La forma de leer el PEB habitual junto con otros
factores hacía que los AVs detectasen mi binario... así pues busqué formas diferentes de leer el PEB, y esta me ha gustado especialmente.
Muy ofuscada.[FASM] push $30 ;v
pop ebx ;>EBX = 0x30
mov cl, 4 ;>CL = 4
@@:mov al, cl ;>AL = CL <<<
db $64 ;v ^
xlatb ;>AL = FS:[EBX+AL] ^
shl eax, 8 ;>EAX <<= 8 ^
loop @B ;>>>>>>>>>>>>>>>>>>>^ (--ECX>0)?
Está comentado para que haya la mínima duda posible. Cualquier cosa preguntad.
Añado este code que es un byte más ligero que el método habitual:
push $30
pop esi
db $64
lodsd
Saludos.