98% der verfügbaren Malware-Crypter basieren afaik auf Mem-Exec Methode (wobei 95% der Programmierer diese
einfach stur kopiert. Z.B wird die "PE-Realign"/Fix Optionen zuzüglich der ganzen Antis inzwischen sehr gerne in die "
eigegen" Crypter eingebaut (damit korrigiert man dann die SizeOfImage nach dem Anhängen der "gecrypteten" Datei an die Stub.exe, so dass sie mit der tatsächlichen Größe übereinstimmt). Aber die angehängte Exe wird immer noch schön brav über CreateFile/ReadFile auf eigenes Modul ausgelesen - obwohl diese dank dem PE-Fix schon beim Start der Exe in den Speicher mitgeladen wurde
)