Moin,
ich hab mal mit dem Hxd rumgespielt und im Explorer-Prozess nach dem Startbutton-Text gesucht
innerhalb vom explorer-Prozess ist der Text (bei mir) an Adresse $53ADC0. Kurz zuvor taucht der String Shell_TrayWnd auf. diesen hab ich versucht in der explorer.exe zu finden, erfolglos (Start taucht ja dutzende male auf). $1000 der Explorer.exe ist an $1001C00 im Prozess-Speicher.

Mich wundert auch, warum ich den Text im Hxd nicht ändern kann, andere Stellen des Prozesses aber schon...

laut ProzessExporer ist an dieser Speicher-Adresse keine Dll/Handle geladen. Hinweise auf einen Packer/Crypter hab ich nicht gefunden.

Klar, der Startbutton-Text ist nur eine Spielerei, aber das Wissen hilft evtl. bei Fehlern (AVs), wo man teilweise nur die Speicheradresse hat.

Wäre cool, wenn jemand mehr über die Prozess-peicher-Aufteilung weis

Gruß Frank