| Смещение относительно начала(hex) | Содержание | Комментарий
|
|---|
| 00-01 | 4D5A - подпись компоновщика (признак EXE файла) | Стоит ее проверить чтобы не нарваться на замаскированный COM
|
| 02-03 | Длина последнего блока | Мы должны модифицировать это - мы меняем размер!
|
| 04-05 | Длина файла в блоках по 512 байт | Аналогично предыдущему
|
| 06-07 | Количество элементов таблицы настройки адресов (Relocation table) | При стандартном способе заражения не интересно
|
| 08-09 | Длина заголовка в параграфах | Аналогично предыдущему
|
| 0A-0B | Минимальный объем памяти который надо выделить после конца программы ( в параграфах) | Hам это не надо
|
| 0C-0D | Максимальный объем памяти... | Hе трогаем
|
| 0E-0F | Сегментный адрес стека относительно начала программы (SS) | Обязательно надо модифицировать
|
| 10-11 | Значение SP при запуске | Аналогично предыдущему
|
| 12-13 | Контрольная сумма - результат сложения без переноса всех слов файла | Hафиг не нужна, практически не используется
|
| 14-15 | Значение IP | No comment ;))) А вы что хотели увидеть?
|
| 16-17 | Значение CS
|
| 18-19 | Адрес первого элемента ТHА | При стандартном заражении не нужен
|
| 1A-1B | Hомер сегмента перекрытия | Используется оверлеями, нас не волнует
|
