home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Atari Forever 4
/
Atari Forever 4.zip
/
Atari Forever 4.iso
/
PD_THEMA
/
ANTIVIR
/
INJECT.ORD
/
MANUAL.DOC
< prev
next >
Wrap
Text File
|
1998-03-14
|
18KB
|
335 lines
INJECTION Version 1.43 - Manual
-------------------------------
INJECTION V1.43 ist Public Domain.
INJECTION wurde von Heiko Hartmann im Jahre 1989 geschrieben.
Dies Anleitung ist noch nicht komplett, sie bezieht sich auf die ältere
Version 1.31.
Sie können INJECTION frei kopieren. Änderungen am Programmcode sind nicht
zulässig. Für 20 DM (Schein) können sie sich bei mir registrieren lassen. Sie
erhalten das nächste Update umsonst zugeschickt. (Bitte als Kennwort
'Injection' angeben).
VORWORT
-------
Schon seit einigen Jahren gibt es in der Computerszene Gerüchte von sog.
Computerviren die auf den verschiedensten Systemen ihr Unwesen treiben.
Leider blieb es nicht bei diesem Gerücht. Neue Virenarten schossen wie Pilze
aus dem Boden und machtem manchem Computerbesitzer das Leben schwer. Auch
der Atari ST wurde von den Viren nicht verschont.
Bösartige Viren können erheblichen Schaden anrichten:
- Bootsektorviren kopieren sich stets in den Bootsektor und zerstören somit
eventuell schon vorher vorhandene Bootprogramme (die manchmal in Spielen
vorkommen) und zerstören damit das gesamte Programm auf dieser Diskette.
- Auch Linkviren zerstören manchmal allein durch ihr Vorhandensein ein
Programm. Davon sind vor allem gepackte Programme betroffen.
- Viele Viren wurden nur so aus Spaß programmiert (Fun-Viren), sie sind vor
allem als kleiner "Gag" gedacht. So drehen manche die Bewegung des Maus-
zeiger um, bremsen das Programm bis zum Stillstand ab oder schalten
plötzlich in den 60Hz-Modus - DAS IST ALLES HARMLOS.
Leider gibt es auch Viren die weitaus gemeiner und bösartiger sind. Ihre
Aktivitäten reichen vom löschen der gesammten Disktte oder Festplatte bis
zur Beschädigung des Schreib/Lese-Kopfes eines Laufwerks.
Solche Viren gibt es glücklicherweise nur sehr selten auf dem Atari ST.
(ABER: Was nicht ist kann ja noch werden !).
Darum habe ich INJECTION geschrieben.
ÜBER VIREN
----------
Bis jetzt wissen sie, was Viren anrichten können. Das genügt zu einer wirk-
samen Bekämpfung jedoch nicht. Viel Interessanter ist die Frage WIE sie das
alles tun.
Um das zu Beantworten muß man zu allererst einmal unterscheiden:
Es gibt...
1. Bootsektor-Viren
2. Link-Viren
3. Trojanische Pferde
4. Expiration Dates
Expiration Dates zerstören nach einer gewissen Zeit ein Programm. Diese
Viren-Art sind rechtlich zulässig, da sie häufig mit Absicht in sogenannte
Demo-Programme vom Programierer installiert werden. Sie kommen jedoch so gut
wie nie auf dem ST vor, da nur die Mega ST-Reihe über eine Uhr verfügt.
Trojanische Pferde sind Programme die sich zuerst als etwas ganz anderes
ausgeben, diese Funktion jedoch nur scheinbar erfüllen und klammheimlich,
ohne das es der Benutzer bemerkt ganz andere Sachen bewerkstelligen.
Solche Programme findet man, wenn überhaupt, nur im DFÜ-Verkehr oder bei
Netzwerken.
Link-Viren sind da schon interessanter. Davon gibt es auf dem ST schon eine
stattliche (unbekannte) Anzahl. Link-Viren hängen sich an/vor ein Programm
indem sie deren Einsprungadresse ändern. Sie werden dann vor dem eigentlichen
Programm ausgeführt. Immer wenn eine Diskettenoperation stattfindet schaltet
sich dieses Programm dazwischen, um zu sehen ob sich nicht das nächste Opfer-
Programm findet. Zu diesem Zweck hat es vorher einen der Disketten-Vektoren
'verbogen' (d.h.ersetzt).Solch ein verbogener Disketten-Vektor(Zeiger) ist ein
ziemlich sicherer Hinweis auf einen Linkvirus. Eine andere Spur ist die Länge
des befallenen Programms, die sich ja im vergleich zum Original verlängert
haben muß (Muß ? Man hört schon von Viren die Programme packen und auf die
vorherige Länge ergänzen können !).
Bootsektor Viren gibt es ebenfalls reichlich auf dem ST. Im Gegensatz zu den
Link-Viren befallen sie jedoch nicht ein Programm sondern ganze Disketten
indem sie sich als ausführbares Programm in den Bootsektor schreiben.
(Dieser Bootsektor stammt noch aus den Tagen, als das TOS noch von der Disk
geladen werden mußte. Eine vernünftige Anwendung für ROM-TOS-Besitzer ist hier
nämlich schwer zu finden.)
Boot-Viren erkennt man daran, das sich ausführbare Bootsektoren auf Disks
befinden auf die sie gar nicht hingehören.
Bootsektoren haben einen großen Vorteil gegenüber Link-Viren: Sie vermehren
sich unglaublich schnell. Dafür lassen sie sich aber auch ohne Probleme
vernichten. Link-Viren sind oft nicht vom Programm zu trennen und sind daher
nur durch Löschen des gesammten Programms zu vertilgen (Leider ! Wer auch
immer ihnen etwas anderes verspricht kann nur lügen !).
So, jetzt können sie wenigstens nich ganz ahnungslos sterben.
HILFE NAHT !
------------
Mit INJECTION ist es nun möglich den Bootsektor- und Link-Viren auf den Leib
zu rücken.
INJECTION schafft dies jedoch in manchen Fällen nur durch Mithilfe des
Anwenders, der immer Augen und Ohren offenhalten sollte.
Ein paar grundlegende Tips im Kampf gegen Viren sind hier schon einmal
angebracht:
- Es gibt keinen Virus der den Schreibschutz der Diskette umgehen kann (Auch
der ACA-Virus schafft das nicht !). Deshalb: Bei Disketten die nicht mehr
Beschrieben werden Schreibschutz einstellen. Auch die INJECTION-Diskette
sollte immer mit Schreibschutz geladen werden !
- Falls sich ein Virus bemerkbar macht sobald wie möglich den Computer aus-
schalten (davor ruhig noch das gerade bearbeitete Programm absaven - in den
meisten Fällen handelt es sich nur um einen Bootvirus der sowieso schon auf
der Diskette sitzt.). KEIN RESET ! Manche Viren sind resetfest verankert !
Nur wenn sie den Strom für einige Sekunden abschalten verschwinden die
Viren ! Danach sofort mit INJECTION nachsehen !
- Bei neuen Programmen (vor allem Public Domain) zuerst einmal mit INJECTION
die Diskette überprüfen. Bei neuer Originalsoftware besteht oft keine
Gefahr, aber man weiß ja nie !
- Festplatten-Viren kommen immer von der Diskette. Also beim Installieren der
Festplatte vorsicht ! Erst mal die Diskette begutachten die sich beim
einschalten im Computer befindet !
So, jetzt aber zum eigentlichen Programm selbst:
STARTEN VON INJECTION
---------------------
Legen sie die INJECTION-Diskette in ihr Laufwerk und schalten sie ihren Atari
ST ein (Warum sich ein RESET weniger empfiehlt entnehmen sie bitte vorigem
Kapitel).
Nach kurzer Zeit erscheint das bekannte Desktop ihres ST. Besitzer von Farb-
monitoren befinden sich sofort in der Mittleren Auflösungsstufe. INJECTION
läuft jedoch auch in der niedrigen Auflösung (mit kleinen Einschränkungen in
der Mausbewegung) und natürlich auch Monochrom.
Öffnen sie das Laufwerk A (2 mal schnell das Symbol anklicken). Ein Fenster mit
der Programmübersicht des Laufwerks erscheint. Sie sehen zwei Symbole in diesem
Fenster: Den INJECT.ORD-Ordner und das File MANUAL.DOC (welches sie gerade
lesen !).
Um INJECTION zu laden müssen sie den INJECT.ORD-Ordner öffnen. In diesem Ordner
müssen sich 3 Datein befinden: Das Programm INJECT13.PRG und die Dateien mit
Namen BOOT.DAT und LINK.DAT.
Starten sie das Programm INJECT13.PRG durch 2maliges Anklicken.
So. Nach einer kurzen Ladezeit wird der Bildschirm schwarz. Das ist gewollt.
Kurz darauf (Es werden die Datein BOOT.DAT und LINK.DAT noch eingeladen) kommen
sie in den ersten Programmabschnitt...
DER SPEICHERTEST
----------------
Es kann in manchen Fällen passieren, das sich ein Virus trotz aller Vorsicht
beim Starten von INJECTION bereits im Speicher befindet. So könnte es
passieren, das der Virus die Kontrolle übernehmen würde und bei jedem Schreib-
und Lesevorgang sein zerstörerisches Werk weiterbetreiben würde.
Doch keine Angst, ein ordentliches Virenkiller-Programm macht deshalb zuerst
einen Speichertest und Untersucht damit den Speicher auf verdächtige Spuren,
die auf einen Virus schließen lassen. Als Beispiel sei hier das bekannte VDU3.0
genannt, das plötzlich eine Meldung ausgibt und den Programmablauf unterbricht.
Dasselbe tut INJECTION auch, nur das man durch zurechtbiegen der Zeiger wieder
fortfahren kann !
Der Speichertest läuft folgendermaßen ab (Leser die folgendes etwas verwirrend
finden sollten sich keine Gedanken machen und einfach weiterlesen):
Zuerst wird die TOS-Nummer und die Speichergröße überprüft. Leider ist der
Speichertest vieleicht bei anderen (zukünftigen) TOS-Versionen oder bei
exotischen Speichergrößen (z.B. 2.5 Mbyte) nicht funktionsfähig ?
Danach werden die zwei Diskettenroutinen-Zeiger überprüft:
Haben sie INJECTION zum ersten mal geladen kann es drei mögliche Meldungen
geben:
< OK. > Diese Meldung ist nicht nur beruhigend sondern gibt auch noch an, das
die Zeiger ihres ST's mit den von Haus aus eingestellten Werten übereinstimmen.
In diesem Fall haben sie nichts mehr zu tun.
< OK, Zeiger zeigt ins ROM : Wert unbekannt > Auch das ist beruhigend. Jedoch
stimmt hier der vorprogrammierte Wert nicht mit ihrem überein, sie können ihn
mit der Funktion < Zeiger speichern > selbst programmieren. Dies empfiehlt sich
unbedingt, denn nur dann können sie die Zeiger später immer korrigieren !
< Achtung ! Zeiger zeigt RAM !> Das ist weniger beruhigend. In diesem Fall
können sie davon ausgehen, das die Zeiger absichtlich verbogen wurden. So etwas
machen jedoch nicht nur Viren, sondern auch z.B. Ramdisks oder sonstige reset-
feste Programme. Sie können die Zeiger korrigieren lassen falls (!) sie diese
Zeiger vorher in ihrer korrekten Form einmal abgespeichert haben.
Mit einer Taste kommen sie nun zum eigentlichen Programm:
DIE MENULEISTE
--------------
Am oberen Bildschirmrand ist eine GEM-Menuleiste angebracht, aus der sie nun
eine Funktion aussuchen können:
DESK
----
Unter Desk steht folgendes zur Verfügung:
-Quit: Hier können sie INJECTION verlassen.
-ACC: Wenn welche im Speicher sind, kann man hier auch die Accessories auf-
rufen.
KILLER
------
Unter Killer stehen die Programmteile zum Aufspüren und Beseitigen von Viren:
-Bootsektor: Hier können sie Bootsektor-Viren aufspüren.
-Link-Virus: Und hier die Link-Viren.
Die Steuerung der Programmteile geschieht nur über Tastatur.
Die möglichen Tasteneingaben stehen immer am unteren Bildschirmrand.
So erhalten sie, wenn sie Bootsektor gewählt haben folgendes:
Bitte Diskette in A einlegen.
<RETURN>=fertig <ESC>=Menu
Drücken sie nun RETURN beginnt die Untersuchung, drücken sie ESC kommen sie
wieder in die GEM-Menuleiste.
BOOT
----
Hier können sie noch verschiedene Sachen mit dem Bootsektor anstellen:
-Repair: Sie können Bootsektoren von Bootprogrammen wieder reparieren lassen,
wenn sie zerstört wurden.
-Löschen: Sie können einen Bootsektor auch wieder löschen.
-Wächter: Sie können einen Wächter im Bootsektor installieren.
-60Hz: Oder aber sie können eine 60Hz-Umschaltung installieren.
LINK
----
Hier noch ein paar Möglichkeiten im Kampf gegen Linkviren:
-Prüfen: Dasselbe wie unter Killer/Link-Virus.
-Speichern: Hier können sie die Länge aller untersuchter Programme abspeichern.
Dies erlaubt eine verbesserte Kontrolle bei bestimmten Programmen. INJECTION
kann sich die Längen von bis zu 1000 Programmen merken. Hängt sich ein Link-
virus an ein Programm, verändert er auch automatisch dessen Länge (meistens).
Vorsicht bei bei sogenannten Updates ! INJECTION V1.31 ist wesentlich länger
als INJECTION V1.0, hat aber den gleichen Filenamen ! (nämlich: INJECT.PRG).
Hier muß mal wieder der Anwender selber aufpassen.
EIN LINKVIRUS WURDE GEFUNDEN
----------------------------
INJECTION entdeckt auf jeden Fall den Milzbrandvirus und alle VCS-Viren. Diese
beiden Typen werden auch identifiziert. Leider vermag es INJECTION nicht, die
Linkviren aus dem Programm zu entfernen, es bleibt nur eines: Das befallene
Programm löschen !
Hat sich die Länge eines Programms verändert und macht das Programm Dinge die
nicht im Handbuch stehen oder hat es Probleme mit Dateien (Signum! oder
1st Word Plus) dann ist bestimmt auch ein Virus am Werk. Wenn sie eine
Sicherheitskopie des Programmes haben hilft nur löschen, ansonsten würde ich
einmal den Fachhändler aufsuchen.
Man kann jedoch zuvor noch eine genauere Untersuchung ablaufen lassen.
Hier werden alle gefährlichen Befehle im Programm identifiziert und auf dem
Monitor ausgegeben. Doch nicht alles was gefährlich aussieht ist es auch.
INJECTION selbst hat z.B. jede Menge Diskettenbefehle, weil es die einfach
benötigt. Der Computer gibt daraufhin die Meldung <Sieht gefährlich aus> aus.
In Wirklichkeit hat jedoch INJECTION keinen Virus. Auch ein Diskmonitor hat
meistens keinen, nur eben viele ähnliche Befehle.
IM BOOTSEKTOR STIMMT ETWAS NICHT
--------------------------------
Falls der Bootsektor nicht normal ist, wird dies sofort angezeigt.
Ist das Programm nicht ausführbar, kann es auch kaum ein Virus sein, da es ja
gar nicht am Anfang gestartet wird.
Ausführbare Programme werden auch gleich noch genauer Untersucht. Wichtig ist
hierbei vor allem die Meldung: <Byte xyz: Bootsektor wird geschrieben>.
In diesem Fall handelt es sich garantiert um einen Virus. Außerdem werden die
4 häufigsten Bootsektorviren direkt identifiziert.
z.B.: <!!! Virus #4 !!!>
Bestehen dennoch einmal Zweifel hilft <DUMP> weiter. Hier erhalten sie zunächst
eine Hexadezimal-Dump (sagt meistens nicht sehr viel), auf Tastendruck dann das
selbe in ASCII-Codes. Oft stehen hier bei ungefährlichen Programmen Wörter drin
die Aufschluß geben (z.B.: <%$% ...ANTI-VIRUS...>).
Vorsicht vor Programmen, die direkt im Bootsektor gestartet werden ! Diese
Programme haben ebenfalls einen ausführbaren Bootsektor, sie starten auto-
matisch wenn man eine Diskette einlegt und den Computer einschaltet ! Zerstören
sie in diesem Fall das Bootprogramm im Bootsektor, geht ihnen leider auch das
ganze Programm flöten !
So lautet denn nun die Frage, wenn man nicht weiß ob es sich hier um ein
Programm handelt das automatisch gestartet wird, wie bekommt man diesen Umstand
heraus ?
Ganz einfach. Es gibt genau 3 Möglichkeiten, TOS dazu zu bewegen eine Programm
gleich nach dem Einschalten des Computers gleich auszuführen:
1. Ein Autoboot-Programm im Bootsektor (Die aufwendigste Methode). Dies hat den
Vorteil, das man Programme besser vor den wißbegierigen Augen anderer
schützen kann.
2. Der AUTO-Ordner. Es dürfte ja bekannt sein das TOS-Programme die in einem
AUTO-Ordner liegen, beim Starten des Systems automatisch ausgeführt werden.
3. Alle Accessories (Das sind die Dateien, die die Endung .ACC haben). Auch
diese Dateien werden geladen und installiert. Dieser Punkt ist jedoch un-
interessant, da es sich eben um Accessories und nicht um Programme handelt.
Also: Befindet sich kein AUTO-Ordner auf der Diskette, das Programm wird aber
dennoch automatisch ausgeführt, dann haben wir Punkt 1, will heißen einen
ausführbaren legalen Bootsektor. Diesen sollten sie nicht löschen !
DER BOOTSEKTOR IST FUTSCH !
---------------------------
Tja, haben sie ein Programm der Sparte 1 (s.o.) und ein Virus schreibt sich
unverschämter Weise in den Bootsektor, dann sieht es schlecht aus. Denn dann
können sie ihr Programm nicht mehr laden.
INJECTION hat jedoch eine Anzahl bekannter Bootsektoren gespeichert und sie
können jedes ihrer neuen Programme mit Bootsektoren in diese Liste mit auf-
nehmen und dadurch jederzeit den gemeinen Virus durch simples Überschreiben mit
dem original Bootsektor zerstören, mit dem netten Nebeneffekt das ihr Programm
wieder läuft !
Zu diesem Zweck klicken sie in der Menu-Leiste Boot - Repair an.
Mit der Leertaste können sie nun die Liste der enthaltenen Bootsektoren nach
oben scrollen. Erscheint das von ihnen gewünschte Programm betätigen sie die
Return-Taste - Der Bootsektor des ausgewählten Programmes wird daraufhin auf
die eingelegte Diskette geschrieben.
Sie können diese Liste auch mit ESC wieder verlassen.
Wie wird diese Liste erweitert ?
Sie werden es nicht glauben, aber diese Liste wird von ihnen selbst erweitert.
Falls sie einmal einen Bootsektor untersuchen (mit der Funktion Killer - Boot)
und ein ausführbarer Bootsektor wird erkannt und sie wissen, daß dieser Boot-
sektor ganz legal zu ihrem Programm gehört, dann wählen sie dort die Funktion
< DATA >. Der Bootsektor wird in die Liste übernommen. Über 25 Einträge haben
dort noch Platz. Wenn sie also ein neues Programm mit einem ausführbaren Boot-
sektor haben, überprüfen sie den Bootsektor und nehmen ihn in ihre Liste auf !
Übrigens wäre ich ihnen sehr verbunden, wenn sie mir diese Liste dann zusenden
würden, da ich auch nicht alle Programme mit Bootsektoren haben kann (Sie be-
kommen die Diskette natürlich zurück mit meiner neusten Liste).
Die Liste liegt auf der Diskette als File mit dem Namen BOOT.DAT vor - mehr
benötige ich gar nicht !
Sie können natürlich auch wieder Einträge aus der Liste entfernen. Dazu klicken
sie bitte die Funktion Boot - Löschen an. Wählen sie ihr Programm aus und
betätigen sie Return um ihr Programm zu löschen.
VORSORGE IM BOOTSEKTOR
----------------------
Es gibt eine simple aber geniale Methode sich vor Bootsektorvirenbefall zu
schützen: Der Bootsektor-Wächter.
Sie erreichen diese Funktion unter Boot - Wächter.
Hier wird ein kleines Programm in den Bootsektor geschrieben das folgende
Meldung ausgibt:
Wächter !
<TASTE>
Betätigen sie eine Taste und der Computer fängt an die Diskette zu laden.
Sie werden bemerkt haben, das dies genauso funktioniert wie ein Virus, nur das
bei unserem Wächter nichts passieren kann und er sich recht auffällig verhält.
Wird diese Diskette mit dem Wächter nun infiziert, wird der Wächter vom Virus
überschrieben und folglich gibt es auch keine Meldung mehr. Wenn sie sich
angewöhnen ihr Computersystem immer auf einer Diskette mit einem Wächter hoch-
zufahren fällt ihnen das Fehlen desselben sofort auf und sie können sich daran
machen den Bootsektor wieder zu reinigen.
Auch diese INJECTION-Diskette hat einen Wächter.
Neben dem Wächter können sich Farbmonitorbesitzer noch einen 60 Hz-Umschalter
in den Bootsektor schreiben, entweder ebenfalls als Antivirus oder eben nur
weil man 60 Hz haben will.