[ Hufig gefragte Fragen (FAQ) zu HackStop ] > Woher bekomme ich die Programme VSS, FSHIELD und F-XLOCK? Diese Schutzprogramme sind leider schon etwas lter (1989-92) und deshalb fast nirgendwo mehr erhltlich. F-XLOCK war mal beim F-PROT 1.15 Paket dabei, VSS ist von ROSE Softwareentwicklung und nicht offiziell erhltlich. FSHIELD ist von McAfee und NICHT mehr mit MS-DOS 6.2x lauffhig! > Warum dauert meine Bestellung so lange? Wenn Sie den Rechnungsbetrag ueberweisen und keinen Beleg beilegen, oder schlimmer noch, keine FAX/Tel.-Nummer angeben und evtl. auch noch ein Postfach haben, warten wir mit der Auslieferung der Software bis zum Zahlungseingang! OP> Ich habe die Vollversion von HackStop erhalten. Darf ich die Dateien OP> im Verzeichnis \ROSE_BBS weitergeben und verteilen? Ja wird von uns sogar gewnscht. Im \ROSE_BBS Verzeichnis befinden sich als "Dankeschn" aktuelle SW/FW Programme von ROSE Softwareentwicklung. Sie knnen die Programme im Verzeichnis \ROSE_BBS gerne weitergeben. Falls Sie dies in entpacker Form tun wollen, so verwenden Sie bei UNRAR die Option 'x' um Unterverzeichnisse anzulegen. Bitte fr jedes Programm dann ein neues Unterverzeichnis verwenden! MM>>Ich frage mich, wie Hackstop das SingleStepping verhindern will? Ich habe da zig Tricks drin: Nebelbomben, Tracen des Int 3 mittels Int 1, kurzzeitiges berschreiben von Int 1 & 3, StackCrashing, Memory Encryption (also immer nur 10-127 Bytes unverschlsselt), bis zu 5 Verschlsselungs- ebenen. Jedoch keine Prefetchqueue Tricks, weil es sonst Probleme mit den einzelnen Prozessoren (286/386/486/Pentium) geben wrde. SoftIce wird z.B. ber die SoftIce Schnittstelle lahmgelegt. Und haste Du schon mal 2800 Bytes an Antidebuggingcode getraced (mit zig Memory Encryptionaufrufen)? MH> Warum macht ihr das nicht so: MH> 1. Ihr uebernehmt den Tastatur-Interrupt MH> 2. Ihr schreibt euere eigene Routine fuer den Trace-Interrupt MH> 3. Bei jeder Abfrage des Tastatur-Interrupts ueberschreibt ihr den Trace- MH> Int mit euerer eigenen Routine. 1.) Da stepp ich mit jedem Protected Mode Debugger einfach durch. 2.) Ist das sehr gefhrlich, wenn dem Benutzer die Tastatur/Timer entzogen wird (bei Multitasking Programmen wie Windows usw.) 3.) Musst Du am Ende die Interrupts auch wiederherstellen! DP> Es gibt noch folgendes Problem mit DP> Hackstop und dem Dos Navigator II 1.35. Wenn ich Hackstop starte, egal ob DP> mit einem Programm oder ohne, erst einwandfrei, aber sobald Hackstop DP> wieder den Speicher freigibt haengt sich der Rechner auf (Wenn von Dos DP> Navigator gestartet wurde) Teilweise wird der Bildschirmaufbau zerstoert. DP> Habe auch versucht ohne Commander zustarten, soweit alles klar. Es ist DP> egal, ob ich andere Programme starte und erst dann den Dos Navigator oder DP> anschliessend, alles das gleiche Ergebnis (Rechner haengt sich auf). Laut den Autoren von WWPack, die diesen "Bug" den Programmieren des DN gemeldet haben, liegt dies am Commander und nicht an HS! DP> Achso etwas anderes, ich programmiere selber. Unteranderem auch ein DP> Archiverkennungsprogramm. Habe soweit auch die Erkennung rausgefunden, DP> ist es korrekt, dass es eine extra Erkennung gibt, entweder die DP> Sharewareversion oder die Versionnummer. Ist mir aufgefallen, beim WWPACK DP> (dieser ist ja mit Hackstop 1.03 geschuetzt.) Waere nicht schlecht, wenn DP> es kein grosses Geheimnis ist, wie die Erkennung ist und ob man die DP> Versionnummern erkennen kann und wo bzw. welche Kennung. Ich programmiere DP> meistens in BP7.0. Ich werde eine offizielle Erkennung in HS 1.11 einbauen und Dokumentieren. Siehe HS.DOC. DP> Ich erkenne Hackstop (habe nur Version 1.10) am Ende der Datei mit der DP> Kennung MsDos. Warum MsDos, gibt es eine Unix oder eine andere Version? Read the DOX: MsDos ist der Schutz gegen den Jerusalem Virus und hat nichts mit DOS oder HS zu tun. DP> WWPACK hat davor eine andere Kennung als Hackstop 1.10. Kann nun daran DP> liegen, weil WWPACK mit der registrierten Version geschuetzt ist, oder DP> weil es eine andere Version ist. Ich habe teilweise die Meldungtexte verschoben. Die drften jedoch ab der 1.10 Version in etwa konstant zum Dateiende liegen. RR>> BTW, besteht Interesse an einer Sonderversion (Preisnachlass RR>> bzw. Tausch gegen Vollversion von Dir) von HackStop fuer ALLE RR>> Sharewareautoren? CK> Klar, warum nicht ? Erzaehl mal genaueres darueber. Also: Einfach mal REGISTER.DOC von HackStop ausfuellen und mir zumailen und dazuschreiben, welches Programm Du mir in der Vollversion zum Tausch anbietest. Wenn ich's fuer nuetzlich halte, bekommste Du dann im Gegenzug die "personalised" Version von hackStop (deshalb auch REGISTER.DOC) zugesandt. Etliche Autoren haben das schon gemacht.... PS.: No OS/2, Win 95! Win eher auch nicht! MB> Unsinn. Was willst Du gegen einen offline Disassembler machen? Mehrere Ebenen des Codes verschlsseln. TW> Was fr Text kann bei der pers. Reg. angegeben werden? Nur "Registered to TW> ..." oder auch andere Kommentare? Wie lang darf der Text sein? Wegen mir 2-3 Zeilen mit beliebigen Text. Halt nichts beleidigendes, rassistisches... Wegen mir Deine Adresse, EMail oder Fido-Account. TW> Und wieso ist die pers. reg. Version schwerer zu hacken? Weil durch den pershnlichen Text sich alle Offsets verschieben und die Schutzhlle eine andere Lnge als die Shareware/normale Version hat. TW> Ist der Preisunterschied zwischen den beiden Registrierungen nicht etwas TW> zu gro? ;-) Warum? 1.) Mu ich Deinen pers. Text eintragen = Arbeit. 2.) Hast Du dann ein einzigartiges HackStop mit individuellen Text! UM> Was bedeutet dieses crm ? Ist das dein public Key fuer PGP ? Per Empfangsbesttigung: Confirmation Receipt Message, dort steht dann der Key drin. HP> Programm verglichen habe, hat sich nur etwas am Exe-Header getan und am HP> Programmende wurde noch etwas Code angehngt. Technisch richtig! :-) HP> Frage: 1. Schtzt Dein Programm nur vor dem Debuggen? Denn schlielich HP> sich mein Programmcode noch mit jedem Disassembler betrachten. 1.) Schon mal ein Pascal Programm disassembelt? Nein? Geht fast nicht also, bleibt noch Debuggen brig. 2.) Einfach Programm vorher packen und dann HackStop drber, fertig ist der perfekte Schutz! 3.) HackStop ist z.Z. mit keinen Hackertool zu entpacken! Ich habe soviele Entpacker, ich kann Dir fast alles entpacken, nur kein HS! Selbst Generic Entpacker wie Intruder, UPC, Tron 1.30 oder CUP/386 schaffen HS nicht! HP> 2. Ist es nicht mglich, den "Hackstop-Schutz" wieder aufzuheben, HP> man einfach im EXE-Header den Entry-Point und SS:SP wieder HP> einstellt? Woher willst Du den die Werte wissen? Also fast unmglich! HP> Mit anderen Worten, der Mechanismus ist: ein Hacker ist gezwungen zu HP> debuggen, HP> und dann muss er zwangslaeufig erstmal Deinen 2kb envelope durchsteppen, HP> bevor HP> er an den ersten Anwendungsprogramm-eigenen Befehl gelangt... Richtig. Und generic Entpacker wie Intruder oder UPC kommen an HS auch nicht vorbei! RR>> 2.) Einfach Programm vorher packen und dann HackStop druber, fertig ist HP> der RR>> perfekte Schutz! HP> Welchen Packer empfiehlst Du? Oder ist das (von der Sicherheit her) egal, HP> hauptsache verschluesselt? Prinzipiell egal: Gut und fehlerfrei: LzEXE, Diet 1.45f, PKlite Exotischere: WWPack pu, AVPack, COMPACK, XPack etc. HP> 1. Ist Hackstop die Synthese von Deinen frueheren Programmen RCRYPT (fuer HP> .COM-files) und ROSETINY (fuer .EXE-files)? Wenn ja, haben die dann HP> heute HP> noch ne Bedeutung? Ja, die Hacker schreiben wie wild unROSETINY's - ich release dann halt mal wieder eine neue Version... RCrypt hat einen Nachfolger: RC286 - erzeugt extrem kurze polymorphe Sicherheitshuellen, z.B. fuer meine Intros. Ist alles auf der HS Diskette! HP> 2. In HS.DOC erwaehnst Du noch die Programme TINYPROG, CHKPC und HMS. Was HP> sind HP> das fuer Programme, haben die was mit HACKSTOP zu tun? CHKPC, HMS - Antiviren Programme sind ebenfalls dabei! HP> 3. Das MsDos am Ende einer Hackstop-geschuetzten Datei soll nach Deinen HP> Angaben HP> vor dem Jerusalem Virus schuetzen. Geschieht das indem dem Jerusalem HP> Virus HP> durch diesen String eine bereits infizierte Datei vorgegaukelt wird? Richtig! "MsDos" ist die Selbsterkennung. HP> 4. Du sagst, dass ein personalizied hackstop zusaetzlichen Schutz bietet HP> weil HP> der Data-Offset verschoben wird. Ich habe nicht ganz verstanden warum HP> der HP> Schutz dadurch sicherer wird. Meinst Du das vielleicht so: HP> Weil viele User die Normal-Registrierte Version benutzen, HP> konzentrieren sich moegliche Hacker auf diese Variante. Dadurch, HP> dass HP> der Data-Offset bei der personalized version aber ein anderer ist HP> als bei HP> der normalen version, ist ein personalized Hackstop-geschuetztes HP> Programm u.U. immun gegen ein solches speziell gegen die HP> normal-hackstop-Variante ausgerichtetes Hack-Programm. Richtig! Eine pers. HS Version hat eine andere Lnge, Checksummen etc! HP> Als letztes wuerde mich noch (im Hinblick auf mein eigenes Programm) HP> interessieren wieviele Registrierungen Du insgesamt schon hast und wie Du HP> fuer HP> die Verbreitung Deines Programms gesorgt hast (bist Du Mitglied in ASP / HP> DS?) HS laeuft recht schleppen, DOS ist ja auch fast schon tot... Verbreitung nur ueber INet und Mailboxen! Meine AV Software zusaetzlich ueber DS ---- Ein Freund mailte mir letztens eine Frage zu Invircible. Er hatte das Programm gerade mal installiert und danach meldeten alle andere CRC-Checker wie Adinf, SCRC usw. Veraenderungen an vielen Programmen. Es stellte sich heraus, das diese Programme entweder mit TNTVIRUS immunisiert oder mit HACKSTOP verschluesselt sind. IV hatte ungefragt die "MsDos"-Signatur am Dateiende abgeschnitten und die Dateien um 5 Bytes verkleinert. Im Falle von HACKSTOP fuehrte das dazu, das die betroffenen Programme nicht mehr funktionierten. Nochmal, IV hat -nicht- gefragt, ob es die Signaturen entfernen soll. ---- KN> 1. Senden Sie mir, falls ich mich registrieren lasse, nur eine KN> "Key-Datei" KN> oder KN> das ganze Programm (neueste Version)? Die neueste Version (HS.EXE) des Programmes + weitere Bonussoftware. KN> 2. Wie lange "hlt" dieser Schlssel bzw. das Programm ? Mu ich irgend- KN> wann eine Updategebhr bezahlen, um die neueste Version zu erhalten ? Unbegrenzte Nutzungslizenz. Updates kosten z. Zeit die Haelfte. Bitte beachten, die Preise fuer HackStop wurden gesenkt! KN> 3. Was bedeutet das "kill the HackStop signature" genau ? Wird dadurch KN> der ganze Text "HackStop Version 1.14 Gamma 3 ..." etc. gelscht oder KN> nur das "HS" am Anfang der Datei? Nur die Signatur am Ende von geschuetzten Programmen, also der Kuerzel "HSvvMsDos" (vv = Versionsnummer) wird ersetzt. KN> 4. Wird mein Name in eine von mir erstellte Datei eingetragen, die ich KN> mit HackStop geschtzt habe oder wird dieser mit dem "kill"-Kommando KN> auch entfernt ? Ihr Name beleibt selbstverstaendlich in erstellenten Dateien erhalten. GT> Ich habe eine Frage zu dem REC-Programm, das dem HS-Paket beilag. GT> In den Lizenzbedingungen war etwas von 'only for personell use' zu lesen. GT> Bedeutet das, dass ich mit REC verschluesselte Programme nicht GT> weitergeben GT> darf, oder ist nur die Weitergabe des REC-Programms untersagt? Letzteres: REC.EXE nicht aber mit REC geschuetzte Programme! SK> Eine intern verschickte Beta von F/WIN, verpackt mit HS386 sorgte SK> auf mehreren Win95-Rechnern und DOS+QEMM fuer Abstuerze. OK, HS386 hatte einen "Bug", bzw. EMM386 von MikroSoft. Der EMM386 emuliert einige Befehle falsch (Taktzyklen), was dazu fuehrte, dass ein HS386 unter EMM386 protected Programm ohne EMM386 oder mit QEMM crasht. Soviel zu EMM386 von Mikrosoft. TW> Ach so, also keine globale, sondern eine individuelle TW> Registrierung fr nur eine Version, sehe ich das richtig? Ganz genau, weil ich das in den Quellcode eintrage! [wird erweitert]