$EDU$ estoy seguro! busca sobre armadillo, muchas versiones la implementan

Yo me acuerdo de haber leido hace tiempo un articulo que hablaba de esto mas o menos, y lo que hacian (si no lo entendi mal) es un hook a las apis del windows que suelen usar los debuggers, y lo que hacan ahi es no dejar ejecutarlos (se basaban en que primero se ejecuta el programa y luego se ejecuta el debgger) pero puede que una version modificada de esto puede servir:

Por ejemplo la primera vez que se ejecuta deja el hook y no lo libera, o cualquier otra idea

ok! era tlscallback nomás, si revisas tutoriales de unpack de execryptor verás que no es dificil de evitar para los que debugean.

lo de díficil es siempre dependiendo del cracker (o el que debugea) en mi caso sería imposible saltar el tls pero los que saben lo pasan hasta con los plugins de olly y a mano cambian hasta el oep jeje.

a ver, el olly no ejecuta nada solo, tratando de ser claro te diré que el olly se detiene en el oep porque pone solo un bp en esa dirección, los tls estan antes del oep! si sabes donde comienzan los tls pones un bp y tampoco se ejecutan solos! es que el olly viene por defecto para detenerse en el oep, pero el plugin ollyadvanced le agrega la función para que se detenga en los tls.
Sino analiza el archivo con lordpe por ejemplo y tambien sabras las direccion antes del oep donde estan los tls