home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Hacks & Cracks
/
Hacks_and_Cracks.iso
/
vol1
/
ucfhs117.zip
/
HSFAQGER.DOC
< prev
next >
Wrap
Text File
|
1997-05-04
|
12KB
|
294 lines
────────────────────────────────────────────────────────────────────
[ Häufig gefragte Fragen (FAQ) zu HackStop ]
────────────────────────────────────────────────────────────────────
> Woher bekomme ich die Programme VSS, FSHIELD und F-XLOCK?
Diese Schutzprogramme sind leider schon etwas älter (1989-92) und deshalb
fast nirgendwo mehr erhältlich. F-XLOCK war mal beim F-PROT 1.15 Paket
dabei, VSS ist von ROSE Softwareentwicklung und nicht offiziell erhältlich.
FSHIELD ist von McAfee und NICHT mehr mit MS-DOS 6.2x lauffähig!
> Warum dauert meine Bestellung so lange?
Wenn Sie den Rechnungsbetrag ueberweisen und keinen Beleg beilegen, oder
schlimmer noch, keine FAX/Tel.-Nummer angeben und evtl. auch noch ein
Postfach haben, warten wir mit der Auslieferung der Software bis zum
Zahlungseingang!
OP> Ich habe die Vollversion von HackStop erhalten. Darf ich die Dateien
OP> im Verzeichnis \ROSE_BBS weitergeben und verteilen?
Ja wird von uns sogar gewünscht. Im \ROSE_BBS Verzeichnis befinden sich
als "Dankeschön" aktuelle SW/FW Programme von ROSE Softwareentwicklung.
Sie können die Programme im Verzeichnis \ROSE_BBS gerne weitergeben.
Falls Sie dies in entpacker Form tun wollen, so verwenden Sie bei
UNRAR die Option 'x' um Unterverzeichnisse anzulegen. Bitte für
jedes Programm dann ein neues Unterverzeichnis verwenden!
MM>>Ich frage mich, wie Hackstop das SingleStepping verhindern will?
Ich habe da zig Tricks drin: Nebelbomben, Tracen des Int 3 mittels Int 1,
kurzzeitiges überschreiben von Int 1 & 3, StackCrashing, Memory Encryption
(also immer nur 10-127 Bytes unverschlüsselt), bis zu 5 Verschlüsselungs-
ebenen. Jedoch keine Prefetchqueue Tricks, weil es sonst Probleme mit den
einzelnen Prozessoren (286/386/486/Pentium) geben würde.
SoftIce wird z.B. über die SoftIce Schnittstelle lahmgelegt. Und haste
Du schon mal 2800 Bytes an Antidebuggingcode getraced (mit zig Memory
Encryptionaufrufen)?
MH> Warum macht ihr das nicht so:
MH> 1. Ihr uebernehmt den Tastatur-Interrupt
MH> 2. Ihr schreibt euere eigene Routine fuer den Trace-Interrupt
MH> 3. Bei jeder Abfrage des Tastatur-Interrupts ueberschreibt ihr den Trace-
MH> Int mit euerer eigenen Routine.
1.) Da stepp ich mit jedem Protected Mode Debugger einfach durch.
2.) Ist das sehr gefährlich, wenn dem Benutzer die Tastatur/Timer entzogen
wird (bei Multitasking Programmen wie Windows usw.)
3.) Musst Du am Ende die Interrupts auch wiederherstellen!
DP> Es gibt noch folgendes Problem mit
DP> Hackstop und dem Dos Navigator II 1.35. Wenn ich Hackstop starte, egal ob
DP> mit einem Programm oder ohne, erst einwandfrei, aber sobald Hackstop
DP> wieder den Speicher freigibt haengt sich der Rechner auf (Wenn von Dos
DP> Navigator gestartet wurde) Teilweise wird der Bildschirmaufbau zerstoert.
DP> Habe auch versucht ohne Commander zustarten, soweit alles klar. Es ist
DP> egal, ob ich andere Programme starte und erst dann den Dos Navigator oder
DP> anschliessend, alles das gleiche Ergebnis (Rechner haengt sich auf).
Laut den Autoren von WWPack, die diesen "Bug" den Programmieren des DN
gemeldet haben, liegt dies am Commander und nicht an HS!
DP> Achso etwas anderes, ich programmiere selber. Unteranderem auch ein
DP> Archiverkennungsprogramm. Habe soweit auch die Erkennung rausgefunden,
DP> ist es korrekt, dass es eine extra Erkennung gibt, entweder die
DP> Sharewareversion oder die Versionnummer. Ist mir aufgefallen, beim WWPACK
DP> (dieser ist ja mit Hackstop 1.03α geschuetzt.) Waere nicht schlecht, wenn
DP> es kein grosses Geheimnis ist, wie die Erkennung ist und ob man die
DP> Versionnummern erkennen kann und wo bzw. welche Kennung. Ich programmiere
DP> meistens in BP7.0.
Ich werde eine offizielle Erkennung in HS 1.11 einbauen und Dokumentieren.
Siehe HS.DOC.
DP> Ich erkenne Hackstop (habe nur Version 1.10α) am Ende der Datei mit der
DP> Kennung MsDos. Warum MsDos, gibt es eine Unix oder eine andere Version?
Read the DOX: MsDos ist der Schutz gegen den Jerusalem Virus und hat nichts
mit DOS oder HS zu tun.
DP> WWPACK hat davor eine andere Kennung als Hackstop 1.10α. Kann nun daran
DP> liegen, weil WWPACK mit der registrierten Version geschuetzt ist, oder
DP> weil es eine andere Version ist.
Ich habe teilweise die Meldungtexte verschoben. Die dürften jedoch ab der
1.10 Version in etwa konstant zum Dateiende liegen.
RR>> BTW, besteht Interesse an einer Sonderversion (Preisnachlass
RR>> bzw. Tausch gegen Vollversion von Dir) von HackStop fuer ALLE
RR>> Sharewareautoren?
CK> Klar, warum nicht ? Erzaehl mal genaueres darueber.
Also: Einfach mal REGISTER.DOC von HackStop ausfuellen und mir zumailen
und dazuschreiben, welches Programm Du mir in der Vollversion zum
Tausch anbietest. Wenn ich's fuer nuetzlich halte, bekommste Du dann
im Gegenzug die "personalised" Version von hackStop (deshalb auch
REGISTER.DOC) zugesandt. Etliche Autoren haben das schon gemacht....
PS.: No OS/2, Win 95! Win eher auch nicht!
MB> Unsinn. Was willst Du gegen einen offline Disassembler machen?
Mehrere Ebenen des Codes verschlüsseln.
TW> Was für Text kann bei der pers. Reg. angegeben werden? Nur "Registered to
TW> ..." oder auch andere Kommentare? Wie lang darf der Text sein?
Wegen mir 2-3 Zeilen mit beliebigen Text. Halt nichts beleidigendes,
rassistisches... Wegen mir Deine Adresse, EMail oder Fido-Account.
TW> Und wieso ist die pers. reg. Version schwerer zu hacken?
Weil durch den persöhnlichen Text sich alle Offsets verschieben und die
Schutzhülle eine andere Länge als die Shareware/normale Version hat.
TW> Ist der Preisunterschied zwischen den beiden Registrierungen nicht etwas
TW> zu groß? ;-)
Warum? 1.) Muß ich Deinen pers. Text eintragen = Arbeit.
2.) Hast Du dann ein einzigartiges HackStop mit individuellen Text!
UM> Was bedeutet dieses crm ? Ist das dein public Key fuer PGP ?
Per Empfangsbestätigung: Confirmation Receipt Message, dort steht dann
der Key drin.
HP> Programm verglichen habe, hat sich nur etwas am Exe-Header getan und am
HP> Programmende wurde noch etwas Code angehängt.
Technisch richtig! :-)
HP> Frage: 1. Schützt Dein Programm nur vor dem Debuggen? Denn schließlich
HP> sich mein Programmcode noch mit jedem Disassembler betrachten.
1.) Schon mal ein Pascal Programm disassembelt? Nein? Geht fast nicht also,
bleibt noch Debuggen übrig.
2.) Einfach Programm vorher packen und dann HackStop drüber, fertig ist der
perfekte Schutz!
3.) HackStop ist z.Z. mit keinen Hackertool zu entpacken! Ich habe soviele
Entpacker, ich kann Dir fast alles entpacken, nur kein HS! Selbst
Generic Entpacker wie Intruder, UPC, Tron 1.30 oder CUP/386 schaffen
HS nicht!
HP> 2. Ist es nicht möglich, den "Hackstop-Schutz" wieder aufzuheben,
HP> man einfach im EXE-Header den Entry-Point und SS:SP wieder
HP> einstellt?
Woher willst Du den die Werte wissen? Also fast unmöglich!
HP> Mit anderen Worten, der Mechanismus ist: ein Hacker ist gezwungen zu
HP> debuggen,
HP> und dann muss er zwangslaeufig erstmal Deinen 2kb envelope durchsteppen,
HP> bevor
HP> er an den ersten Anwendungsprogramm-eigenen Befehl gelangt...
Richtig. Und generic Entpacker wie Intruder oder UPC kommen an HS auch nicht
vorbei!
RR>> 2.) Einfach Programm vorher packen und dann HackStop druber, fertig ist
HP> der
RR>> perfekte Schutz!
HP> Welchen Packer empfiehlst Du? Oder ist das (von der Sicherheit her) egal,
HP> hauptsache verschluesselt?
Prinzipiell egal: Gut und fehlerfrei: LzEXE, Diet 1.45f, PKlite
Exotischere: WWPack pu, AVPack, COMPACK, XPack etc.
HP> 1. Ist Hackstop die Synthese von Deinen frueheren Programmen RCRYPT (fuer
HP> .COM-files) und ROSETINY (fuer .EXE-files)? Wenn ja, haben die dann
HP> heute
HP> noch ne Bedeutung?
Ja, die Hacker schreiben wie wild unROSETINY's - ich release dann halt
mal wieder eine neue Version...
RCrypt hat einen Nachfolger: RC286 - erzeugt extrem kurze polymorphe
Sicherheitshuellen, z.B. fuer meine Intros. Ist alles auf der HS Diskette!
HP> 2. In HS.DOC erwaehnst Du noch die Programme TINYPROG, CHKPC und HMS. Was
HP> sind
HP> das fuer Programme, haben die was mit HACKSTOP zu tun?
CHKPC, HMS - Antiviren Programme sind ebenfalls dabei!
HP> 3. Das MsDos am Ende einer Hackstop-geschuetzten Datei soll nach Deinen
HP> Angaben
HP> vor dem Jerusalem Virus schuetzen. Geschieht das indem dem Jerusalem
HP> Virus
HP> durch diesen String eine bereits infizierte Datei vorgegaukelt wird?
Richtig! "MsDos" ist die Selbsterkennung.
HP> 4. Du sagst, dass ein personalizied hackstop zusaetzlichen Schutz bietet
HP> weil
HP> der Data-Offset verschoben wird. Ich habe nicht ganz verstanden warum
HP> der
HP> Schutz dadurch sicherer wird. Meinst Du das vielleicht so:
HP> Weil viele User die Normal-Registrierte Version benutzen,
HP> konzentrieren sich moegliche Hacker auf diese Variante. Dadurch,
HP> dass
HP> der Data-Offset bei der personalized version aber ein anderer ist
HP> als bei
HP> der normalen version, ist ein personalized Hackstop-geschuetztes
HP> Programm u.U. immun gegen ein solches speziell gegen die
HP> normal-hackstop-Variante ausgerichtetes Hack-Programm.
Richtig! Eine pers. HS Version hat eine andere Länge, Checksummen etc!
HP> Als letztes wuerde mich noch (im Hinblick auf mein eigenes Programm)
HP> interessieren wieviele Registrierungen Du insgesamt schon hast und wie Du
HP> fuer
HP> die Verbreitung Deines Programms gesorgt hast (bist Du Mitglied in ASP /
HP> DS?)
HS laeuft recht schleppen, DOS ist ja auch fast schon tot...
Verbreitung nur ueber INet und Mailboxen!
Meine AV Software zusaetzlich ueber DS
----
Ein Freund mailte mir letztens eine Frage zu Invircible.
Er hatte das Programm gerade mal installiert und danach meldeten
alle andere CRC-Checker wie Adinf, SCRC usw. Veraenderungen
an vielen Programmen.
Es stellte sich heraus, das diese Programme entweder mit
TNTVIRUS immunisiert oder mit HACKSTOP verschluesselt
sind. IV hatte ungefragt die "MsDos"-Signatur am Dateiende
abgeschnitten und die Dateien um 5 Bytes verkleinert.
Im Falle von HACKSTOP fuehrte das dazu, das die betroffenen
Programme nicht mehr funktionierten.
Nochmal, IV hat -nicht- gefragt, ob es die Signaturen entfernen soll.
----
KN> 1. Senden Sie mir, falls ich mich registrieren lasse, nur eine
KN> "Key-Datei"
KN> oder
KN> das ganze Programm (neueste Version)?
Die neueste Version (HS.EXE) des Programmes + weitere Bonussoftware.
KN> 2. Wie lange "hält" dieser Schlüssel bzw. das Programm ? Muß ich irgend-
KN> wann eine Updategebühr bezahlen, um die neueste Version zu erhalten ?
Unbegrenzte Nutzungslizenz. Updates kosten z. Zeit die Haelfte. Bitte
beachten, die Preise fuer HackStop wurden gesenkt!
KN> 3. Was bedeutet das "kill the HackStop signature" genau ? Wird dadurch
KN> der ganze Text "HackStop Version 1.14 Gamma 3 ..." etc. gelöscht oder
KN> nur das "HS" am Anfang der Datei?
Nur die Signatur am Ende von geschuetzten Programmen, also der Kuerzel
"HSvvMsDos" (vv = Versionsnummer)
wird ersetzt.
KN> 4. Wird mein Name in eine von mir erstellte Datei eingetragen, die ich
KN> mit HackStop geschützt habe oder wird dieser mit dem "kill"-Kommando
KN> auch entfernt ?
Ihr Name beleibt selbstverstaendlich in erstellenten Dateien erhalten.
GT> Ich habe eine Frage zu dem REC-Programm, das dem HS-Paket beilag.
GT> In den Lizenzbedingungen war etwas von 'only for personell use' zu lesen.
GT> Bedeutet das, dass ich mit REC verschluesselte Programme nicht
GT> weitergeben
GT> darf, oder ist nur die Weitergabe des REC-Programms untersagt?
Letzteres: REC.EXE nicht aber mit REC geschuetzte Programme!
[wird erweitert]