Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми насмерть» и не могут быть восстановлены никаким антивирусом.
• прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.
СОМ-программа представляет собой участок кода и данных, начинающийся с исполняемой команды и занимающий не более 64Кбайт. Например, такую структуру имеет командный процессор COMMAND.СОМ операционной системы MSDOS, версий до 6.22 включительно.
ЕХЕ-программа имеет гораздо более сложную структуру. В начале файла ЕХЕ-программы располагается заголовок длиной. 28 байт, содержащий следующие данные:
• MZш — признак ЕХЕ-файла;
• PartPag — длина файла по модулю 512;
• PageCnt — длина файла в 512-байтовых страницах;
• ReloCnt — размер настроечной таблицы;
• HdrSize—размер заголовка;
• MinMem—минимум требуемой памяти;
• MaxMem — максимум требуемой памяти;
• Relo-SS — относительный сегмент стека;
• ExeSP — смещение указателя стека;
• ChkSum — контрольная сумма файла;
• ExelP — смещение точки входа;
• ReloCS — относительный сегмент точки входа;
• TablOff— смещение настроечной таблицы;
• Overlay — номер оверлейного сегмента.
Поля ReloCS и ExelP определяют местоположение точки входа в программу, поля ExeSP и ReloSS — местоположение стека, поля PartPag и PageCnt — размер корневого сегмента программы.
Вычисленный по PartPag и PageCnt размер программы может не совпадать с реальным размером файла.