No entiendo la analogía de los STOLEN BYTE de PESPIN

[.:UND3R:.]

Todo aclarado, explico por si alguien llega a tener la misma duda:

Si abrimos un programa sin empaquetar y nos fijamos en la pila, veremos el siguiente valor 12FFC4

Ahora si abrimos un programa empacado lo más probable es que deba tener la pila más aumentada por así decirlo debido a que ya ha ejecutado operaciones anteriormente pero en este caso de PESPIN permanece 12FFC4 como la primera dirección en la pila, pero el problema surge que si nos fijamos en el stack debajo de esta hay operaciones realizadas de todas formas por lo que podemos apreciar stolen bites:



Por lo que la idea es encontrar el primer stolen bite con esta analogía:
cuando nos encontramos frente a la primera operación esta debería ser:

PUSH EBP

(por lo general)
por lo que habría que poner un Hadware bp en 12FFC0 y ¿por qué no en 12FFC4?

Debido a que cuando se utiliza un Hadware bp este se detiene en la siguiente operación además en ese instante el push ebp ya estará ejecutado por lo que el principio de la pila apuntará a 12FFC0

No sé si esté bien esta analogía pero así lo logro entender

[apuromafo CLS]

pensemoslo de otra forma entonces

el programa normal es

1
2
3
4
5

el programa con stolen estaras en
4
5
6

luego como se donde comenzo?, pues un bp en acces en 1 o en 2

pero como llego a eso?, normalmente todos comienzan por push ebp, o algun push o similar, luego hay 4 menos y por ahi intentar

en upx, el pushad guarda los registros, el popad los restaura, por eso el metodo sirve, pero si hiciera pushad y nunca popad, no serviria el metodo

el tema delicado ahi es que el valor de comienzo, nisiquiera se hubiera escrito, el segundo si..es solo eso