HEADER:01000300  ;

HEADER:01000300         public start

HEADER:01000300 start:

HEADER:01000300         call   $+5

HEADER:01000305         pop    ebp

HEADER:01000306         mov    esi, fs:0

HEADER:0100030C         lodsd

HEADER:0100030D         push   ebp

HEADER:0100030E         lodsd

HEADER:0100030F         push   eax

Внедрение в хвост секции

Операционная система Windows 9x требует, чтобы физические адреса секций были выровнены по меньшей мере на 200h байт (Windows NT – на 002h), поэтому между секциями практически всегда есть некоторое количество свободного пространства, в котором легко затеряться.

Рассмотрим структуру файла notepad.exe из поставки Windows 2000 (см. листинг 2). Физический размер секции .text превышает виртуальный на 6600h – 65CAh == 36h байт, а .rsec – аж на C00h! Вполне достаточный объем пространства для внедрения, не правда ли? Разумеется, такое везение выпадает далеко не всегда, но пару десятков свободных байт можно найти практически в любом файле.

Листинг 2. Так выглядит таблица секций файла notepad.exe

Number     Name   v_size RVA     r_size  r_offst flag