausgelesen - obwohl diese dank dem PE-Fix schon beim Start der Exe in den Speicher mitgeladen wurde ). Alles andere ist ohne PE Kenntnisse kaum machbar