Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми насмерть» и не могут быть восстановлены никаким антивирусом.

• прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.

Структура СОМ- и ЕХЕ-программ

СОМ-программа представляет собой участок кода и данных, начинающийся с исполняемой команды и занимающий не более 64Кбайт. Например, такую структуру имеет командный процессор COMMAND.СОМ операционной системы MSDOS, версий до 6.22 включительно.

ЕХЕ-программа имеет гораздо более сложную структуру. В начале файла ЕХЕ-программы располагается заголовок длиной. 28 байт, содержащий следующие данные:

• MZш — признак ЕХЕ-файла;

• PartPag — длина файла по модулю 512;

• PageCnt — длина файла в 512-байтовых страницах;

• ReloCnt — размер настроечной таблицы;

• HdrSize—размер заголовка;

• MinMem—минимум требуемой памяти;

• MaxMem — максимум требуемой памяти;

• Relo-SS — относительный сегмент стека;

• ExeSP — смещение указателя стека;

• ChkSum — контрольная сумма файла;

• ExelP — смещение точки входа;

• ReloCS — относительный сегмент точки входа;

• TablOff— смещение настроечной таблицы;

• Overlay — номер оверлейного сегмента.

Поля ReloCS и ExelP определяют местоположение точки входа в программу, поля ExeSP и ReloSS — местоположение стека, поля PartPag и PageCnt — размер корневого сегмента программы.

Вычисленный по PartPag и PageCnt размер программы может не совпадать с реальным размером файла.