Das Thema ist 14! Jahre alt Mitlerweile sucht der TE denke ich nicht mehr nach einer Antwort.

Das was du vorschlägst ist besser bekannt als RunPE und wird seit Jahren von Malware eingesetzt, weshalb auch hier einige Antiviren Programme recht schnell Alarm schlagen werden.

ja sorry, ich bin neu hier und gerade solche thematik mag ich sehr.
so wie ich es einsetze bleiben AV's happy da meine IAT etwas abgeändert ist.

in den VARs definier ich relativ normal die funktion, nur halt das "Extern" bleibt weg.

hier ist der knackpunkt der AV's glücklich macht:

@zCreateProcessA := GetProcAddress(KERNEL32, pChar(deCrypt('zeichenkette die CreateProcessA enthält', 'Alarm, böse funktion'))); ich lad dann die funktion dynamisch rein und nicht statisch.
ich bin auf suche nach PE packern oder kryptern halt auf dieses Thema gestossen.
meine bisherigen suchergebnisse im DP forum führten bisher leider nicht zu einem packer/kryptor sondern nur zu diskussionen wie sinnvoll ein packer wie "UPX" ist oder fragende wurden schlichtweg ausgelacht.

da kompression/kryptologie älter als jeder PC ist, häng ich da kein datum als referenz ran.

RunPE ist eine möglichkeit etwas auszuführen, jupp.

Da mein code absolut bösen krams beinhaltet,
meine bisherigen vorschläge zu thema xyz stark kritisiert wurden wegen bösartigkeit bzw da ich nicht unicode konform programmiere, siehe meine definition da, wieder nur ein pChar, untersage ich es mir selbst so ein produkt hier vorzustellen.
zumal ich auch noch was undokumentiertes zur kompression einsetze "RtlCompressBuffer" was möglicherweise nicht in jeder windows version zur verfügung steht und bestimmte menschen gleich wieder schreien "msdn sagt xyz dazu"....

aber darüber reden sollte doch ok sein hoff ich.