1.OEP 2.解密IMPORT 3.修复STOLEN CODE 1.OEP比较好找，断到最后一次异常后开始单步跟踪，最终一个跨段转移就到了入口，但是是被STOLEN之后的入口了，STOLEN CODE在转移之前就已经被执行。 2.ASPR1.23RC4对KERNEL32.DLL里的API做了IAT HOOK，所以需要将其IAT HOOK去掉进行还原，然后IAT表里不同DLL的函数地址表应该是用0来分隔，但是ASPR用了随机数，这里要清0，还有个别的API是将API代码COPY到程序中直接使用

常用程序OEP入口特征