fakeloader представляет собой поделку на тему запуск из памяти exe БЕЗ релоков проверял на winxp-sp2: iexplorer.exe,wab.exe загружаются нормально calc.exe и notepad.exe не запускаются умирают где-то внутрях при вызове LoadStringW c exeption code 0x409 чтоб exe'ник думал что его нормально запустили перехватываются след функции {"KERNEL32","GetModuleHandleA",NULL,&NewGetModuleHandleA}, {"KERNEL32","GetModuleHandleW",NULL,&NewGetModuleHandleW}, {"KERNEL32","GetCommandLineA",NULL,&NewGetCommandLineA}, {"KERNEL32","GetCommandLineW",NULL,&NewGetCommandLineW}, {"KERNEL32","NewGetModuleFileNameA",NULL,&NewGetModuleFileNameA}, {"KERNEL32","NewGetModuleFileNameW",NULL,&NewGetModuleFileNameW}, {"USER32","MessageBoxA",NULL,&NewMessageBoxA}, {"KERNEL32","ExitProcess",NULL,&NewExitProcess}, Из особенностей правильная обработка импорта как в вынь2к3 и релоков если релоков нет то применяется особый алгоритм переноса в кода и данных в область в другим IMAGEBASE, алгоритм корявый,но работает на большинстве файлов. поделюсь сорсами как будет все исправлено
