Si abrimos un programa sin empaquetar y nos fijamos en la pila, veremos el siguiente valor 12FFC4
Ahora si abrimos un programa empacado lo más probable es que deba tener la pila más aumentada por así decirlo debido a que ya ha ejecutado operaciones anteriormente pero en este caso de PESPIN permanece 12FFC4 como la primera dirección en la pila, pero el problema surge que si nos fijamos en el stack debajo de esta hay operaciones realizadas de todas formas por lo que podemos apreciar stolen bites:
Por lo que la idea es encontrar el primer stolen bite con esta analogía:
cuando nos encontramos frente a la primera operación esta debería ser:
Citar
PUSH EBP
(por lo general)por lo que habría que poner un Hadware bp en 12FFC0 y ¿por qué no en 12FFC4?
Debido a que cuando se utiliza un Hadware bp este se detiene en la siguiente operación además en ese instante el push ebp ya estará ejecutado por lo que el principio de la pila apuntará a 12FFC0
No sé si esté bien esta analogía pero así lo logro entender