Да HIEW тоже подойдет. Вопрос еще один. Что можно убрать из секции импорта, или забить нулями???

Вот все что нужно, чтобы работало под любыми версиями винды.
Остальное можно убрать. Хотя, думаю, есть варианты и меньше.

data	import
;;  Import Directory starts here
align 4
IMPORT_DIRECTORY_TABLE:
	dd	RVA GetProcAddress$$, 0, 0, RVA @f, RVA GetProcAddress$$
	dd	0, 0, 0, 0, 0			;;  end of directory
@@:	db	'kernel32.dll',0		;;  only one dll
@@:	db	0,0, 'GetProcAddress',0 	;;  only one name to be imported
align 4
GetProcAddress$$:
	dd	RVA @b, 0	;;  just one function to be imported when loading
end data

Остальное надо импортировать самому. Адресс kernel32 можно брать из стека (что imho криво),
а можно из [GetProcAddress$$], что несколько длиннее.

S_T_A_S_
Зачем под всеми? Я уже говорил, что ось - XP Pro с сервисом или без, это как придется.

Насчет kernel'а я в курсе, ты прав, это не самый короткий вариант. Адрес Kerner32 также можно вытащить с помощью SEH, вроде бы 100% вариант.

Реально ли вырезать MZ-header целиком, и как-нить укоротить PE?
Насчет первого я почти уверен, со вторым сомневаюсь.

Под XP можно убрать ".dll" :-)
Не люблю я проблемы совместимости из-за 20ти байт, которые можно где-то еще сэкономить, поэтому не интересовался этим..

Адрес kernela находится в стеке, т.к. при запуске процесса делается call из этой dll (пока)
Еще можно посмотреть формат PE, вири и это .

jekyll

Про хидер/stub читаем здесь
http://www.wasm.ru/docs/1/assemblerru.zip

Это я давно зачел, про PE подскажите?

оптимизация PE - это круто! MZ хидер целиком вырезать нельзя, необходимо оставить как минимум 6 байт - MZ и указатель на PE. остальные байты использовать можно.
однако создать файл, работающих на всех осях короче 200h по видимому нереально.
что же касается оптимизации импорта, то INT можно сразу прибить, поместив его копию в IAT. работать будет на всех осях.

kaspersky
ясно

Глупый наверно вопрос, но все же.

Как на фасме сделать таблицу импорта по ординалам? Есть ли соответствующие макросы?

jekyll
я так и не понял как делать таблицу импорта по ординалам, но вроде стандартный макрос от fasm 1.52 такое умеет, верней он там чтото делает с ординалами, а уж что именно - говорю ж не понял:)))

Реально ли вырезать MZ-header целиком, и как-нить укоротить PE?
jekyll
Насколько мне известно, полностью нельзя.

Можно только в фасме сделать так:
format PE GUI 5.0 at $10000 on 'null.stub'

где "null.stub" — это файл, размером 0 байт.
Вот.

IceStudent
MZ укорочен до 12 байт, как в статье, про minimal stub, а вот как строить таблицу импорта по ординалам, я не понял, ну не руками же мучать!

[ jekyll : Как на фасме сделать таблицу импорта по ординалам? Есть ли соответствующие макросы? ]

Это умеет стандартный макро, как я понял.
Но необходимо кое-что переделать.

Стандартно импорт выглыдит так (на примере fasm\INCLUDE\APIA\KERNEL32.INC):

import kernel32,\
       AddAtom,'AddAtomA',\
       AddConsoleAlias,'AddConsoleAliasA',\

Необходимо писать что-то вроде:

import kernel32,\
       Fun,FunOrdinal,\
       Fun2,FunOrdinal2,\

imho - проще подставить сюда номера ординалов вручную т.к. прога маленькая и импортируемых ф-ций мало.
Хотя можно взять на http://board.flatassembler.net/ dll2inc by comrade и доработать её для получения инклуда.

S_T_A_S_
Спасибо, все рулезно.

Есть моя статья - "самый маленький ре", но там не очень много приемов (так себе статья. слабая у меня тогда оптимизация вышла :(). Но есть "3ья часть", там Chemiker (мой знакомый) сделал действительно самое маленькое приложение - 153 байта 8). Вся оптимизация под хр. Я офффигел =)

http://www.xakep.ru/post/21020/default.htm
http://www.xakep.ru/post/21046/default.htm
http://www.xakep.ru/post/21399/default.htm