DS-CD ROM 2 1993 August

home *** CD-ROM | disk | FTP | other *** search

/ DS-CD ROM 2 1993 August / DS CD-ROM 2.Ausgabe (August 1993).iso / utility / ds0317 / virfeind / HANDBUCH.TXT < prev next >

Wrap

Text File | 1992-07-25 | 26KB | 721 lines

VIREN-FEIND V1.0 ======================= ■ DAS PROFESSIONELLE ANTIVIRENSYSTEM ■ BENUTZERHANDBUCH Copyright (C) 1992 by Martin Rasmussen Software-Entwicklung Schwalbenweg 21 W-7918 Illertissen/Au Alle Rechte vorbehalten Version 1.0 / 1. September 1992 INHALTSVERZEICHNIS ================== 1. Einleitung ...................................................... 3 1.1 Was sind eigentlich Viren ................................... 3 1.2 Vorgehensweise von Viren-Feind 1.0 .......................... 3 1.3 optimaler Virenschutz ....................................... 4 1.3.1 Backups ............................................... 4 1.3.2 nach Veränderungen prüfen ............................. 4 1.3.3 nach Codesequenz prüfen ............................... 4 2. Systemvoraussetzungen ........................................... 4 3. Installation von Viren-Fein 1.0 ................................. 4 4. Der erste Start ................................................. 5 5. Benutzeroberfläche .............................................. 5 5.1 Maussteuerung ............................................... 5 5.2 Pulldown-Menü ............................................... 5 5.3 Fenster ..................................................... 6 5.4 Hilfesystem mit Hilfeindex .................................. 6 6. Referenzenteil .................................................. 6 6.1 Menü Aktionen ............................................... 6 6.1.1 Laufwerkstest ......................................... 6 6.1.1.1 Virenalarm .................................... 7 6.1.2 Sichern Bootsektor C: ................................. 7 6.1.3 Vergleichen Bootsektor C: ............................. 8 6.1.4 Rekonstruieren Bootsektor C: .......................... 8 6.1.5 Lösche veraltete Prüfdaten ............................ 8 6.1.6 Ansehen der Report-Datei .............................. 8 6.1.7 Betriebssystem ........................................ 8 6.1.8 Ende von Viren-Feind .................................. 8 6.2 Menü Optionen ............................................... 8 6.2.1 Report ausgeben ....................................... 8 6.2.2 Statuszeile bei Virentest ............................. 9 6.2.3 VIRFEIND.DAT verstecken ............................... 9 6.2.4 Optionen speichern .................................... 9 6.3 Menü Autostart .............................................. 9 6.3.1 Autostart an/aus ...................................... 9 6.3.2 einzuschließende Prüfdateien .......................... 9 6.3.3 Einstellungen zum Planer ..............................10 Anhang: eingetragene Warenzeichen ..................................10 1. EINLEITUNG ============= 1.1 WAS SIND EIGENTLICH VIREN ? =============================== Computer sind offene Systeme. Da kommt es immer mal vor, daß man sich Daten/Programme (auch, wenn sich dies im Rahmen des Legalen bewegt) von Freunden oder Bekannten auf seinen Rechner überspielt. Ist ein solches Programm von einem Virus infiziert, so kann sich dieser sofort in den Speicher laden und versuchen, andere Programme zu infizieren oder sonstigen Schaden auf der Festplatte anzurichten. Viele Viren verweilen erst einige Tage, Wochen oder gar Monate auf der Festplatte, bevor sie Schaden anrichten. Sehen Sie die Ansteckungsgefahr aber nicht als sonderlich hoch an. Ich hatte noch nie Bekanntschaft mit einem Virus geschlossen. Dennoch sollte man die Gefahr nicht unterschätzen (aber auch nicht überschätzen!). Aus diesem Grund habe ich das nun vorliegende Antivirensystem entwickelt. Jedes Computerprogramm besteht aus einer EXE oder COM Datei und (vor allem bei größeren Programmen) gegebenenfalls noch aus einzelnen Overlay-Dateien, die während des Programmablaufes bei Bedarf aufgerufen werden. Wird nun eine solche ausführbare Datei infiziert so ändert der jeweilige Virus die Datei wie folgt ab: Er ersetzt den ersten Befehl des Programmes durch eine Sprungbefehl (Assemblersprache JMP), der auf die Anfangsadresse des Virencodes zeigt. Der letzte Befehl des Virencodes zeigt wiederum auf die Adresse des ersten Befehl des ursprünglichen Programmes. Also: Ist eine Datei infiziert, so wird zuerst der Virencode und dann das ursprüngliche Programm ausgeführt. Dadurch wird in den meisten Fällen die EXE-Datei größer. Aber wer achtet schon darauf, ob die EXE-Datei seiner Textverarbeitung 284.128 Bytes oder 287.098 Bytes hat (Viren-Feind merkt's)! Manche Virenprogrammierer haben sich aus diesem Grund etwas anderes einfallen lassen: Der Virus kopiert sich dabei in irgendeinen Bereich der Festplatte und markiert diesen Bereich in der FAT als fehlerhaft (BAD CLUSTER). Im Wirtsprogramm wird dann nur noch ein knapper Hinweis hinterlegt, wo der Code auf der Platte zu finden ist. Viren-Feind erkennt auch diese Art von Viren, die die Dateilänge nicht verändern, da Viren-Feind eine Checksumme einer jeden EXE-Datei anlegt und diese bei jedem Check überprüft. 1.2 VORGEHENSWEISE VON VIREN-FEIND ================================== Viren-Feind errechnet zu jeder Datei, die von Viren befallen werden kann eine mathematische Checksumme aus und speichert diese unter der Datei VIRFEIND.DAT im Verzeichnis der jeweiligen Programmdatei ab. Liegt eine Manipulation dieser Datei vor, so meldet das Programm einen Virenverdacht und gibt die Priorität des Virenverdachtes an. Viren-Feind schützt aber nicht nur ausführbare Dateien, sondern auch den Bootsektor, der bei Virenbefall auch wiederhergestellt werden kann. 1.3 OPTIMALER VIRENSCHUTZ ========================= 1.3.1 BACKUPS ============= Backups sind wohl die effizienteste Methode im Kampf gegen Viren. Kopieren Sie daher einmal wöchentlich (bei wichtigen Daten sogar täglich) Ihre Datendateien auf Disketten. Falls ihr Computer befallen sein sollte, so haben Sie ihre Daten in Sicherheit (die restlichen Daten (EXE-Programme, Druckertreiber usw.) befinden sich ja auf Ihren Originaldisketten der jeweiligen Programme. 1.3.2 AUF VERÄNDERUNGEN PRÜFEN ============================== Diese Aufgabe erledigt Viren-Feind für Sie: Viren-Feind informiert Sie sofort, falls Ihre Dateien irgendwie geändert wurden. Sie erhalten detaillierte Informationen, was konkret verändert wurde (Datum/Zeit/Länge/interner Aufbau). So können Sie feststellen, ob Sie diese Datei verändert haben oder ob diese Veränderung von einem Virus stammt. 1.3.3 NACH CODESEQUENZ PRÜFEN ============================= Diese Aufgabe erledigen Programme wie SCAN von McAfee o.ä. für Sie: Diese Programm suchen im Speicher und in EXE/COM-Dateien nach verräterischen Codes, die von bekannten Viren stammen. Einziger Nachteil: Solche Programme sind auf bekannte Viren beschränkt. Viren- Feind erkennt auch unbekannte Virenarten, sofern diese sich auf ihrer Festplatte breit gemacht haben. 2. SYSTEMVORAUSSETZUNGEN ======================== Um Viren-Feind 1.0 verwenden zu können, benötigen Sie mindestens - einen 100% kompatiblen IBM-PC Computer - - MS-DOS Version ab 2.1 oder 100% kompatibles DR-DOS - - ungefähr 400 KB freien Hauptspeicher - - eine Festplatte - 3. INSTALLATION =============== Vor Beginn der Installation sollten Sie sich eine Sicherheitskopie Ihrer Originaldiskette anfertigen und nur mit dieser Kopie arbeiten. Das Original verwahren Sie an einem gesonderten Ort, möglichst getrennt von der Kopie. Die Installation von Viren-Feind 1.0 ist denkbar einfach. Auf der Diskette befindet sich eine Installationsprogramm mit dem Namen SETUP.EXE. Rufen Sie dieses Programm einfach auf und folgen Sie den Hinweisen am Bildschirm. 4. DER ERSTE START ================== Nachdem Sie Viren-Feind 1.0 installiert haben (siehe Kapitel 3), können Sie das Programm sofort starten. Vorausgesetzt, Viren-Feind 1.0 ist auf Ihrer Festplatte C: in dem Verzeichnis VIRFEIND installiert worden, so können Sie Viren-Feind 1.0 mit folgender Befehlsfolge starten: C: [Return] CD \VIRFEIND [Return] VIRFEIND [Return] (Das Zeichen \ erhalten Sie, wenn Sie die ALT-Taste halten und 9 und 2 auf dem Nummernblock eingeben) 5. BENUTZEROBERFLÄCHE ===================== 5.1 MAUSSTEUERUNG ================= Erkennt Viren-Feind 1.0 während des Initialisierungsvorganges eine installierte Maus, so wird diese automatisch aktiviert. Sie erkennen dies an dem farblich abgehobenen, kleinen Block, der den Mauscursor darstellen soll. Diesen Block können Sie frei über den gesamten Bildschirm bewegen, indem Sie mit ihrer Maus auf einer Unterfläche hin und her fahren, die möglichst viel Reibung erzeugt. Um eine Maus- Funktion zu aktivieren, muß die Maus positioniert und anschließend die Maustasten betätigt werden. 5.2 PULLDOWN-MENÜ ================= Im Hauptmenü von Viren-Feind 1.0 ist eine Menüleiste in der ersten Zeile des Bildschirms eingeblendet. Das Menüsystem ist immer dann aktiv, wenn Viren-Feind eine Funktionsauswahl von Ihnen erwartet. Um es zu aktivieren drücken Sie kurz auf die [ALT]-Taste. Der aktuelle Menüpunkt wird stets invertiert hervorgehoben. Diese spezielle Markierung nennt man auch Lichtbalken. Sie können diesen Balken mit den Cursortasten auf einen anderen Menüpunkt bewegen und diesen dann mittels der Return-Taste auswählen. Es wird dann, falls nötig, noch ein Untermenü aufgeblendet, welches weitere Funktionsmöglichkeiten enthält, unter denen Sie dann wiederum eine Auswahl treffen können. Betätigen Sie innerhalb eines Menüs die Pfeil-links oder Pfeil-rechts Taste, so wird das jeweils benachbarte Untermenü eingeblendet. Sie können ein Menü jederzeit durch Drücken der ESC-Taste verlassen. Der Text von jedem Menüpunkt enthält ein besonders gekennzeichnetes Zeichen. Alternativ zur Auswahl mittels des Lichtbalkens, können Sie einen Menüpunkt des aktiven Menüs auch durch Drücken des farblich hervorgehobenen Buchstabens auswählen. Wollen Sie ein Menüsystem mit der Maus bedienen, so klicken Sie die Menüzeile an, suchen sich einen Menüpunkt aus, bewegen den Mauscursor auf diesen Punkt und drücken Sie kurz auf die linke Maustaste. 5.3 FENSTER =========== Ein Fenster überlagert temporär einen bestimmten Teil des Bildschirms, der danach wieder freigegeben wird. Es wird dazu verwendet, um Informationen darzubringen oder um auf Eingaben zu warten. Jedes Fenster besitzt einige sensitive Stellen (Schaltflächen, Scroll-Leisten, Editierfelder usw.), die Sie speziell mit der Maus anklicken können. Positionieren Sie die Maus auf den bestimmten Bereich im Fenster und drücken Sie kurz die linke Maustaste. Der gewünschte Befehl wird ausgeführt. Falls Sie keine Maus haben, oder sie nicht verwenden wollen, können Sie diesen Befehl (wenn auch umständlicher) mit der Tastatur ausführen. Benutzen Sie dadurch folgende Hotkeys: TAB: Springt zum nächsten Feld im aktuellen Fenster SHIFT+TAB: Springt zum vorherigen Feld im aktuellen Fenster ESC: Schließt das Fenster CURSORTASTEN: Springen zum nächsten Feld im aktuellen Fenster 5.4 HILFESYSTEM MIT HILFEINDEX ============================== Das Viren-Feind-Hilfesystem ermöglicht das Nachschlagen in einem Handbuch während der Programmausführung. Durch Drücken der F1-Taste bekommen Sie Hilfestellung zu dem Programmteil, an dem Sie im Moment arbeiten. Verwenden Sie die Pfeiltasten, um den Cursor innerhalb der Hilfebildschirmes zu bewegen. Wenn nötig, wird der Bildschirminhalt gescrollt. ESC beendet die Hilfe. Die eingeeckten Wörter sind Querverweise, das heißt, daß es zu diesen Wörtern noch eine Extra-Hilfe gibt. Falls Sie diese Punkte ansteuern und auf die RETURN-Taste drücken, dann wird die jeweilige Hilfe zu diesem Punkt angezeigt. Der Hilfeindex ermöglicht den Gesamtüberblick aller Querverweise. Wählen Sie den Index- Befehl aus dem Hilfe-Menü, so erhalten Sie alle Querverweise aufgelistet. Wählen Sie die nun gewünschte Hilfefunktion mit den Cursortasten aus und drücken [RETURN]. Sie gelangen in die gewählte Hilfefunktion. 6. REFERENZENTEIL ================= 6.1 MENÜ AKTIONEN ================= 6.1.1 LAUFWERKSTEST =================== Dieser Befehl ermöglicht Ihnen, Tests von Ihrem Checksummen zu erstellen, um zu sehen, ob einige Ihrer EXE oder COM-Dateien durch einen Virus verändert wurden. Nachdem Sie diesen Befehl aus dem Pulldown-Menü gewählt haben, erscheint eine Liste, auf der die Laufwerke verzeichnet sind, die Sie testen können. Wählen Sie nun per Cursortasten ein Laufwerk aus und drücken Sie [RETURN]. Nun liest Viren-Feind den Verzeichnisbaum ein und danach wird Ihre Diskette/Platte gescannt. Diesen Testvorgang können Sie natürlich jederzeit mit der [ESC]-Taste unterbinden. Sollte einmal ein Virenverdacht auftreten, so sollten Sie sich folgendes Kapital durchlesen. 6.1.1.1 VIRENALARM ================== Sollte Viren-Feind einmal bei Ihnen Virusalarm schlagen, so geraten Sie nicht gleich in Panik. Vergewissern Sie sich, ob Sie nicht in letzter Zeit diese EXE-Datei erneuert haben (z.B. bei einem Programmupdate). Ist dies nicht der Fall, so ist Virenverdacht gegeben. Viren-Feind teilt einen Virenverdacht in folgende 5 Prioritätsstufen auf: geringer Virenverdacht: Datum wurde verändert Länge wurde nicht verändert Prüfsumme wurde nicht verändert mittlerer Virenverdacht: Datum wurde verändert Länge wurde verändert Prüfsumme wurde verändert mittlerer-großer Virenverdacht: Datum wurde verändert Länge wurde verändert Prüfsumme wurde verändert großer Virenverdacht: Datum wurde verändert Länge wurde nicht verändert Prüfsumme wurde verändert sehr großer Virenverdacht: Datum wurde nicht verändert Länge wurde nicht verändert Prüfsumme wurde verändert Es ergeben sich nun 4 verschiedene Reaktionsmöglichkeiten: Virenverdacht ignorieren: Viren-Feind setzt seine Suche nach weiteren Viren fort und ignoriert den Virenverdacht. Beim nächsten Checken dieser Datei wird dann nochmals Alarm gegeben. Prüfsumme aktualisieren: Diese Option ist sinnvoll, wenn Sie 100 % sicher sind, daß diese Datei nicht von einem Virus befallen ist, sondern nur von Ihnen (durch Updaten der Datei o.ä.) verändert wurde. Datei physikalisch löschen: Diese Option ist vor allem nötig, wenn ein sehr hoher Virenverdacht besteht. Sie überschreibt die Datei mit dem ASCII-Code 32, setzt die Dateilänge auf 0 und löscht die Datei. Die Datei ist nun unwiderbringlich gelöscht worden. Selbst Tools wie Undelete von MS-DOS 5.0 o.ä. können diese Datei nicht mehr herstellen. Es empfiehlt sich nun, die Datei von der Originaldiskette zu kopieren. Testaktion beenden: Unterbricht den Virentest. Sie befinden sich wieder im Hauptmenü 6.1.2 SICHERN BOOTSEKTOR C: =========================== Wählen Sie diese Option, um eine Kopie Ihres Bootsektors der Festplatte C: anzufertigen. Sollte ein Virus Informationen im Bootsektor ändern, so können Sie den alten Bootsektor über den Menüpunkt "Rekonstruieren Bootsektor C:" wiederherstellen. 6.1.3 VERGLEICHEN BOOTSEKTOR C: =============================== Diese Funktion vergleicht Ihren Bootsektor mit der eventuell bereits erstellten Kopie. Sollten diese beiden Sektor verschieden sein, so ist Virenbefall wahrscheinlich. 6.1.4 REKONSTRUIEREN BOOTSEKTOR C: ================================== WARNUNG !!! Diese Option ist mit äußerster Vorsicht zu genießen. Nur wenn Sie absolut sicher sind, daß ein Virus Ihren Bootsektor verändert hat, sollten Sie die Kopie auf den Originalbootsektor überschreiben. 6.1.5 LÖSCHE VERALTETE PRÜFDATEN ================================ Häufig ändert sich die Dateistruktur innerhalb eines Verzeichnisses. EXE oder COM Dateien werden gelöscht; andere kommen hinzu. Diese Option dient dazu, um Prüfsummencodes die nicht mehr benötigt werden, in der Datei VIRFEIND.DAT zu löschen. Dies erhöht die Geschwindigkeit von Viren-Feind und schafft neuen Speicherplatz auf der Festplatte. 6.1.6 ANSEHEN DER REPORT-DATEI ============================== Dieses Feature dient zum Ansehen des Testprotokolls eines Prüfsummenlaufs. Falls Sie unter dem Menüpunkt Optionen, Ausgabe der Reportdatei auf ja geschaltet haben, so wird ein Protokoll erzeugt. Das Protokoll enthält wichtige Information, welche Dateien neu in die Prüfliste aufgenommen wurden, wann das Programm einen Virenverdacht gemeldet hat, wie der Benutzer darauf reagiert hat usw.. Das Testprotokoll scrollen Sie mit den Tasten [auf], [ab], [PgAuf], [PgUp], [Home], [End]. Durch Drücken der ESC-Taste gelangen Sie wieder ins Hauptmenü. 6.1.7 BETRIEBSSYSTEM ==================== Die Funktion ermöglicht Ihnen, kurzzeitig Viren-Feind zu verlassen, um Funktionen oder Befehle aus MS-DOS aufzurufen. Um nach getaner Arbeit wieder zu Viren-Feind zurückzukehren, geben Sie an der DOS- Eingabeaufforderung "EXIT" ein. Bitte beachten Sie, daß Sie nicht den kompletten Arbeitsspeicher zur Verfügung haben, sondern nur einen Teil. Sie können also nur kleine Programme aufrufen, Dateien kopieren oder löschen. 6.1.7 ENDE VON VIREN-FEIND ========================== Falls Sie die Anwendung Viren-Feind beenden wollen, so wählen Sie diesen Menüpunkt aus dem Pulldown-Menü und drücken auf [Return]. 6.2 MENÜ OPTIONEN ================= 6.2.1 REPORT AUSGEBEN ===================== Ist diese Option eingeschaltet, so wird während des Virenchecks ein Testprotokoll erstellt, welches wichtige Informationen über den Testvorgang gibt. 6.2.2 STATUSZEILE BEI VIRENTEST =============================== Diese Option war ursprünglich dazu gedacht, um die benötigte Zeit während des Virentestes zu messen, möglichst klein zu halten und weiter zu optimieren. Sollte Ihnen die erste Zeile des Bildschirmes nicht gefallen, so haben Sie hier die Möglichkeit, diese Zeile auszublenden. 6.2.3 VIRFEIND.DAT VERSTECKEN ============================= Oft ist es unschön, wenn bei der Verzeichnisanzeige mit DIR die Datei VIRFEIND.DAT mit angezeigt wird. Diese Option vermeidet dies, indem sie das Hidden-Attribut setzt. Ist diese Option aktiv, so werden Sie VIRFEIND.DAT nicht mehr in der Dateiliste finden, falls Sie DIR eingeben. Dateimanager zeigen jedoch meist versteckte Dateien an. 6.2.4 OPTIONEN SPEICHERN ======================== Wenn Sie diese Option verwenden, dann werden alle Parameter (Statuszeile, Report ausgeben, VIRFEIND.DAT verstecken) gespeichert, damit Sie beim nächsten Neustart direkt verfügbar sind. 6.3 MENÜ AUTOSTART ================== Begriffsgrundlagen: Autostart bedeutet, daß Viren-Feind nach jedem Einschalten des Rechners während des Bootvorganges einen automatischen Selbsttest von Dateien macht, die Sie innerhalb der Prüfliste ausgewählt haben. Der Planer ist ein Virenterminplaner. Sie stellen eine bestimmte Zeit von Tagen ein, und Viren-Feind führt für Sie nach dieser Anzahl von Tagen eine automatische Virensitzung durch. 6.3.1 AUTOSTART AN/AUS ====================== Diese Funktion installiert oder deinstalliert Viren-Feind in Ihrer AUTOEXEC.BAT. Die Datei AUTOEXEC.BAT wird bei jedem Start des Computers eingelesen und ausgeführt. Sollte Viren-Feind in dieser Datei installiert sein, so sind Autostart und Planer aktiv. 6.3.2 EINZUSCHLIEßENDE PRÜFDATEIEN ================================== Mit diesem Befehl können Sie Dateien hinzufügen oder entfernen, die Sie beim Starten Ihres Computers checken möchten. Hinzufügen: Bitte geben Sie nun den kompletten (!) Dateinamen inklusive Pfad und Laufwerk an. Zum Beispiel: C:\DOS\COMMAND.COM Löschen: Entfernt Dateien aus der Prüfliste. Bitte wählen Sie die Datei per Cursortasten aus und drücken Sie [RETURN]. Abbrechen: Beendet das Editieren der Prüfliste und speichert die eingeschlossenen Dateien unter DATEIEN.INC. 6.3.3 EINSTELLUNGEN ZUM PLANER ============================== Diese Funktion bestimmt, nach wieviel Tagen eine Viren-Testaktion automatisch ausgeführt werden soll. Bitte geben Sie in das Editierfeld eine Zahl zwischen 1 und 99 ein, die die Anzahl der Tage darstellen soll. Hinweis: Diese Funktion ist nur aktiv, wenn Sie Viren-Feind in der AUTOEXEC.BAT installiert haben (siehe Kapitel 6.3.1) ANHANG: EINGETRAGENE WARENZEICHEN ================================= MS-DOS ist ein eingetragenes Warenzeichen der Firma Microsoft. DR-DOS ist ein eingetragenes Warenzeichen der Firma Digital Research. SCAN ist ein eingetragenes Warenzeichen der McAfee Asociates.