home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Atari Forever 4
/
Atari Forever 4.zip
/
Atari Forever 4.iso
/
PD_THEMA
/
ANTIVIR
/
VIRUS.OTT
/
VIRUS_AV.TXT
< prev
next >
Wrap
Text File
|
1998-03-14
|
8KB
|
188 lines
VIRUS_AV - Dokumentation und Programm
Philipp Ott
Wien, September 1988
Der Virus-Finder besteht aus vier Dateien,
VIRUS_AV.PRG,
VIRUS_AV.RSC,
VIRUS_AV.VIR
und VIRUS_AV.DOC
Das Programm VIRUS_AV dient zum Auffinden von Bootsektorviren und
VCS-Linkviren. Wegen der Komplexität der Sache sowie einer nicht
enden wollenden möglichen Flut von Viren(arten) ist es schwer
möglich, ein Programm zu schreiben, das alles kann und deshalb
gibt es eben zwei Einschränkungen:
a) Das Programm untersucht den jeweiligen Bootsektor einer
Diskette oder einer Harddisk ob er exekutierbar ist. Ist
dies der Fall, so kann das Programm nicht entscheiden, ob
das ein Virus oder ein regulär bootbarer Sektor ist, das
müssen Sie machen. Erleichtert kann ich Ihnen aber die
Entscheidung, weil kommerzielle Software, Public Domain
Software, DTP, Textverarbeitung, Kalkulation, CAD und mehr
KEINEN exekutierbaren Bootsektor auf der Originaldiskette
besitzen. Spiele hingegen haben sehr oft einen solchen
bootbaren Bootsektor, doch beim Spielen sollten Sie so und
so die Harddisk abdrehen und den Spielstand oder Highscores
immer auf leeren Disketten wenn möglich speichern.
b) Gefährlich sind Linkviren, die sich an bestehende Programm
anhängen (linken) und je nach Wahnsinn des Programmierers
nichts bis zur totalen Zerstörung tun können. Da es auch
hier mehrere Arten gibt, ich aber nur leider VCS-Viren
kenne, kann das Programm auch nur durch VCS-Viren infizierte
Programme erkennen. Das Herausoperieren eines Virus getraue
ich mich nicht, da der VCS-Virus nicht konsistent genug ist,
um einen ausreichend deterministischen Weg zu finden, den
Virus ohne Spuren herausschneiden zu können.
Nachdem Sie VIRUS_AV.PRG gestartet haben, erscheint ein neues
Desktop, auf dem einige Kästchen und Buttons herumliegen. Außerde
gibt es eine Menüzeile, auf die ich jetzt eingehen will.
DESK.INFO
Zeigt die unvermeidliche Infomeldung an
LW.A-P
Gibt Ihnen die Möglichkeit, die zu testenden Laufwerke
zu bestimmen. Jedes helle, nicht anclickbare Laufwerk
ist nicht angeschlossen. Clicken Sie eine Laufwerk-
kennung an, so erscheint das Häkchen, clicken Sie es
nochmal an, so verschwindet das Häkchen wieder. Nur
Laufwerke mit Häkchen werden untersucht.
VCS-VIREN.AUTOMATISCH
Die Option AUTOMATISCH bewirkt, daß beim Testen von
gesunden Programme ohne Rückfrage an Sie ein Programm
je nach Einstellung automatisch immunisiert oder
übersprungen wird. Ist die Option ausgeschaltet, so
frägt der Computer Sie bei jedem gesunden Programm was
er damit tun soll.
VCS-VIREN.IMMUNISIEREN
Man kann sich gegen VCS-Viren schützen. Wie? Indem man
das Programm mit einem Virus infiziert, dann geht kein
VCS-Virus mehr dran. Aber keine Angst, mein Virus, der
da ähnlich dem VCS an das Programm angehängt wird, tut
nichts anderes wie ein Virus auszusehen, ist aber
keiner. Infektion mit einem toten Virus, könnte man
sagen. Das Immunisieren eines Programmes dauert etwas,
weil es zur Gänze neu erzeugt werden muß.
VCS-VIREN.ÜBERSPRINGEN
Übergeht ganz einfach gesunde Programme. Tut sonst
nichts.
VCS-VIREN.AUTOMATISCH LÖSCHEN
Beim Durchsuchen der Stationen hält das Programm bei
infizierten Programmen an und frägt Sie, ob Sie das
Programm nicht gleich sicherheitshalber löschen mögen.
Bei der Abfrage haben Sie aber die Möglichkeit, sich es
geistig zu merken und doch nicht zu löschen, falls Sie
noch etwas mit dem infizierten Programm vorhaben. In
der Regel würde ich es aber löschen, ungeachtet seines
Wertes, denn ein versehentlicher Doppelclick und schon
rennt der Virus. Nun gut, mit der Option AUTOMATISCH
LÖSCHEN hält das Programm bei infizierten Programmen
NICHT mehr an und frägt Sie nach Ihrer Meinung, sondern
löscht das infizierte Programm gleich selbst.
BOOTSEKTORVIREN.TESTEN
Damit werden die Bootsektoren der eingestellen
Stationen getestet, ob sie ausführbar sind. Tritt der
Fall ein, so erscheint eine riesige Box, die Ihnen
neben anderen die Möglichkeit des Ausnullens anbietet.
Ausnullen bedeutet, daß sämtliche "unnütze" Information
aus dem Bootsektor gelöscht wird, und nur mehr noch die
relevante Information für GEMDOS im Bootsektor bleibt.
Dadurch ist jeder Lader/Bootsektorvirus gekillt. Aber
Vorsicht, bei ORIGINAL-Spielen sollten Sie nicht radi-
kal ausnullen, weil da der exekutierbare Bootsektor
meistens schon zum Spiel selbst gehört.
Kommen wir nun zum Desktop. Beim Anclicken der Optionen im Menü,
sei es nun die Laufwerkeinstellung, VCS-Viren oder Bootviren
werden Sie sicher bemerkt haben, das auf dem Desktop einige Texte
invertiert oder wieder normal dargestellt wurden. Sie können die
Laufwerke auch zum Beispiel durch Anclicken der Buchstaben A-P am
unteren Bildrand ein- und ausschalten. Gleiches gilt für die
Optionen für VCS-Viren und Bootsektorviren.
Lediglich der Text "Einzeltest" rechts oben mit dem Button
"AKTIV" ist noch nicht erklärt worden, aber das kommt jetzt. Wer
vielleicht nur einen Ordner, oder ein einziges Programm auf
Infektion testen möchte, kann diesen Button anclicken und danach
erscheint die bekannte GEM-Auswahlbox, in der Sie den Pfad oder
eventuell den Namen des zu testenden Ordners / Programmes
eingeben können. Solange da rechts oben das "AKTIV" unterlegt
dargestellt wird, laufen alle VCS-Test nur innerhalb des angege-
benen Pfades ab.
Erst durch neuerliches Clicken auf "AKTIV" wird der Einzeltest
ausgeschaltet, und wieder der gesamte Inhalt der jeweiligen
Station getestet.
Gestartet wird die ganze Sache nun entweder durch Anclicken von
"OK" ganz unten oder durch drücken der ENTER/RETURN-Taste.
Ab jetzt folgt das Programm den Einstellung, und die meisten
Abfragen, die das Programm jetzt noch vorzunehmen hat, können
meistens bequem mit der Maus oder der ENTER-Taste entschieden
werden.
Beim Durchsuchen der Station, wenn Sie sehen wie das Programm
alles durchgeht, haben Sie die Möglichkeit, den Prozeß zu
unterbrechen. Drücken Sie dazu auf eine oder beide Maustasten und
lassen Sie sie gedückt, bis das Programm mit einer entsprechenden
Meldung anrückt. Sie haben dann die Möglichkeit, weiterzunmachen
(Weiter), das aktuelle Testprogramm zu überspringen (Skip) oder
ganz aufzuhören (Ende).
Wer Viren hat, und in der Lage ist, sie zu extrahieren, möge mir
doch bitte den Virus / das infizierte Programm / die Diskette
zukommen lassen, da ich dann in der Lage wäre, meine Virus-Finder
zu erweitern. Erreichen können Sie mich in der XEST-Redaktion,
entweder Freitag im Info-Center oder Sie schicken den Virus per
Post and die Redaktion.
Zur Funktion Immunisieren noch: der Scheinvirus, der beim
Immunisieren vor das Programm angehängt wird, testet auch im
Nachhinein auf Befall. Zum Beispiel:
* Sie immunisieren mit meinem Programm WORDPLUS.PRG
* Einige Zeit später, nachdem Sie neue Software bekommen
haben, erscheint auf einmal nach dem Starten von WORDPLUS.PRG die
Meldung
!!! ACHTUNG: VIRENINFEKTION
WEITERMACHEN J/N
Das bedeutet, das WORDPLUS trotz meines Scheinvirus von einem
neuen, mir unbekannten Virus befallen worden ist. Drücken Sie nun
J, so läuft WORDPLUS umeist unbeschädigt weiter. Wenn Sie N
drücken, so terminiert das Programm und kehrt ins Desktop zurück.
So toll diese Information ist, sie hat nur einen Haken. Der neue
Virus ist zu diesem Zeitpunkt meistens SCHON AKTIV!!! Ausschalten
vom Computer wäre da schon fast das Beste, denn zu diesem
Zeitpunkt kann NIEMAND MEHR IRGENDWELCHE GARANTIEEN FÜR DIE
SICHERHEIT IHRER DATEN GEBEN!!!
ENDE