home *** CD-ROM | disk | FTP | other *** search

---

/ Atari Forever 4 / Atari Forever 4.zip / Atari Forever 4.iso / PD_THEMA / ANTIVIR / VKILLER / VKILLER.DOC

next >

Wrap

Text File  |  1998-03-14  |  16KB  |  293 lines

---

1. VKILLER                    Version 3.11                 February, 1990
2.  
3. This Archive contains the most recent version of VKILLER, the virus
4. detect-and-kill utility for the Atari ST.
5.  
6. The program works in medium or high resolution, and is completely mouse/icon
7. driven. The program may also be controlled by the keyboard. In this
8. document, all the keyboard commands are indicated as capital letters, but
9. that is not mandatory. Lower case letters will provide the same functions.
10. In most cases, the first letter of the label under an icon is the key that
11. will accomplish the same function of as a click on the icon.
12.  
13. Click on the FLOPPY A icon, or press the "A" key, to check the disk in drive
14. A for a virus. Click on the FLOPPY B icon, or press the "B" key, to check
15. the disk in drive B for a virus. When you access a disk, the program reads
16. in the boot sector, both copies of the File Allocation Table (FAT), the
17. disk's root directory, and the first few data sectors.
18.  
19. Once you have accessed a disk to check it for a virus, you can write the
20. data from the disk into a file, print it, or show it on the screen.
21.  
22. To write the disk data into a file, click on the "FILE" icon, or press the
23. "F" key. A file selector will appear. Use it to designate the file you wish
24. to write. The resulting file is not executable, even if the boot sector of
25. the floppy was an executable one. It is a data file with an image of the
26. significant portions of the disk.
27.  
28. To print the data, click on the PRINT icon, or press the "P" key. An alert
29. box will appear. You may choose to print either the same data that is
30. available in the "SHOW" window, or only the boot sector.
31.  
32. To show the data on the screen, click on the SHOW icon, or press the "S"
33. key. The window will expand to nearly the full screen, and display all the
34. data read from the disk. Use the window's scroll bar to move back and forth
35. through the data. Close the data window, by clicking on the close box, to
36. return to the main screen. Pressing any of the active keyboard keys will
37. also close the data window and return to the main screen.
38.  
39. If the disk contains a virus, or garbage in the boot sector, you can clean
40. it up by clicking on the KILL icon, or pressing the "K" key. When the
41. program executes a "KILL", it writes zeroes into all the non critical bytes
42. in the boot sector. No other portion of the disk is altered, and any files
43. on the disk are left intact. The resulting boot sector provides a disk
44. readable by both ST's and MS-DOS systems. It is not necessary to display a
45. disk's data before executing a kill on it. You can insert a disk and press
46. "K", or click on the Kill icon, immediately. The disk's boot sector will be
47. read, the critical portions preserved, and the non critical portions zeroed
48. out.
49.  
50. If you wish to install a "Guard" boot sector on a disk, click on the guard
51. icon, or press the "G" key. A dialog box will appear, offering a choice of
52. two types of guard boot sectors. 
53.  
54. The first guard boot sector is the "Display" type. It contains a simple
55. program which will display the message "Virus free disk" when the system is
56. powered up or reset with that disk in drive A. Once the message has been
57. displayed, the program returns to the operating system to continue with the
58. power up sequence. It does not remain in memory. If you reset the system
59. with that disk in drive A, and the message does not appear, you should
60. immediately check that disk for a virus. The only reason why the message
61. would not appear is if the boot sector has been altered, possibly by a
62. spreading virus. This guard boot sector is an adaptation of one originally
63. written by Mark S. Powell.
64.  
65. The second guard boot sector is the monitoring type. This one also displays
66. a message at power up and reset. Unlike the display version,  however, this
67. guard remains active in memory until the system is reset again. Of course,
68. if the disk in drive A at the next reset contains the guard boot, it will be
69. reloaded again. Otherwise, it is removed from the system. 
70.  
71. While the monitor is active, it checks the boot sector of every disk that is
72. accessed by the ST. If it detects an executable boot sector on any disk, it
73. will flash the screen colors, and sound a warning tone. If the disk just
74. accessed was not one that should have an executable boot sector, you should
75. become suspicious. The monitor will not issue a warning for disks which
76. contain copies of itself.
77.  
78. Vkiller now contains a feature for repairing the boot sector of a damaged
79. disk. Activate it by clicking on the repair icon, or pressing the "R" key.
80. It will not re-create executable boot sectors, such as those required for
81. self booting games. When a disk boot sector is damaged, the disk will be
82. deemed unreadable by the ST's operating system. If only the boot sector is
83. damaged, repairing it may allow the data on the disk to be recovered.
84.  
85. When you activate the repair function, a dialog box appears. It contains all
86. the data that can vary in a disk's boot sector. The individual entries are
87. each editable. They will originally contain whatever value was read from the
88. disk. This may not be reasonable or valid if the boot sector was corrupted.
89. The actual data that is in the boot sector is a bit more obscure than what
90. the dialog presents, but the needed data can be calculated from what is
91. presented in the dialog.
92.  
93.     OS ID: This is an ASCII data string. It is designed to
94.     provide the identity of the operating system under which
95.     the disk was formatted. It can contain anything. It is
96.     not used by the ST operating system in the current version,
97.     but is supplied for MS-DOS compatibility.
98.  
99.     Serial Number: This number is used to tell disks from each
100.     other. The number should be different on every disk. This
101.     box will originally contain the number that came from the disk.
102.     You can enter any value you wish, if you so desire. The
103.     legal range of entries is from 0 - 16,777,215. It should
104.     be stated here that the three bytes in which this number is
105.     stored are also used for the operating system ID on MS-DOS
106.     systems, and will usually have the version number of the
107.     formatter. If you regularly move disks back and forth with 
108.     MS-DOS systems, you may encounter problems using them in your
109.     ST, since many will appear have the same serial numbers.
110.     You shoud, therefore, avoid the numbers which correspond
111.     to the MS-DOS versions:
112.  
113.         1.0 - 3,223,088 through 1.9 - 3,223,097
114.         2.0 - 3,288,624 through 2.9 - 3,288,633
115.         3.0 - 3,354,160 through 3.9 - 3,354,169
116.         4.0 - 3,419,696 through 4.9 - 3,419,705
117.  
118.     Format ID - Also for MS-DOS compatibility, and not used
119.     by the ST. The normal ID value is F9.
120.  
121.     Reserved Sectors - The number of sectors at the beginning
122.     of the disk which are not used for the FATs, Directory,
123.     or data. Unless you are attempting to something very
124.     unusual, this should always be 1 (for the boot sector).
125.  
126.     Hidden Sectors - Sectors at the beginning of the disk
127.     which should not be accessed. This should be zero.
128.  
129.     Sides on Disk - Either 1 or 2. If you come up with a
130.     three sided disk, I'd be very interested in seeing it.
131.  
132.     Tracks on Disk - The standard format for an ST is 80.
133.     Extended formatters may provide 81 or 82, if your drive
134.     can strp in that far. Some 5.25" disk drives have 40 tracks.
135.  
136.     Sectors per Track - The standard for the ST (and MS-DOS)
137.     is 9. Some extended formatters, including "TWISTER",
138.     use 10, while others will go to 11. The ST's desktop
139.     formatter always uses 9.
140.  
141.     Sectors per FAT - The FAT is the File Allocation Table.
142.     It is a map of how the folders and files are positioned
143.     on the disk. The ST standard is 5. This is more than
144.     adequate, since the capacity of the disk only requires
145.     3. A disk formatted in an MS-DOS system will have 3.
146.     When viewed as data, a FAT looks like a bunch of garbage.
147.     There will always be two copies of it, at the start of a
148.     disk. You can use the "Show" feature of Vkiller to look
149.     at the disk. If sectors 1 and 4 look the same, and the
150.     directory starts at sector 7, the disk has a 3 sector FAT.
151.     If sectors 1 and 6 look the same, and the directory starts
152.     in sector 11, the disk has a 5 sector FAT.
153.  
154.     Directory Sectors - The number of disk sectors provided
155.     for the disk directory. The ST standard is 7.
156.  
157. If the data in the dialog appears to be nonsense, the disk's boot sector has
158. been corrupted. This may be due to a wide range of reasons, not just a
159. virus. To set the values to the ST standards, you can enter the appropriate
160. values for each item, or select the "Set Defaults" button. It will set the
161. normal values for most of the entries, and generate a random serial number.
162. You should, however, insure that the number of tracks, sectors, and sides on
163. the disk are correct for that particular disk. If you aren't certain, you
164. can use the "Scan Disk" function.
165.  
166. When you select the scan disk function, a dialog with a number of selectable
167. boxes appears. To repair a damaged disk, the program must know the number of
168. tracks, sectors per track, and sides on the disk. If you know any of those
169. facts, enter them in the dialog by clicking on the appropriate boxes. If you
170. don't know, leave the boxes unselected. The program will attempt to
171. determine the disk's configuration by reading different areas, to establish
172. any of the entries that you do not provide. You can also have a set of
173. default values inserted by clicking on the "Default" button.
174.  
175. Since the number of tracks on a disk may vary, the program will attempt to
176. determine how many tracks were originally on the disk by stepping the disk
177. head in and reading data, until it reaches an unreadable area. It will not
178. continue stepping in past an unreadable track, but it will continue stepping
179. in until it does reach an unreadable track. This, of course, will be one
180. track further than the the disk's formatting originally extended. While it
181. is extremely unlikely, it is possible that repeated execution of this
182. stepping in operation, which could extend beyond the range of the drive,
183. could cause the disk's head to become mis-aligned. It has not occurred
184. through weeks of testing, and would probably require thousands of such
185. operations, but it is possible. If you wish to prevent the head from
186. stepping in past some specific track, click on the last track you wish the
187. disk to access, and select the "Limit" box. The head will not be stepped in
188. beyond the track you select, even if that track does contain readable data.
189. Of course, if an unreadable track is detected before that limit is reached,
190. no further stepping will occur.
191.  
192. After all the physical configuration parameters have been entered or
193. determined, the original dialog box will re-appear. The values determined by
194. scanning the disk will have been updated. You may edit them again, if you
195. wish, before writing the disk's boot sector. After the disk has been
196. updated, the program returns to the familiar disk data window.
197.  
198. Since this boot sector rebuilding function starts with the data currently on
199. the disk, it can also be used as a means of altering the data on a
200. non-infected disk, such as setting serial numbers.
201.  
202. The Menu offers two features under the "Options" title. The first option,
203. "Quiet", will turn off the warning siren that sounds when a virus is
204. detected. Clicking on "Quiet" again will turn the siren back on. 
205.  
206. Since some viruses check system data, such as ROM dates, to determine if
207. they can execute, a second "Option" is provided. Clicking on "System Info"
208. will cause the data window to display information about the system
209. parameters.
210.  
211. Exit the program by clicking on the "QUIT" icon, or pressing the "Q" key.
212.  
213. When the program detects a virus present on a disk, it will sound a warning
214. tone, and place a new button on the desktop. To see the details about the
215. particular virus located, click on the new "Known Virus" box, or press the
216. "D" key. If you find a lot of disks infected by a virus, and want to stop
217. the warning tone from sounding on each disk,  select the "QUIET" item from
218. the "OPTIONS" menu.
219.  
220. If the disk contains an executable boot sector, but one that is  recognized
221. as a standard system boot, it will be identified as a "System Disk".
222.  
223. Due to the way ST disks are layed out, and used, there are extra portions of
224. the FAT which are not normally accessed. There are also more directory
225. sectors than are typically used. In a freshly formatted disk, these areas
226. should contain only zeroes. There is a fairly reliable method for
227. determining when the unused portions of the disk have been altered. A
228. warning will appear in the disk data window when this situation is detected.
229. If the disk does not contain an executable boot sector, there is no harm in
230. this data area not being zeroed. Even if the disk has an unexpected
231. executable boot sector, this additional data area may not be significant.
232. The warning is provided for informational purposes only. Since the areas
233. being scanned for this situation may actually contain important data, the
234. program will not attempt to alter the data found in those areas. If the data
235. in this additional area is part of a virus, executing a kill on the boot
236. sector will render the data in this area harmless.
237.  
238. There are two real problems to keep in mind when dealing with viruses, and
239. disk boot sectors. The first is that not all executable boot sectors are
240. viruses. There are times when a boot sector is supposed to be executable.
241. Executing a KILL on such a boot sector will destroy whatever code was in the
242. boot sector, and may render the software on the disk useless. Generally
243. speaking, if the proper use of the software on the disk required you to
244. reset your ST, or power it off and on to start the program, then the boot
245. sector was supposed to be executable, and you should not execute a virus
246. kill on it. Any program which can be executed by clicking on it does not
247. require an executable boot sector. Consequently, disks used to store such
248. programs should not contain executable boot sectors.
249.  
250. The second problem is attempting to use VKILLER in a system which has been
251. infected by a virus, and the virus is executing (attempting to spread) while
252. VKILLER is attempting to clean it off disks. With all known ST viruses as of
253. this release (February, 1990), VKILLER will detect this situation. It will
254. provide instructions on the screen, informing you that there is an active
255. virus in the system at the time, the exact steps on how to get rid of it,
256. and how to start cleaning up your disks.
257.  
258. This version of VKILLER can recognize and eliminate 18 different ST viruses.
259. This is possible only because people who have encountered viruses that
260. earlier versions of the program did not recognize sent me copies of the new
261. viruses. If you encounter a virus that the program does recognize, there is
262. no need to contact me. Just eliminate the virus, and let anyone else you
263. have given a disk to know that their system may be infected. Give them a
264. copy of this program if you wish, it is free to anyone who would like it.
265.  
266. If, however, you encounter executable boot sectors spreading through your
267. library, and this version of VKILLER can't identify it, please contact me at
268. any of the addresses below. Keep one infected disk, and either send me the
269. disk, or the file generated by VKILLER's file function. Use the Kill
270. function to clean up the rest of the disks in your library.
271.  
272. As of this writing, I am investigating about 40 disks each month for new
273. viruses. If you mail me a disk, or a request for a disk copy of the latest
274. version, please include a stamped, self addressed return mailer.
275.  
276. VKILLER does not require any "license", "registration", or "shareware"
277. contributions. Of course, all such contributions are gratefully accepted,
278. but none are solicited. Circulate the program in any manner you wish. It may
279. be copied, and distributed freely, but it may not be sold. Reasonable (and
280. hopefully modest) charges for media, copying, or downloading are acceptable.
281.  
282.  
283.  
284. George R. Woodside       
285.  
286. Voice:         (818) 348-9174
287. Compuserve:    76537,1342 
288. GEnie:         G.WOODSIDE
289. USENET:        woodside@ttidca
290.     or:        ..!{philabs|csun|psivax}!ttidca!woodside
291. US MAIL:       5219 San Felicaino Drive
292.                Woodland Hills, CA  91364  USA
293.