home *** CD-ROM | disk | FTP | other *** search
/ Software Recommendations - 1998 Season 1 / DNBCD4.iso / share / compress / exe / untiny / UNSS / SUCKSTOP.DOC < prev    next >
Encoding:
Text File  |  1997-05-02  |  2.0 KB  |  45 lines
  1. SuckStop
  2. ~~~~~~~~
  3.         An impressive and short protector from KA0T.  There are more than
  4.         five versions availiable: Most of them have the ASCII remark
  5.         "SuckStop 1.00 by DOSE" ...  Unprot can detect and patch in this
  6.         version only the first versions (499/618/???).
  7.  
  8.         The third version is a little bit polymorph encrypted. If I have
  9.         the time I'll code an unpacker too. :-)
  10.  
  11.         My virus scanner finds the first two polymorph versions, saying
  12.         the file is infected by a BWME/RME virus! This has been fixed in
  13.         later versions!
  14.  
  15.         Meantime CUP 386/3.0b with the option /7 can unpack SuckStop
  16.         version 1-4. Due to this fact Ka0t as released a new version with
  17.         386 anti-debugger code.
  18.  
  19.         Due to the fact SuckStop disables the keyboard and the inline code
  20.         for enableing the keyboard under TP doesn't work, it's recommended
  21.         to use the supplied batch file _UNSSOLD.BAT which automaticly calls
  22.         KEYB_ON.COM. The protector is only unencrypted and the antidebugging
  23.         code overNOPed. So afterwards you can unpack the file with an
  24.         generic (tracing) unpacker. This is done 'cause I'm a lazy bone!
  25.  
  26.         Here I have discovered an interesting bug in allmost all generic
  27.         unpackers: None of them is unable to unpack the patched file
  28.         except TRON! Why: SuckStop doesn't use a jmp far xxxx:yyyy to
  29.         return control back to the host. Instead push seg, push offset,
  30.         retf instructions are used. It seams that
  31.  
  32.                 unp t   (4.12ß)
  33.                 tsup    (1.6)
  34.                 uup     (1.4)
  35.                 cup     (1.2 + 386/3.0b)
  36.  
  37.         are waiting to reach the jmp far instruction thus running the
  38.         program or stoping with the first interrupt call... so you must
  39.         use tron...
  40.  
  41.         From SuckStop I have meanwhile about 10 different versions, the
  42.         latest are CUP 3.2 aware!
  43.  
  44.         To unpack some of the registered version of SuckStop use unSS now!
  45.