Atari Forever 4

home *** CD-ROM | disk | FTP | other *** search

/ Atari Forever 4 / Atari Forever 4.zip / Atari Forever 4.iso / PD_THEMA / ANTIVIR / INJECT.ORD / MANUAL.DOC < prev next >

Wrap

Text File | 1998-03-14 | 18KB | 335 lines

INJECTION Version 1.43 - Manual ------------------------------- INJECTION V1.43 ist Public Domain. INJECTION wurde von Heiko Hartmann im Jahre 1989 geschrieben. Dies Anleitung ist noch nicht komplett, sie bezieht sich auf die ältere Version 1.31. Sie können INJECTION frei kopieren. Änderungen am Programmcode sind nicht zulässig. Für 20 DM (Schein) können sie sich bei mir registrieren lassen. Sie erhalten das nächste Update umsonst zugeschickt. (Bitte als Kennwort 'Injection' angeben). VORWORT ------- Schon seit einigen Jahren gibt es in der Computerszene Gerüchte von sog. Computerviren die auf den verschiedensten Systemen ihr Unwesen treiben. Leider blieb es nicht bei diesem Gerücht. Neue Virenarten schossen wie Pilze aus dem Boden und machtem manchem Computerbesitzer das Leben schwer. Auch der Atari ST wurde von den Viren nicht verschont. Bösartige Viren können erheblichen Schaden anrichten: - Bootsektorviren kopieren sich stets in den Bootsektor und zerstören somit eventuell schon vorher vorhandene Bootprogramme (die manchmal in Spielen vorkommen) und zerstören damit das gesamte Programm auf dieser Diskette. - Auch Linkviren zerstören manchmal allein durch ihr Vorhandensein ein Programm. Davon sind vor allem gepackte Programme betroffen. - Viele Viren wurden nur so aus Spaß programmiert (Fun-Viren), sie sind vor allem als kleiner "Gag" gedacht. So drehen manche die Bewegung des Maus- zeiger um, bremsen das Programm bis zum Stillstand ab oder schalten plötzlich in den 60Hz-Modus - DAS IST ALLES HARMLOS. Leider gibt es auch Viren die weitaus gemeiner und bösartiger sind. Ihre Aktivitäten reichen vom löschen der gesammten Disktte oder Festplatte bis zur Beschädigung des Schreib/Lese-Kopfes eines Laufwerks. Solche Viren gibt es glücklicherweise nur sehr selten auf dem Atari ST. (ABER: Was nicht ist kann ja noch werden !). Darum habe ich INJECTION geschrieben. ÜBER VIREN ---------- Bis jetzt wissen sie, was Viren anrichten können. Das genügt zu einer wirk- samen Bekämpfung jedoch nicht. Viel Interessanter ist die Frage WIE sie das alles tun. Um das zu Beantworten muß man zu allererst einmal unterscheiden: Es gibt... 1. Bootsektor-Viren 2. Link-Viren 3. Trojanische Pferde 4. Expiration Dates Expiration Dates zerstören nach einer gewissen Zeit ein Programm. Diese Viren-Art sind rechtlich zulässig, da sie häufig mit Absicht in sogenannte Demo-Programme vom Programierer installiert werden. Sie kommen jedoch so gut wie nie auf dem ST vor, da nur die Mega ST-Reihe über eine Uhr verfügt. Trojanische Pferde sind Programme die sich zuerst als etwas ganz anderes ausgeben, diese Funktion jedoch nur scheinbar erfüllen und klammheimlich, ohne das es der Benutzer bemerkt ganz andere Sachen bewerkstelligen. Solche Programme findet man, wenn überhaupt, nur im DFÜ-Verkehr oder bei Netzwerken. Link-Viren sind da schon interessanter. Davon gibt es auf dem ST schon eine stattliche (unbekannte) Anzahl. Link-Viren hängen sich an/vor ein Programm indem sie deren Einsprungadresse ändern. Sie werden dann vor dem eigentlichen Programm ausgeführt. Immer wenn eine Diskettenoperation stattfindet schaltet sich dieses Programm dazwischen, um zu sehen ob sich nicht das nächste Opfer- Programm findet. Zu diesem Zweck hat es vorher einen der Disketten-Vektoren 'verbogen' (d.h.ersetzt).Solch ein verbogener Disketten-Vektor(Zeiger) ist ein ziemlich sicherer Hinweis auf einen Linkvirus. Eine andere Spur ist die Länge des befallenen Programms, die sich ja im vergleich zum Original verlängert haben muß (Muß ? Man hört schon von Viren die Programme packen und auf die vorherige Länge ergänzen können !). Bootsektor Viren gibt es ebenfalls reichlich auf dem ST. Im Gegensatz zu den Link-Viren befallen sie jedoch nicht ein Programm sondern ganze Disketten indem sie sich als ausführbares Programm in den Bootsektor schreiben. (Dieser Bootsektor stammt noch aus den Tagen, als das TOS noch von der Disk geladen werden mußte. Eine vernünftige Anwendung für ROM-TOS-Besitzer ist hier nämlich schwer zu finden.) Boot-Viren erkennt man daran, das sich ausführbare Bootsektoren auf Disks befinden auf die sie gar nicht hingehören. Bootsektoren haben einen großen Vorteil gegenüber Link-Viren: Sie vermehren sich unglaublich schnell. Dafür lassen sie sich aber auch ohne Probleme vernichten. Link-Viren sind oft nicht vom Programm zu trennen und sind daher nur durch Löschen des gesammten Programms zu vertilgen (Leider ! Wer auch immer ihnen etwas anderes verspricht kann nur lügen !). So, jetzt können sie wenigstens nich ganz ahnungslos sterben. HILFE NAHT ! ------------ Mit INJECTION ist es nun möglich den Bootsektor- und Link-Viren auf den Leib zu rücken. INJECTION schafft dies jedoch in manchen Fällen nur durch Mithilfe des Anwenders, der immer Augen und Ohren offenhalten sollte. Ein paar grundlegende Tips im Kampf gegen Viren sind hier schon einmal angebracht: - Es gibt keinen Virus der den Schreibschutz der Diskette umgehen kann (Auch der ACA-Virus schafft das nicht !). Deshalb: Bei Disketten die nicht mehr Beschrieben werden Schreibschutz einstellen. Auch die INJECTION-Diskette sollte immer mit Schreibschutz geladen werden ! - Falls sich ein Virus bemerkbar macht sobald wie möglich den Computer aus- schalten (davor ruhig noch das gerade bearbeitete Programm absaven - in den meisten Fällen handelt es sich nur um einen Bootvirus der sowieso schon auf der Diskette sitzt.). KEIN RESET ! Manche Viren sind resetfest verankert ! Nur wenn sie den Strom für einige Sekunden abschalten verschwinden die Viren ! Danach sofort mit INJECTION nachsehen ! - Bei neuen Programmen (vor allem Public Domain) zuerst einmal mit INJECTION die Diskette überprüfen. Bei neuer Originalsoftware besteht oft keine Gefahr, aber man weiß ja nie ! - Festplatten-Viren kommen immer von der Diskette. Also beim Installieren der Festplatte vorsicht ! Erst mal die Diskette begutachten die sich beim einschalten im Computer befindet ! So, jetzt aber zum eigentlichen Programm selbst: STARTEN VON INJECTION --------------------- Legen sie die INJECTION-Diskette in ihr Laufwerk und schalten sie ihren Atari ST ein (Warum sich ein RESET weniger empfiehlt entnehmen sie bitte vorigem Kapitel). Nach kurzer Zeit erscheint das bekannte Desktop ihres ST. Besitzer von Farb- monitoren befinden sich sofort in der Mittleren Auflösungsstufe. INJECTION läuft jedoch auch in der niedrigen Auflösung (mit kleinen Einschränkungen in der Mausbewegung) und natürlich auch Monochrom. Öffnen sie das Laufwerk A (2 mal schnell das Symbol anklicken). Ein Fenster mit der Programmübersicht des Laufwerks erscheint. Sie sehen zwei Symbole in diesem Fenster: Den INJECT.ORD-Ordner und das File MANUAL.DOC (welches sie gerade lesen !). Um INJECTION zu laden müssen sie den INJECT.ORD-Ordner öffnen. In diesem Ordner müssen sich 3 Datein befinden: Das Programm INJECT13.PRG und die Dateien mit Namen BOOT.DAT und LINK.DAT. Starten sie das Programm INJECT13.PRG durch 2maliges Anklicken. So. Nach einer kurzen Ladezeit wird der Bildschirm schwarz. Das ist gewollt. Kurz darauf (Es werden die Datein BOOT.DAT und LINK.DAT noch eingeladen) kommen sie in den ersten Programmabschnitt... DER SPEICHERTEST ---------------- Es kann in manchen Fällen passieren, das sich ein Virus trotz aller Vorsicht beim Starten von INJECTION bereits im Speicher befindet. So könnte es passieren, das der Virus die Kontrolle übernehmen würde und bei jedem Schreib- und Lesevorgang sein zerstörerisches Werk weiterbetreiben würde. Doch keine Angst, ein ordentliches Virenkiller-Programm macht deshalb zuerst einen Speichertest und Untersucht damit den Speicher auf verdächtige Spuren, die auf einen Virus schließen lassen. Als Beispiel sei hier das bekannte VDU3.0 genannt, das plötzlich eine Meldung ausgibt und den Programmablauf unterbricht. Dasselbe tut INJECTION auch, nur das man durch zurechtbiegen der Zeiger wieder fortfahren kann ! Der Speichertest läuft folgendermaßen ab (Leser die folgendes etwas verwirrend finden sollten sich keine Gedanken machen und einfach weiterlesen): Zuerst wird die TOS-Nummer und die Speichergröße überprüft. Leider ist der Speichertest vieleicht bei anderen (zukünftigen) TOS-Versionen oder bei exotischen Speichergrößen (z.B. 2.5 Mbyte) nicht funktionsfähig ? Danach werden die zwei Diskettenroutinen-Zeiger überprüft: Haben sie INJECTION zum ersten mal geladen kann es drei mögliche Meldungen geben: < OK. > Diese Meldung ist nicht nur beruhigend sondern gibt auch noch an, das die Zeiger ihres ST's mit den von Haus aus eingestellten Werten übereinstimmen. In diesem Fall haben sie nichts mehr zu tun. < OK, Zeiger zeigt ins ROM : Wert unbekannt > Auch das ist beruhigend. Jedoch stimmt hier der vorprogrammierte Wert nicht mit ihrem überein, sie können ihn mit der Funktion < Zeiger speichern > selbst programmieren. Dies empfiehlt sich unbedingt, denn nur dann können sie die Zeiger später immer korrigieren ! < Achtung ! Zeiger zeigt RAM !> Das ist weniger beruhigend. In diesem Fall können sie davon ausgehen, das die Zeiger absichtlich verbogen wurden. So etwas machen jedoch nicht nur Viren, sondern auch z.B. Ramdisks oder sonstige reset- feste Programme. Sie können die Zeiger korrigieren lassen falls (!) sie diese Zeiger vorher in ihrer korrekten Form einmal abgespeichert haben. Mit einer Taste kommen sie nun zum eigentlichen Programm: DIE MENULEISTE -------------- Am oberen Bildschirmrand ist eine GEM-Menuleiste angebracht, aus der sie nun eine Funktion aussuchen können: DESK ---- Unter Desk steht folgendes zur Verfügung: -Quit: Hier können sie INJECTION verlassen. -ACC: Wenn welche im Speicher sind, kann man hier auch die Accessories auf- rufen. KILLER ------ Unter Killer stehen die Programmteile zum Aufspüren und Beseitigen von Viren: -Bootsektor: Hier können sie Bootsektor-Viren aufspüren. -Link-Virus: Und hier die Link-Viren. Die Steuerung der Programmteile geschieht nur über Tastatur. Die möglichen Tasteneingaben stehen immer am unteren Bildschirmrand. So erhalten sie, wenn sie Bootsektor gewählt haben folgendes: Bitte Diskette in A einlegen. <RETURN>=fertig <ESC>=Menu Drücken sie nun RETURN beginnt die Untersuchung, drücken sie ESC kommen sie wieder in die GEM-Menuleiste. BOOT ---- Hier können sie noch verschiedene Sachen mit dem Bootsektor anstellen: -Repair: Sie können Bootsektoren von Bootprogrammen wieder reparieren lassen, wenn sie zerstört wurden. -Löschen: Sie können einen Bootsektor auch wieder löschen. -Wächter: Sie können einen Wächter im Bootsektor installieren. -60Hz: Oder aber sie können eine 60Hz-Umschaltung installieren. LINK ---- Hier noch ein paar Möglichkeiten im Kampf gegen Linkviren: -Prüfen: Dasselbe wie unter Killer/Link-Virus. -Speichern: Hier können sie die Länge aller untersuchter Programme abspeichern. Dies erlaubt eine verbesserte Kontrolle bei bestimmten Programmen. INJECTION kann sich die Längen von bis zu 1000 Programmen merken. Hängt sich ein Link- virus an ein Programm, verändert er auch automatisch dessen Länge (meistens). Vorsicht bei bei sogenannten Updates ! INJECTION V1.31 ist wesentlich länger als INJECTION V1.0, hat aber den gleichen Filenamen ! (nämlich: INJECT.PRG). Hier muß mal wieder der Anwender selber aufpassen. EIN LINKVIRUS WURDE GEFUNDEN ---------------------------- INJECTION entdeckt auf jeden Fall den Milzbrandvirus und alle VCS-Viren. Diese beiden Typen werden auch identifiziert. Leider vermag es INJECTION nicht, die Linkviren aus dem Programm zu entfernen, es bleibt nur eines: Das befallene Programm löschen ! Hat sich die Länge eines Programms verändert und macht das Programm Dinge die nicht im Handbuch stehen oder hat es Probleme mit Dateien (Signum! oder 1st Word Plus) dann ist bestimmt auch ein Virus am Werk. Wenn sie eine Sicherheitskopie des Programmes haben hilft nur löschen, ansonsten würde ich einmal den Fachhändler aufsuchen. Man kann jedoch zuvor noch eine genauere Untersuchung ablaufen lassen. Hier werden alle gefährlichen Befehle im Programm identifiziert und auf dem Monitor ausgegeben. Doch nicht alles was gefährlich aussieht ist es auch. INJECTION selbst hat z.B. jede Menge Diskettenbefehle, weil es die einfach benötigt. Der Computer gibt daraufhin die Meldung <Sieht gefährlich aus> aus. In Wirklichkeit hat jedoch INJECTION keinen Virus. Auch ein Diskmonitor hat meistens keinen, nur eben viele ähnliche Befehle. IM BOOTSEKTOR STIMMT ETWAS NICHT -------------------------------- Falls der Bootsektor nicht normal ist, wird dies sofort angezeigt. Ist das Programm nicht ausführbar, kann es auch kaum ein Virus sein, da es ja gar nicht am Anfang gestartet wird. Ausführbare Programme werden auch gleich noch genauer Untersucht. Wichtig ist hierbei vor allem die Meldung: <Byte xyz: Bootsektor wird geschrieben>. In diesem Fall handelt es sich garantiert um einen Virus. Außerdem werden die 4 häufigsten Bootsektorviren direkt identifiziert. z.B.: <!!! Virus #4 !!!> Bestehen dennoch einmal Zweifel hilft <DUMP> weiter. Hier erhalten sie zunächst eine Hexadezimal-Dump (sagt meistens nicht sehr viel), auf Tastendruck dann das selbe in ASCII-Codes. Oft stehen hier bei ungefährlichen Programmen Wörter drin die Aufschluß geben (z.B.: <%$% ...ANTI-VIRUS...>). Vorsicht vor Programmen, die direkt im Bootsektor gestartet werden ! Diese Programme haben ebenfalls einen ausführbaren Bootsektor, sie starten auto- matisch wenn man eine Diskette einlegt und den Computer einschaltet ! Zerstören sie in diesem Fall das Bootprogramm im Bootsektor, geht ihnen leider auch das ganze Programm flöten ! So lautet denn nun die Frage, wenn man nicht weiß ob es sich hier um ein Programm handelt das automatisch gestartet wird, wie bekommt man diesen Umstand heraus ? Ganz einfach. Es gibt genau 3 Möglichkeiten, TOS dazu zu bewegen eine Programm gleich nach dem Einschalten des Computers gleich auszuführen: 1. Ein Autoboot-Programm im Bootsektor (Die aufwendigste Methode). Dies hat den Vorteil, das man Programme besser vor den wißbegierigen Augen anderer schützen kann. 2. Der AUTO-Ordner. Es dürfte ja bekannt sein das TOS-Programme die in einem AUTO-Ordner liegen, beim Starten des Systems automatisch ausgeführt werden. 3. Alle Accessories (Das sind die Dateien, die die Endung .ACC haben). Auch diese Dateien werden geladen und installiert. Dieser Punkt ist jedoch un- interessant, da es sich eben um Accessories und nicht um Programme handelt. Also: Befindet sich kein AUTO-Ordner auf der Diskette, das Programm wird aber dennoch automatisch ausgeführt, dann haben wir Punkt 1, will heißen einen ausführbaren legalen Bootsektor. Diesen sollten sie nicht löschen ! DER BOOTSEKTOR IST FUTSCH ! --------------------------- Tja, haben sie ein Programm der Sparte 1 (s.o.) und ein Virus schreibt sich unverschämter Weise in den Bootsektor, dann sieht es schlecht aus. Denn dann können sie ihr Programm nicht mehr laden. INJECTION hat jedoch eine Anzahl bekannter Bootsektoren gespeichert und sie können jedes ihrer neuen Programme mit Bootsektoren in diese Liste mit auf- nehmen und dadurch jederzeit den gemeinen Virus durch simples Überschreiben mit dem original Bootsektor zerstören, mit dem netten Nebeneffekt das ihr Programm wieder läuft ! Zu diesem Zweck klicken sie in der Menu-Leiste Boot - Repair an. Mit der Leertaste können sie nun die Liste der enthaltenen Bootsektoren nach oben scrollen. Erscheint das von ihnen gewünschte Programm betätigen sie die Return-Taste - Der Bootsektor des ausgewählten Programmes wird daraufhin auf die eingelegte Diskette geschrieben. Sie können diese Liste auch mit ESC wieder verlassen. Wie wird diese Liste erweitert ? Sie werden es nicht glauben, aber diese Liste wird von ihnen selbst erweitert. Falls sie einmal einen Bootsektor untersuchen (mit der Funktion Killer - Boot) und ein ausführbarer Bootsektor wird erkannt und sie wissen, daß dieser Boot- sektor ganz legal zu ihrem Programm gehört, dann wählen sie dort die Funktion < DATA >. Der Bootsektor wird in die Liste übernommen. Über 25 Einträge haben dort noch Platz. Wenn sie also ein neues Programm mit einem ausführbaren Boot- sektor haben, überprüfen sie den Bootsektor und nehmen ihn in ihre Liste auf ! Übrigens wäre ich ihnen sehr verbunden, wenn sie mir diese Liste dann zusenden würden, da ich auch nicht alle Programme mit Bootsektoren haben kann (Sie be- kommen die Diskette natürlich zurück mit meiner neusten Liste). Die Liste liegt auf der Diskette als File mit dem Namen BOOT.DAT vor - mehr benötige ich gar nicht ! Sie können natürlich auch wieder Einträge aus der Liste entfernen. Dazu klicken sie bitte die Funktion Boot - Löschen an. Wählen sie ihr Programm aus und betätigen sie Return um ihr Programm zu löschen. VORSORGE IM BOOTSEKTOR ---------------------- Es gibt eine simple aber geniale Methode sich vor Bootsektorvirenbefall zu schützen: Der Bootsektor-Wächter. Sie erreichen diese Funktion unter Boot - Wächter. Hier wird ein kleines Programm in den Bootsektor geschrieben das folgende Meldung ausgibt: Wächter ! <TASTE> Betätigen sie eine Taste und der Computer fängt an die Diskette zu laden. Sie werden bemerkt haben, das dies genauso funktioniert wie ein Virus, nur das bei unserem Wächter nichts passieren kann und er sich recht auffällig verhält. Wird diese Diskette mit dem Wächter nun infiziert, wird der Wächter vom Virus überschrieben und folglich gibt es auch keine Meldung mehr. Wenn sie sich angewöhnen ihr Computersystem immer auf einer Diskette mit einem Wächter hoch- zufahren fällt ihnen das Fehlen desselben sofort auf und sie können sich daran machen den Bootsektor wieder zu reinigen. Auch diese INJECTION-Diskette hat einen Wächter. Neben dem Wächter können sich Farbmonitorbesitzer noch einen 60 Hz-Umschalter in den Bootsektor schreiben, entweder ebenfalls als Antivirus oder eben nur weil man 60 Hz haben will.