* 定位到文本段，将病毒的代码接到文本段的尾部。这个过程的关键是要熟悉ELF文件的格式，将病毒代码复制到文本段尾部后，能够根据需要调整文本段长度改变所影响到的后续段(segment)或节(section)的虚拟地址。同时注意把新引入的文本段部分与一个.setion建立关联，防止strip这样的工具将插入的代码去除。还有一点就是要注意文本段增加长度的对齐问题，见ELF文档中的描述：

 　　

以下是引用片段： p_align 　　As ``Program Loading later in this part describes, loadable 　　process segments must have congruent values for p_vaddr and 　　p_offset, modulo the page size.

　　* 通过过将ELF文件头中的入口地址修改为病毒代码地址来完成代码重定向： /* Modify the entry point of the ELF */

　　

以下是引用片段： org_entry = ehdr->e_entry;  　　ehdr->e_entry = phdr[txt_index].p_vaddr + phdr[txt_index].p_filesz;

　　2 病毒代码如何返回到真正的ELF文件入口

　　方法技巧应该很多，这里采用的方法是PUSH+RET组合：

 

以下是引用片段： 　　__asm__ volatile ( 　　... 　　return:nt 　　push $0xAABBCCDDnt /* push ret_addr */ 　　retn 　　::);

　　其中0xAABBCCDD处存放的是真正的程序入口地址，这个值在插入病毒代码时由感染程序来填写。