Пытаюсь дописать пример из статьи "Основные методы заражения PE EXE" про - Внедрение в PE-заголовок. Вроде все понятно, но места для тела виря маловато. От конца заголовка PE файла до начала первой секции ~ 250b Вири такого размера я не умею писать. (Если есть такой пример - заранее благодарен). Вопросы 1. У меня есть вирь в 1 168 byte но нет такого exe - шника, который можно им "зарядить" у всех свободное место ~ 480 byte. Какие ключи линкеру подставить для сборки моего "Hello World" для опытов у которого смещение первой секции будет максимально допустимым. 2. Как пишут pe - инфекторы заражающие путем внедрения в PE-заголовок? Ведь явно PE вирей в 480b нету.
PE заголовок стоит перед первой секцией, виртуальное смещение первой секции от начала образа обычно составляет 1000h, а в файле обычно 400h или 200h (зависит от кол-ва секций в файле и сл-но от размера PE заголовка). Т.о. PE заголовок в файле можно расширить до 1000h без ущерба для программы, и пересчитать все файловые смещения секций.
Flint_ta Спасибо. А линкер это увеличение может сделать сам, чтоб мне, для начала, получить файл с таким размером PE - заголовка? Такой файл мне нужен для экспериментов.
Можешь сдампить любой файл. А линкеру по идее нужно записать ключ /align:4096, но он ругается и делает дефолтные 200h
