SUPER MINITUTE CRACKME02 BY x4uth

Bueno sabemos que la api que permite anticiparnos a la detección de la unidad de CD es la api GetDriveTypeA, asi que colocamos los BPs respectivos

Al dar RUN caemos aquí

7C911231    C3              RETN

Ejecutamos el RETN y caemos en este lado, una sesion antidebug que es el contenido de la call 00404F35 la cual nos hecha fuera

00401040  |    55             PUSH EBP         ; AQUI ENSAMBLO UN RET
00401041  |.  8BEC         MOV EBP,ESP
00401043  |.  6A FF         PUSH -1
00401045  |.  68 30954100   PUSH CrackMe0.00419530
0040104A  |.  68 58404000   PUSH CrackMe0.00404058                   
0040104F  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00401055  |.  50            PUSH EAX
00401056  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0040105D  |.  83EC 08       SUB ESP,8
00401060  |.  53            PUSH EBX
00401061  |.  56            PUSH ESI
00401062  |.  57            PUSH EDI
00401063  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00401066  |.  C745 FC 00000>MOV DWORD PTR SS:[EBP-4],0
0040106D  |.  FF15 60924100 CALL DWORD PTR DS:[<&KERNEL32.DebugBreak>; [DebugBreak
00401073  |.  6A 00         PUSH 0                                   ; /ExitCode = 0
00401075  \.  FF15 64924100 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess

Ensamblo un RET en 00401040 para que toda las instrucciones consecutivas nunca se ejecuten

Luego doy RUN y caigo ahora si en el BP

0040220C  |.  8B2D 08924100 MOV EBP,DWORD PTR DS:[<&KERNEL32.GetDriv>;  kernel32.GetDriveTypeA
00402212  |.  8B3D 0C924100 MOV EDI,DWORD PTR DS:[<&KERNEL32.GetVolu>;  kernel32.GetVolumeInformationA
00402218  |>  56            /PUSH ESI
00402219  |.  FFD5          |CALL EBP
0040221B  |.  83F8 05     |CMP EAX,5   ; COMPARACION CLAVE
0040221E  |.  75 1E         |JNZ SHORT CrackMe0.0040223E
00402220  |.  6A 0A         |PUSH 0A
00402222  |.  6A 00         |PUSH 0
00402224  |.  6A 00         |PUSH 0
00402226  |.  6A 00         |PUSH 0
00402228  |.  8D4C24 20     |LEA ECX,DWORD PTR SS:[ESP+20]
0040222C  |.  51            |PUSH ECX
0040222D  |.  6A 0C        |PUSH 0C
0040222F  |.  6A 00         |PUSH 0
00402231  |.  56               |PUSH ESI
00402232  |.  FFD7          |CALL EDI
00402234  |.  817C24 10 8C2>|CMP DWORD PTR SS:[ESP+10],37B52C8C     
0040223C      75 29         JE SHORT CrackMe0.00402267              ;  SALTO CLAVE

Invierto el salto clave para que se ejecute si no son iguales y de esta manera hacemos creer al programa que el CD esta insertado.

Buen trabajo x4uth. Saludos a los newbies que aun no concilian sueño a pesar de los dias trascurridos...
 

Tambien cai en el mismo lugar, era porque en mi caso habia utilizado los plugins que ocultan el ollydbg ( el hideod, el IsDebug&ExtraHide y el HideDebugger123f ). Espero que no nos prepares un anti anti anti ollydbg, seria faltal,  .

Oberon...man, donde puedo encontrar todos esos Hides para el Olly? y como los instalo?
Desde ya muchisimas gracias, y si ...me toy dando el "mate" contra la pared!!!

Perfecto man! gracias!