Normalerweise wird die .code Section der PE Datei gecryptet und ein decrypter in ASM in die EXE geschrieben. Der EP wird auf das Offset an dem sich der Decrypter befindet festgelegt, welcher die .code Section wieder decryptet und zum OEP springt. Dann wird die EXE ganz normal ausgeführt ..

@Luckie: Der EXE-Crypter .. findet man dazu die Sourcen irgendwo?