
--------------------------------------------------------------------
         [ Hufig gefragte Fragen (FAQ) zu HackStop ]
--------------------------------------------------------------------


> Woher bekomme ich die Programme VSS, FSHIELD und F-XLOCK?

Diese Schutzprogramme sind leider schon etwas lter (1989-92) und deshalb
fast nirgendwo mehr erhltlich. F-XLOCK war mal beim F-PROT 1.15 Paket
dabei, VSS ist von ROSE Softwareentwicklung und nicht offiziell erhltlich.
FSHIELD ist von McAfee und NICHT mehr mit MS-DOS 6.2x lauffhig!


> Warum dauert meine Bestellung so lange?

Wenn Sie den Rechnungsbetrag ueberweisen und keinen Beleg beilegen, oder
schlimmer noch, keine FAX/Tel.-Nummer angeben und evtl. auch noch ein
Postfach haben, warten wir mit der Auslieferung der Software bis zum
Zahlungseingang!


OP> Ich habe die Vollversion von HackStop erhalten. Darf ich die Dateien
OP> im Verzeichnis \ROSE_BBS weitergeben und verteilen?

Ja wird von uns sogar gewnscht. Im \ROSE_BBS Verzeichnis befinden sich
als "Dankeschn" aktuelle SW/FW Programme von ROSE Softwareentwicklung.

Sie knnen die Programme im Verzeichnis \ROSE_BBS gerne weitergeben.
Falls Sie dies in entpacker Form tun wollen, so verwenden Sie bei
UNRAR die Option 'x' um Unterverzeichnisse anzulegen. Bitte fr
jedes Programm dann ein neues Unterverzeichnis verwenden!


MM>>Ich frage mich, wie Hackstop das SingleStepping verhindern will?

Ich habe da zig Tricks drin: Nebelbomben, Tracen des Int 3 mittels Int 1,
kurzzeitiges berschreiben von Int 1 & 3, StackCrashing, Memory Encryption
(also immer nur 10-127 Bytes unverschlsselt), bis zu 5 Verschlsselungs-
ebenen. Jedoch keine Prefetchqueue Tricks, weil es sonst Probleme mit den
einzelnen Prozessoren (286/386/486/Pentium) geben wrde.

SoftIce wird z.B. ber die SoftIce Schnittstelle lahmgelegt. Und haste
Du schon mal 2800 Bytes an Antidebuggingcode getraced (mit zig Memory
Encryptionaufrufen)?

 MH> Warum macht ihr das nicht so:
 MH> 1. Ihr uebernehmt den Tastatur-Interrupt
 MH> 2. Ihr schreibt euere eigene Routine fuer den Trace-Interrupt
 MH> 3. Bei jeder Abfrage des Tastatur-Interrupts ueberschreibt ihr den Trace-
 MH>    Int mit euerer eigenen Routine.

1.) Da stepp ich mit jedem Protected Mode Debugger einfach durch.
2.) Ist das sehr gefhrlich, wenn dem Benutzer die Tastatur/Timer entzogen
    wird (bei Multitasking Programmen wie Windows usw.)
3.) Musst Du am Ende die Interrupts auch wiederherstellen!


 DP> Es gibt noch folgendes Problem mit
 DP> Hackstop und dem Dos Navigator II 1.35. Wenn ich Hackstop starte, egal ob
 DP> mit einem Programm oder ohne, erst einwandfrei, aber sobald Hackstop
 DP> wieder den Speicher freigibt haengt sich der Rechner auf (Wenn von Dos
 DP> Navigator gestartet wurde) Teilweise wird der Bildschirmaufbau zerstoert.
 DP> Habe auch versucht ohne Commander zustarten, soweit alles klar. Es ist
 DP> egal, ob ich andere Programme starte und erst dann den Dos Navigator oder
 DP> anschliessend, alles das gleiche Ergebnis (Rechner haengt sich auf).


Laut den Autoren von WWPack, die diesen "Bug" den Programmieren des DN
gemeldet haben, liegt dies am Commander und nicht an HS!

 DP> Achso etwas anderes, ich programmiere selber. Unteranderem auch ein
 DP> Archiverkennungsprogramm. Habe soweit auch die Erkennung rausgefunden,
 DP> ist es korrekt, dass es eine extra Erkennung gibt, entweder die
 DP> Sharewareversion oder die Versionnummer. Ist mir aufgefallen, beim WWPACK
 DP> (dieser ist ja mit Hackstop 1.03 geschuetzt.) Waere nicht schlecht, wenn
 DP> es kein grosses Geheimnis ist, wie die Erkennung ist und ob man die
 DP> Versionnummern erkennen kann und wo bzw. welche Kennung. Ich programmiere
 DP> meistens in BP7.0.

Ich werde eine offizielle Erkennung in HS 1.11 einbauen und Dokumentieren.
Siehe HS.DOC.

 DP> Ich erkenne Hackstop (habe nur Version 1.10) am Ende der Datei mit der
 DP> Kennung MsDos. Warum MsDos, gibt es eine Unix oder eine andere Version?


Read the DOX: MsDos ist der Schutz gegen den Jerusalem Virus und hat nichts
mit DOS oder HS zu tun.

 DP> WWPACK hat davor eine andere Kennung als Hackstop 1.10. Kann nun daran
 DP> liegen, weil WWPACK mit der registrierten Version geschuetzt ist, oder
 DP> weil es eine andere Version ist.

Ich habe teilweise die Meldungtexte verschoben. Die drften jedoch ab der
1.10 Version in etwa konstant zum Dateiende liegen.


RR>> BTW, besteht Interesse an einer Sonderversion (Preisnachlass
RR>> bzw. Tausch gegen Vollversion von Dir) von HackStop fuer ALLE
RR>> Sharewareautoren?

 CK> Klar, warum nicht ?  Erzaehl mal genaueres darueber.

Also: Einfach mal REGISTER.DOC von HackStop ausfuellen und mir zumailen
und dazuschreiben, welches Programm Du mir in der Vollversion zum
Tausch anbietest. Wenn ich's fuer nuetzlich halte, bekommste Du dann
im Gegenzug die "personalised" Version von hackStop (deshalb auch
REGISTER.DOC) zugesandt. Etliche Autoren haben das schon gemacht....

PS.: No OS/2, Win 95! Win eher auch nicht!


 MB> Unsinn. Was willst Du gegen einen offline Disassembler machen?

Mehrere Ebenen des Codes verschlsseln.


 TW> Was fr Text kann bei der pers. Reg. angegeben werden? Nur "Registered to
 TW> ..." oder auch andere Kommentare? Wie lang darf der Text sein?

Wegen mir 2-3 Zeilen mit beliebigen Text. Halt nichts beleidigendes,
rassistisches... Wegen mir Deine Adresse, EMail oder Fido-Account.

 TW> Und wieso ist die pers. reg. Version schwerer zu hacken?

Weil durch den pershnlichen Text sich alle Offsets verschieben und die
Schutzhlle eine andere Lnge als die Shareware/normale Version hat.

 TW> Ist der Preisunterschied zwischen den beiden Registrierungen nicht etwas
 TW> zu gro? ;-)

Warum? 1.) Mu ich Deinen pers. Text eintragen = Arbeit.
       2.) Hast Du dann ein einzigartiges HackStop mit individuellen Text!

 UM> Was bedeutet dieses crm ? Ist das dein public Key fuer PGP ?

Per Empfangsbesttigung: Confirmation Receipt Message, dort steht dann
der Key drin.

 HP> Programm verglichen habe, hat sich nur etwas am Exe-Header getan und am
 HP> Programmende wurde noch etwas Code angehngt.

Technisch richtig! :-)

 HP> Frage: 1. Schtzt Dein Programm nur vor dem Debuggen? Denn schlielich
 HP>           sich mein Programmcode noch mit jedem Disassembler betrachten.

1.) Schon mal ein Pascal Programm disassembelt? Nein? Geht fast nicht also,
    bleibt noch Debuggen brig.

2.) Einfach Programm vorher packen und dann HackStop drber, fertig ist der
    perfekte Schutz!

3.) HackStop ist z.Z.  mit keinen Hackertool zu entpacken! Ich habe soviele
    Entpacker, ich kann Dir fast alles entpacken, nur kein HS! Selbst
    Generic Entpacker wie Intruder, UPC, Tron 1.30 oder CUP/386 schaffen
    HS nicht!

 HP>        2. Ist es nicht mglich, den "Hackstop-Schutz" wieder aufzuheben,
 HP>           man einfach im EXE-Header den Entry-Point und SS:SP wieder
 HP>           einstellt?

Woher willst Du den die Werte wissen? Also fast unmglich!

 HP> Mit anderen Worten, der Mechanismus ist: ein Hacker ist gezwungen zu
 HP> debuggen,
 HP> und dann muss er zwangslaeufig erstmal Deinen 2kb envelope durchsteppen,
 HP> bevor
 HP> er an den ersten Anwendungsprogramm-eigenen Befehl gelangt...

Richtig. Und generic Entpacker wie Intruder oder UPC kommen an HS auch nicht
vorbei!

RR>> 2.) Einfach Programm vorher packen und dann HackStop druber, fertig ist
 HP> der
RR>>     perfekte Schutz!
 HP> Welchen Packer empfiehlst Du? Oder ist das (von der Sicherheit her) egal,
 HP> hauptsache verschluesselt?

Prinzipiell egal: Gut und fehlerfrei: LzEXE, Diet 1.45f, PKlite
Exotischere: WWPack pu, AVPack, COMPACK, XPack etc.


 HP> 1. Ist Hackstop die Synthese von Deinen frueheren Programmen RCRYPT (fuer
 HP>    .COM-files) und ROSETINY (fuer .EXE-files)? Wenn ja, haben die dann
 HP> heute
 HP>    noch ne Bedeutung?

Ja, die Hacker schreiben wie wild unROSETINY's - ich release dann halt
mal wieder eine neue Version...

RCrypt hat einen Nachfolger: RC286 - erzeugt extrem kurze polymorphe
Sicherheitshuellen, z.B. fuer meine Intros. Ist alles auf der HS Diskette!

 HP> 2. In HS.DOC erwaehnst Du noch die Programme TINYPROG, CHKPC und HMS. Was
 HP> sind
 HP>    das fuer Programme, haben die was mit HACKSTOP zu tun?

CHKPC, HMS - Antiviren Programme sind ebenfalls dabei!

 HP> 3. Das MsDos am Ende einer Hackstop-geschuetzten Datei soll nach Deinen
 HP> Angaben
 HP>    vor dem Jerusalem Virus schuetzen. Geschieht das indem dem Jerusalem
 HP> Virus
 HP>    durch diesen String eine bereits infizierte Datei vorgegaukelt wird?

Richtig!  "MsDos" ist die Selbsterkennung.

 HP> 4. Du sagst, dass ein personalizied hackstop zusaetzlichen Schutz bietet
 HP> weil
 HP>    der Data-Offset verschoben wird. Ich habe nicht ganz verstanden warum
 HP> der
 HP>    Schutz dadurch sicherer wird. Meinst Du das vielleicht so:
 HP>      Weil viele User die Normal-Registrierte Version benutzen,
 HP>      konzentrieren sich moegliche Hacker auf diese Variante. Dadurch,
 HP> dass
 HP>      der Data-Offset bei der personalized version aber ein anderer ist
 HP> als bei
 HP>      der normalen version, ist ein personalized Hackstop-geschuetztes
 HP>      Programm u.U. immun gegen ein solches speziell gegen die
 HP>      normal-hackstop-Variante ausgerichtetes Hack-Programm.

Richtig! Eine pers. HS Version hat eine andere Lnge, Checksummen etc!

 HP> Als letztes wuerde mich noch (im Hinblick auf mein eigenes Programm)
 HP> interessieren wieviele Registrierungen Du insgesamt schon hast und wie Du
 HP> fuer
 HP> die Verbreitung Deines Programms gesorgt hast (bist Du Mitglied in ASP /
 HP> DS?)

HS laeuft recht schleppen, DOS ist ja auch fast schon tot...
Verbreitung nur ueber INet und Mailboxen!

Meine AV Software zusaetzlich ueber DS

----
Ein Freund mailte mir letztens eine Frage zu Invircible.
Er hatte das Programm gerade mal installiert und danach meldeten
alle andere CRC-Checker wie Adinf, SCRC usw. Veraenderungen
an vielen Programmen.

Es stellte sich heraus, das diese Programme entweder mit
TNTVIRUS immunisiert oder mit HACKSTOP verschluesselt
sind. IV hatte ungefragt die "MsDos"-Signatur am Dateiende
abgeschnitten und die Dateien um 5 Bytes verkleinert.

Im Falle von HACKSTOP fuehrte das dazu, das die betroffenen
Programme nicht mehr funktionierten.

Nochmal, IV hat -nicht- gefragt, ob es die Signaturen entfernen soll.
----

 KN>  1. Senden Sie mir, falls ich mich registrieren lasse, nur eine
 KN> "Key-Datei"
 KN> oder
 KN>     das ganze Programm (neueste Version)?

Die neueste Version (HS.EXE) des Programmes + weitere Bonussoftware.

 KN>  2. Wie lange "hlt" dieser Schlssel bzw. das Programm ? Mu ich irgend-
 KN>     wann eine Updategebhr bezahlen, um die neueste Version zu erhalten ?

Unbegrenzte Nutzungslizenz. Updates kosten z. Zeit die Haelfte. Bitte
beachten, die Preise fuer HackStop wurden gesenkt!

 KN>  3. Was bedeutet das "kill the HackStop signature" genau ? Wird dadurch
 KN>     der ganze Text "HackStop Version 1.14 Gamma 3 ..." etc. gelscht oder
 KN>     nur das "HS" am Anfang der Datei?

Nur die Signatur am Ende von geschuetzten Programmen, also der Kuerzel

                        "HSvvMsDos"     (vv = Versionsnummer)

wird ersetzt.

 KN>  4. Wird mein Name in eine von mir erstellte Datei eingetragen, die ich
 KN>     mit HackStop geschtzt habe oder wird dieser mit dem "kill"-Kommando
 KN>     auch entfernt ?

Ihr Name beleibt selbstverstaendlich in erstellenten Dateien erhalten.


 GT> Ich habe eine Frage zu dem REC-Programm, das dem HS-Paket beilag.
 GT> In den Lizenzbedingungen war etwas von 'only for personell use' zu lesen.
 GT> Bedeutet das, dass ich mit REC verschluesselte Programme nicht
 GT> weitergeben
 GT> darf, oder ist nur die Weitergabe des REC-Programms untersagt?

Letzteres: REC.EXE nicht aber mit REC geschuetzte Programme!


 SK> Eine intern verschickte Beta von F/WIN, verpackt mit HS386 sorgte
 SK> auf mehreren Win95-Rechnern und DOS+QEMM fuer Abstuerze.

OK, HS386 hatte einen "Bug", bzw. EMM386 von MikroSoft. Der EMM386 emuliert
einige Befehle falsch (Taktzyklen), was dazu fuehrte, dass ein HS386 unter
EMM386 protected Programm ohne EMM386 oder mit QEMM crasht. Soviel zu EMM386
von Mikrosoft.

 TW> Ach so, also keine globale, sondern eine individuelle
 TW> Registrierung fr nur eine Version, sehe ich das richtig?

Ganz genau, weil ich das in den Quellcode eintrage!


[wird erweitert]
