liwei8703的专栏

因为pe病毒只有一个代码段不可写，而平常数据写入是在代码段，所以我们必须修改代码段使其具有可读可写可执行的属性。代码段属性值一般为60000020，修改为e0000020。31位 可写30位 可读29位 可执行6的二进制码为0110e的二进制码味1110数据段一般为：c0000040h   节的属性标志位含义位数据

FS寄存器指向当前活动线程的TEB结构（线程结构）偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针030  PEB结构地址（进程结构）034  上

(1)测试寄存器是否为0        cmp     eax,00000000h                   ; 6 bytes    jz      bribriblibli                    ; 2 bytes (if jz is short)      optimization:        or      eax,eax