hola amigos acudo a ustedes para pedirles ayuda con un tutorial que he estado leyendo y pues estoy bloqueado en un punto que no le encuentro ni pies ni cabeza.

resulta que es un crackme de unos de los concursos de crackslatinos de los de 2004-2006 y es un tutorial del amigo marmota que en su momento resolvio el crackme y pues les dejo el link para que lo puedan descargar: https://www.mediafire.com/?i94ancc7diq9h3u

en toda la primera parte lo entiendo a la perfeccion hasta la parte que dice "y ahora al llegar al salto que compara vemos que si se produce y llegamos a 4012F5. A partir de aquí vemos que empieza a llamar a Sleep para comprobar cuanto tiempo tarda en llegar desde una llamada a otra, como estoy traceando al final me acaba enviando a una zona con INT3 y me fijo en el Stack que hay un SE handler que apunta a 4017C3 así que voy a esa zona y allí pongo un BreakPoint, procuro no tracear más y doy a F9 para ver si el programa me envía allí para gestionar esta interrupción, y así evitar el Timer de los hilos.

lo que no entiendo es que justo en la instruccion 4012F5 de la cual hace se referencia en el tuto es un jump que  seguido lo que hace es un push 1 y despues un POP DWORD PTR DS:[4035A4] y despues le siguen otros 3 jump seguido de un MOV EAX,1 y despues LEAVE y RETN 10 por lo que no veo cuando llama a Sleep y tampoco encuentro en la pila  el SE que apunta a 4017C3 como en el tutorial y pues por eso no puedo avanzar asi que si alguien de buena voluntad me ayuda se lo agradeceria mucho.

saludos!

Hola, actualmente no dispongo de mucho tiempo por lo cual no puedo bajar el archivo pero intentaré darte algunas recomendaciones.

- Los int 3 generarán excepciones los cuales lanzarán al manejador de excepciones.

- Si no encuentras el SEH puedes seguir su estructura de cadena, ya que el último manejador siempre apuntará al subsiguiente hasta que apunte al manejador predeterminado de Windows.

- Podrías investigar por la estructura TIB Thread Information Block:
http://es.wikipedia.org/wiki/Win32_Thread_Information_Block

puedes ver que FS:[0] Apuntará al manejador actual de excepciones.

- Si nunca pasa por Sleep podrías poner un BP para corroborar.

- El Int 3 podría ser a causa de la condición de Sleep, aunque eso es extraño ya que Sleep solo pausa el programa.

- Lo de los saltos puede ser una ofuscación, recuerda que el RETN 10 limpia la pila.

Si tengo tiempo lo veo el fin de semana, saludos.