home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / 40hex_6.001

< prev

next >

Wrap

Text File  |  1995-01-03  |  4KB  |  77 lines

---

1. 40Hex Number 6 Volume 2 Issue 2                                       File 001
2.  
3. -------------------------------------------------------------------------------
4.                     Memory Resident Anti-Virus Detection
5.                               and Removal
6. -------------------------------------------------------------------------------
7.  
8. Here is a list of ways to see if anti-viral utils are present in memory.
9. I got the list out of PC interupts, a book by Ralph Brown.  Here they are:
10.  
11. F.-DRIVER.SYS (Part of the F-Protect virus package by Fridrik Skulason.)
12.               This program "grabs" the INT 21 monitoring code, if it was not
13.               already taken by another program.
14.               INT 21h, Function 4Bh, Sub Function EEh
15.               AX must = 4BEEh at call, and call returns AX=1234h if F-Prot
16.               sucessfully grabbed INT 21, and AX=2345h if the grab failed.
17.  
18. F-DLOCK.SYS  (A HD access restrictor, part of F-Protect Package)
19.               Call INT 2Fh, Funct. 46h, SubFunct 53h
20.               At call, AX must = 4653h, CX=0005h, BX= 0000h
21.               If present in ram, AX will return FFFFh.  To uninstall, call
22.               with AX & CX the same as above, but BX= 0001h.  AX, ES, & BX
23.               will be destroyed.
24.  
25. F-LOCK.EXE  (Part of F-Protect package, looks for "suspicious" activity)
26.             INT 2Fh, Funct 46h, SubFunct. 53h
27.             To call:  AX = 4653h, CX=0002h, BX=0000h (installation check)
28.                                             BX=0001h (uninstall)
29.                                             BX=0002h (disable v1.08 & below)
30.                                             BX=0003h (enable v1.08 & below)
31.             Call returns AX=FFFFh if installed ( BX=0000h at call)
32.             AX, BX, and ES destroyed, if uninstalled (BX=0001 at call)
33.  
34. F-POPUP.EXE (Pop up menu for F-Protect)
35.           INT 2Fh, Funct. 46h, SubFunct. 53h
36.           To call: AX=4653h, CX=0004h, BX= 0000h, 0001h or 0002h
37.                                        (See above - BX same as F-Lock)
38.           Returns: Same as F-LOCK.EXE
39.  
40. F-XCHK.EXE (Prevents execution of any progs which don't have self-checking
41.             code added by F-XLOCK)
42.            INT 2Fh, Funct. 46h, SubFunct 53h
43.            To Call: Registers = same as F-Popup, except CX=0003h, and
44.                     BX = 0000h (installation check) or 0001h (uninstall)
45.            Returns: same as F-LOCK, above.
46.  
47. TBSCANX (Resident Virus scanning Util by Frans Veldman)
48.         INT 2Fh, Function CAh, SubFunct 00h
49.         Call: AX=CA01, BX=5442h ("TB")
50.         Returns: AL=00h if not installed, AL=FFh if installed
51.                  BX=7462h ("tb") if BX was 5442h during call
52.  
53.         INT 2Fh, Function CAh, Subfunction 02h (Set state of TBSCANX)
54.         Call: AX=CA02h, BL = new state (00h=disabled, 01h=enabled)
55.  
56. VDEFEND (Part of PC-tools.  Works on v7.0)
57.         INT 21h, Function FAh
58.         To call: AH=FAh, DX=5945h, AL=subfunction (01h to uninstall)
59.         returns: CF set on error, DI = 4559h (?)
60.  
61. DATAMON (PC Tools 7.0 file protection)
62.         INT 2Fh, Funct 62h, Sub Funct 84h
63.         Call: AX=6284h, BX=0000h (for installation check), CX=0000h
64.         Returns: AX=resident code segment, BX & CX = 5555h
65.  
66. Flu Shot, or Virex PC
67.         INT 21h
68.         Call: AX=0ff0fh
69.         Returns if either is installed: AX=101h
70.  
71. If anyone has any more Anti-Viral IDs, post 'em on Digital Warfare and I'll
72. update this list.
73.  
74.                                        ---DecimatoR PHALCON/SKISM
75.  
76. Downloaded From P-80 International Information Systems 304-744-2253
77.