Собвственно, проблема такая - каким образом произвести заражение проги, запакованной, например, UPX'ом? Смотрим в таблицу секций - все нормально, красота прям. А на деле - за последней секцией идут данные :( Ну и т.д. Отсюда общий вопрос - как обычно отсеиваются "неподходящие" файлы? (проверка валидности PE тут ведь не причем). Вдруг есть какой-нить интересный способ?

Да, есть. Так поступают эвристики вирусов и дизассемблер BDASM. Ты мою статью вторую часть читал?

volodya
Читал, и возможно, буду с энтропией играться. Меня еще интересует - как работают современные вирусы - не портят же они каждый запакованный файл? или портят? :)

Я не вирмейкер. Не знаю.

Портят, причем не только пакованые =)

Dr.Golova
Спасибо, успокоил :) Просто по некоторым причинам у меня нет большой коллекции реальных хверюшек - вот и задумался. А раз портят - значит, придется таки кучу проверок делать.