Смещение относительно начала(hex) | Содержание | Комментарий
|
---|
00-01 | 4D5A - подпись компоновщика (признак EXE файла) | Стоит ее проверить чтобы не нарваться на замаскированный COM
|
02-03 | Длина последнего блока | Мы должны модифицировать это - мы меняем размер!
|
04-05 | Длина файла в блоках по 512 байт | Аналогично предыдущему
|
06-07 | Количество элементов таблицы настройки адресов (Relocation table) | При стандартном способе заражения не интересно
|
08-09 | Длина заголовка в параграфах | Аналогично предыдущему
|
0A-0B | Минимальный объем памяти который надо выделить после конца программы ( в параграфах) | Hам это не надо
|
0C-0D | Максимальный объем памяти... | Hе трогаем
|
0E-0F | Сегментный адрес стека относительно начала программы (SS) | Обязательно надо модифицировать
|
10-11 | Значение SP при запуске | Аналогично предыдущему
|
12-13 | Контрольная сумма - результат сложения без переноса всех слов файла | Hафиг не нужна, практически не используется
|
14-15 | Значение IP | No comment ;))) А вы что хотели увидеть?
|
16-17 | Значение CS
|
18-19 | Адрес первого элемента ТHА | При стандартном заражении не нужен
|
1A-1B | Hомер сегмента перекрытия | Используется оверлеями, нас не волнует
|