home *** CD-ROM | disk | FTP | other *** search
/ Software Recommendations - 1998 Season 1 / DNBCD4.iso / develop / tool / zip / HS118B70.ZIP / HSFAQGER.DOC < prev    next >
Encoding:
Text File  |  1998-01-14  |  12.4 KB  |  308 lines
  1.  
  2. ────────────────────────────────────────────────────────────────────
  3.          [ Häufig gefragte Fragen (FAQ) zu HackStop ]
  4. ────────────────────────────────────────────────────────────────────
  5.  
  6.  
  7. > Woher bekomme ich die Programme VSS, FSHIELD und F-XLOCK?
  8.  
  9. Diese Schutzprogramme sind leider schon etwas älter (1989-92) und deshalb
  10. fast nirgendwo mehr erhältlich. F-XLOCK war mal beim F-PROT 1.15 Paket
  11. dabei, VSS ist von ROSE Softwareentwicklung und nicht offiziell erhältlich.
  12. FSHIELD ist von McAfee und NICHT mehr mit MS-DOS 6.2x lauffähig!
  13.  
  14.  
  15. > Warum dauert meine Bestellung so lange?
  16.  
  17. Wenn Sie den Rechnungsbetrag ueberweisen und keinen Beleg beilegen, oder
  18. schlimmer noch, keine FAX/Tel.-Nummer angeben und evtl. auch noch ein
  19. Postfach haben, warten wir mit der Auslieferung der Software bis zum
  20. Zahlungseingang!
  21.  
  22.  
  23. OP> Ich habe die Vollversion von HackStop erhalten. Darf ich die Dateien
  24. OP> im Verzeichnis \ROSE_BBS weitergeben und verteilen?
  25.  
  26. Ja wird von uns sogar gewünscht. Im \ROSE_BBS Verzeichnis befinden sich
  27. als "Dankeschön" aktuelle SW/FW Programme von ROSE Softwareentwicklung.
  28.  
  29. Sie können die Programme im Verzeichnis \ROSE_BBS gerne weitergeben.
  30. Falls Sie dies in entpacker Form tun wollen, so verwenden Sie bei
  31. UNRAR die Option 'x' um Unterverzeichnisse anzulegen. Bitte für
  32. jedes Programm dann ein neues Unterverzeichnis verwenden!
  33.  
  34.  
  35. MM>>Ich frage mich, wie Hackstop das SingleStepping verhindern will?
  36.  
  37. Ich habe da zig Tricks drin: Nebelbomben, Tracen des Int 3 mittels Int 1,
  38. kurzzeitiges überschreiben von Int 1 & 3, StackCrashing, Memory Encryption
  39. (also immer nur 10-127 Bytes unverschlüsselt), bis zu 5 Verschlüsselungs-
  40. ebenen. Jedoch keine Prefetchqueue Tricks, weil es sonst Probleme mit den
  41. einzelnen Prozessoren (286/386/486/Pentium) geben würde.
  42.  
  43. SoftIce wird z.B. über die SoftIce Schnittstelle lahmgelegt. Und haste
  44. Du schon mal 2800 Bytes an Antidebuggingcode getraced (mit zig Memory
  45. Encryptionaufrufen)?
  46.  
  47.  MH> Warum macht ihr das nicht so:
  48.  MH> 1. Ihr uebernehmt den Tastatur-Interrupt
  49.  MH> 2. Ihr schreibt euere eigene Routine fuer den Trace-Interrupt
  50.  MH> 3. Bei jeder Abfrage des Tastatur-Interrupts ueberschreibt ihr den Trace-
  51.  MH>    Int mit euerer eigenen Routine.
  52.  
  53. 1.) Da stepp ich mit jedem Protected Mode Debugger einfach durch.
  54. 2.) Ist das sehr gefährlich, wenn dem Benutzer die Tastatur/Timer entzogen
  55.     wird (bei Multitasking Programmen wie Windows usw.)
  56. 3.) Musst Du am Ende die Interrupts auch wiederherstellen!
  57.  
  58.  
  59.  DP> Es gibt noch folgendes Problem mit
  60.  DP> Hackstop und dem Dos Navigator II 1.35. Wenn ich Hackstop starte, egal ob
  61.  DP> mit einem Programm oder ohne, erst einwandfrei, aber sobald Hackstop
  62.  DP> wieder den Speicher freigibt haengt sich der Rechner auf (Wenn von Dos
  63.  DP> Navigator gestartet wurde) Teilweise wird der Bildschirmaufbau zerstoert.
  64.  DP> Habe auch versucht ohne Commander zustarten, soweit alles klar. Es ist
  65.  DP> egal, ob ich andere Programme starte und erst dann den Dos Navigator oder
  66.  DP> anschliessend, alles das gleiche Ergebnis (Rechner haengt sich auf).
  67.  
  68.  
  69. Laut den Autoren von WWPack, die diesen "Bug" den Programmieren des DN
  70. gemeldet haben, liegt dies am Commander und nicht an HS!
  71.  
  72.  DP> Achso etwas anderes, ich programmiere selber. Unteranderem auch ein
  73.  DP> Archiverkennungsprogramm. Habe soweit auch die Erkennung rausgefunden,
  74.  DP> ist es korrekt, dass es eine extra Erkennung gibt, entweder die
  75.  DP> Sharewareversion oder die Versionnummer. Ist mir aufgefallen, beim WWPACK
  76.  DP> (dieser ist ja mit Hackstop 1.03α geschuetzt.) Waere nicht schlecht, wenn
  77.  DP> es kein grosses Geheimnis ist, wie die Erkennung ist und ob man die
  78.  DP> Versionnummern erkennen kann und wo bzw. welche Kennung. Ich programmiere
  79.  DP> meistens in BP7.0.
  80.  
  81. Ich werde eine offizielle Erkennung in HS 1.11 einbauen und Dokumentieren.
  82. Siehe HS.DOC.
  83.  
  84.  DP> Ich erkenne Hackstop (habe nur Version 1.10α) am Ende der Datei mit der
  85.  DP> Kennung MsDos. Warum MsDos, gibt es eine Unix oder eine andere Version?
  86.  
  87.  
  88. Read the DOX: MsDos ist der Schutz gegen den Jerusalem Virus und hat nichts
  89. mit DOS oder HS zu tun.
  90.  
  91.  DP> WWPACK hat davor eine andere Kennung als Hackstop 1.10α. Kann nun daran
  92.  DP> liegen, weil WWPACK mit der registrierten Version geschuetzt ist, oder
  93.  DP> weil es eine andere Version ist.
  94.  
  95. Ich habe teilweise die Meldungtexte verschoben. Die dürften jedoch ab der
  96. 1.10 Version in etwa konstant zum Dateiende liegen.
  97.  
  98.  
  99. RR>> BTW, besteht Interesse an einer Sonderversion (Preisnachlass
  100. RR>> bzw. Tausch gegen Vollversion von Dir) von HackStop fuer ALLE
  101. RR>> Sharewareautoren?
  102.  
  103.  CK> Klar, warum nicht ?  Erzaehl mal genaueres darueber.
  104.  
  105. Also: Einfach mal REGISTER.DOC von HackStop ausfuellen und mir zumailen
  106. und dazuschreiben, welches Programm Du mir in der Vollversion zum
  107. Tausch anbietest. Wenn ich's fuer nuetzlich halte, bekommste Du dann
  108. im Gegenzug die "personalised" Version von hackStop (deshalb auch
  109. REGISTER.DOC) zugesandt. Etliche Autoren haben das schon gemacht....
  110.  
  111. PS.: No OS/2, Win 95! Win eher auch nicht!
  112.  
  113.  
  114.  MB> Unsinn. Was willst Du gegen einen offline Disassembler machen?
  115.  
  116. Mehrere Ebenen des Codes verschlüsseln.
  117.  
  118.  
  119.  TW> Was für Text kann bei der pers. Reg. angegeben werden? Nur "Registered to
  120.  TW> ..." oder auch andere Kommentare? Wie lang darf der Text sein?
  121.  
  122. Wegen mir 2-3 Zeilen mit beliebigen Text. Halt nichts beleidigendes,
  123. rassistisches... Wegen mir Deine Adresse, EMail oder Fido-Account.
  124.  
  125.  TW> Und wieso ist die pers. reg. Version schwerer zu hacken?
  126.  
  127. Weil durch den persöhnlichen Text sich alle Offsets verschieben und die
  128. Schutzhülle eine andere Länge als die Shareware/normale Version hat.
  129.  
  130.  TW> Ist der Preisunterschied zwischen den beiden Registrierungen nicht etwas
  131.  TW> zu groß? ;-)
  132.  
  133. Warum? 1.) Muß ich Deinen pers. Text eintragen = Arbeit.
  134.        2.) Hast Du dann ein einzigartiges HackStop mit individuellen Text!
  135.  
  136.  UM> Was bedeutet dieses crm ? Ist das dein public Key fuer PGP ?
  137.  
  138. Per Empfangsbestätigung: Confirmation Receipt Message, dort steht dann
  139. der Key drin.
  140.  
  141.  HP> Programm verglichen habe, hat sich nur etwas am Exe-Header getan und am
  142.  HP> Programmende wurde noch etwas Code angehängt.
  143.  
  144. Technisch richtig! :-)
  145.  
  146.  HP> Frage: 1. Schützt Dein Programm nur vor dem Debuggen? Denn schließlich
  147.  HP>           sich mein Programmcode noch mit jedem Disassembler betrachten.
  148.  
  149. 1.) Schon mal ein Pascal Programm disassembelt? Nein? Geht fast nicht also,
  150.     bleibt noch Debuggen übrig.
  151.  
  152. 2.) Einfach Programm vorher packen und dann HackStop drüber, fertig ist der
  153.     perfekte Schutz!
  154.  
  155. 3.) HackStop ist z.Z.  mit keinen Hackertool zu entpacken! Ich habe soviele
  156.     Entpacker, ich kann Dir fast alles entpacken, nur kein HS! Selbst
  157.     Generic Entpacker wie Intruder, UPC, Tron 1.30 oder CUP/386 schaffen
  158.     HS nicht!
  159.  
  160.  HP>        2. Ist es nicht möglich, den "Hackstop-Schutz" wieder aufzuheben,
  161.  HP>           man einfach im EXE-Header den Entry-Point und SS:SP wieder
  162.  HP>           einstellt?
  163.  
  164. Woher willst Du den die Werte wissen? Also fast unmöglich!
  165.  
  166.  HP> Mit anderen Worten, der Mechanismus ist: ein Hacker ist gezwungen zu
  167.  HP> debuggen,
  168.  HP> und dann muss er zwangslaeufig erstmal Deinen 2kb envelope durchsteppen,
  169.  HP> bevor
  170.  HP> er an den ersten Anwendungsprogramm-eigenen Befehl gelangt...
  171.  
  172. Richtig. Und generic Entpacker wie Intruder oder UPC kommen an HS auch nicht
  173. vorbei!
  174.  
  175. RR>> 2.) Einfach Programm vorher packen und dann HackStop druber, fertig ist
  176.  HP> der
  177. RR>>     perfekte Schutz!
  178.  HP> Welchen Packer empfiehlst Du? Oder ist das (von der Sicherheit her) egal,
  179.  HP> hauptsache verschluesselt?
  180.  
  181. Prinzipiell egal: Gut und fehlerfrei: LzEXE, Diet 1.45f, PKlite
  182. Exotischere: WWPack pu, AVPack, COMPACK, XPack etc.
  183.  
  184.  
  185.  HP> 1. Ist Hackstop die Synthese von Deinen frueheren Programmen RCRYPT (fuer
  186.  HP>    .COM-files) und ROSETINY (fuer .EXE-files)? Wenn ja, haben die dann
  187.  HP> heute
  188.  HP>    noch ne Bedeutung?
  189.  
  190. Ja, die Hacker schreiben wie wild unROSETINY's - ich release dann halt
  191. mal wieder eine neue Version...
  192.  
  193. RCrypt hat einen Nachfolger: RC286 - erzeugt extrem kurze polymorphe
  194. Sicherheitshuellen, z.B. fuer meine Intros. Ist alles auf der HS Diskette!
  195.  
  196.  HP> 2. In HS.DOC erwaehnst Du noch die Programme TINYPROG, CHKPC und HMS. Was
  197.  HP> sind
  198.  HP>    das fuer Programme, haben die was mit HACKSTOP zu tun?
  199.  
  200. CHKPC, HMS - Antiviren Programme sind ebenfalls dabei!
  201.  
  202.  HP> 3. Das MsDos am Ende einer Hackstop-geschuetzten Datei soll nach Deinen
  203.  HP> Angaben
  204.  HP>    vor dem Jerusalem Virus schuetzen. Geschieht das indem dem Jerusalem
  205.  HP> Virus
  206.  HP>    durch diesen String eine bereits infizierte Datei vorgegaukelt wird?
  207.  
  208. Richtig!  "MsDos" ist die Selbsterkennung.
  209.  
  210.  HP> 4. Du sagst, dass ein personalizied hackstop zusaetzlichen Schutz bietet
  211.  HP> weil
  212.  HP>    der Data-Offset verschoben wird. Ich habe nicht ganz verstanden warum
  213.  HP> der
  214.  HP>    Schutz dadurch sicherer wird. Meinst Du das vielleicht so:
  215.  HP>      Weil viele User die Normal-Registrierte Version benutzen,
  216.  HP>      konzentrieren sich moegliche Hacker auf diese Variante. Dadurch,
  217.  HP> dass
  218.  HP>      der Data-Offset bei der personalized version aber ein anderer ist
  219.  HP> als bei
  220.  HP>      der normalen version, ist ein personalized Hackstop-geschuetztes
  221.  HP>      Programm u.U. immun gegen ein solches speziell gegen die
  222.  HP>      normal-hackstop-Variante ausgerichtetes Hack-Programm.
  223.  
  224. Richtig! Eine pers. HS Version hat eine andere Länge, Checksummen etc!
  225.  
  226.  HP> Als letztes wuerde mich noch (im Hinblick auf mein eigenes Programm)
  227.  HP> interessieren wieviele Registrierungen Du insgesamt schon hast und wie Du
  228.  HP> fuer
  229.  HP> die Verbreitung Deines Programms gesorgt hast (bist Du Mitglied in ASP /
  230.  HP> DS?)
  231.  
  232. HS laeuft recht schleppen, DOS ist ja auch fast schon tot...
  233. Verbreitung nur ueber INet und Mailboxen!
  234.  
  235. Meine AV Software zusaetzlich ueber DS
  236.  
  237. ----
  238. Ein Freund mailte mir letztens eine Frage zu Invircible.
  239. Er hatte das Programm gerade mal installiert und danach meldeten
  240. alle andere CRC-Checker wie Adinf, SCRC usw. Veraenderungen
  241. an vielen Programmen.
  242.  
  243. Es stellte sich heraus, das diese Programme entweder mit
  244. TNTVIRUS immunisiert oder mit HACKSTOP verschluesselt
  245. sind. IV hatte ungefragt die "MsDos"-Signatur am Dateiende
  246. abgeschnitten und die Dateien um 5 Bytes verkleinert.
  247.  
  248. Im Falle von HACKSTOP fuehrte das dazu, das die betroffenen
  249. Programme nicht mehr funktionierten.
  250.  
  251. Nochmal, IV hat -nicht- gefragt, ob es die Signaturen entfernen soll.
  252. ----
  253.  
  254.  KN>  1. Senden Sie mir, falls ich mich registrieren lasse, nur eine
  255.  KN> "Key-Datei"
  256.  KN> oder
  257.  KN>     das ganze Programm (neueste Version)?
  258.  
  259. Die neueste Version (HS.EXE) des Programmes + weitere Bonussoftware.
  260.  
  261.  KN>  2. Wie lange "hält" dieser Schlüssel bzw. das Programm ? Muß ich irgend-
  262.  KN>     wann eine Updategebühr bezahlen, um die neueste Version zu erhalten ?
  263.  
  264. Unbegrenzte Nutzungslizenz. Updates kosten z. Zeit die Haelfte. Bitte
  265. beachten, die Preise fuer HackStop wurden gesenkt!
  266.  
  267.  KN>  3. Was bedeutet das "kill the HackStop signature" genau ? Wird dadurch
  268.  KN>     der ganze Text "HackStop Version 1.14 Gamma 3 ..." etc. gelöscht oder
  269.  KN>     nur das "HS" am Anfang der Datei?
  270.  
  271. Nur die Signatur am Ende von geschuetzten Programmen, also der Kuerzel
  272.  
  273.                         "HSvvMsDos"     (vv = Versionsnummer)
  274.  
  275. wird ersetzt.
  276.  
  277.  KN>  4. Wird mein Name in eine von mir erstellte Datei eingetragen, die ich
  278.  KN>     mit HackStop geschützt habe oder wird dieser mit dem "kill"-Kommando
  279.  KN>     auch entfernt ?
  280.  
  281. Ihr Name beleibt selbstverstaendlich in erstellenten Dateien erhalten.
  282.  
  283.  
  284.  GT> Ich habe eine Frage zu dem REC-Programm, das dem HS-Paket beilag.
  285.  GT> In den Lizenzbedingungen war etwas von 'only for personell use' zu lesen.
  286.  GT> Bedeutet das, dass ich mit REC verschluesselte Programme nicht
  287.  GT> weitergeben
  288.  GT> darf, oder ist nur die Weitergabe des REC-Programms untersagt?
  289.  
  290. Letzteres: REC.EXE nicht aber mit REC geschuetzte Programme!
  291.  
  292.  
  293.  SK> Eine intern verschickte Beta von F/WIN, verpackt mit HS386 sorgte
  294.  SK> auf mehreren Win95-Rechnern und DOS+QEMM fuer Abstuerze.
  295.  
  296. OK, HS386 hatte einen "Bug", bzw. EMM386 von MikroSoft. Der EMM386 emuliert
  297. einige Befehle falsch (Taktzyklen), was dazu fuehrte, dass ein HS386 unter
  298. EMM386 protected Programm ohne EMM386 oder mit QEMM crasht. Soviel zu EMM386
  299. von Mikrosoft.
  300.  
  301.  TW> Ach so, also keine globale, sondern eine individuelle
  302.  TW> Registrierung für nur eine Version, sehe ich das richtig?
  303.  
  304. Ganz genau, weil ich das in den Quellcode eintrage!
  305.  
  306.  
  307. [wird erweitert]
  308.