The World of Computer Software

home *** CD-ROM | disk | FTP | other *** search

/ The World of Computer Software / World_Of_Computer_Software-02-387-Vol-3of3.iso / n / nem_110.zip / NEMDOC.GER < prev next >

Wrap

Text File | 1993-03-13 | 123KB | 2,349 lines

==================================================================== NEMESIS v 1.10 (c) 1992, 1993 Christian Sy & Robert Hoerner ==================================================================== INHALT : Allgemeiner Überblick Wie arbeitet NEMESIS Wie starte ich NEMESIS Aufruf-Befehle von NEMESIS Erläuterung zu den Antwort-Tasten Warnungen von NEMESIS (DOS-Ebene) Warnungen von NEMESIS (Sektor-Ebene) ERROLEVELS von NEMESIS Anhang (Fehlalarme und Angabe von Programmen, mit denen NEMESIS nicht funktioniert) Erklärung von benutzen Begriffen Technische Anmerkungen ==================================================================== Lesen Sie auch die Datei REGISTER.GER ! NEMESIS ist SHAREWARE und die Benutzung ist nicht umsonst ! Wenn Sie NEMESIS nach der "Test-Phase" noch immer benutzen möchten, MÜSSEN Sie NEMESIS registrieren lassen und bezahlen, oder es löschen. Es kostet nicht viel ! Denken Sie daran, wieviel Arbeit darin steckt, und was es Ihnen an Arbeit ersparen kann. ==================================================================== ==================================================================== Allgemeiner Überblick ==================================================================== Sie brauchen : -------------- - einen IBM XT oder AT oder kompatiblen Rechner. - DOS 3.3 oder höher. Getestet wurde NEMESIS mit PC-DOS 3.3,MS-DOS 5.00, 4DOS 3.0, 4.0, DR-DOS 5.0, 6.0 - mindestens 64 KB freien Speicher beim Start von NEMESIS. Zur Installation müssen dann nocheinmal 64 KB mindestens frei sein. - 0 Byte normalen Speicher und 40 KB UMB-Speicher - ODER 0 Byte normalen Speicher, 4000 Byte UMB-Speicher und 48 KB EMS-Speicher - ODER 4000 Byte normalen Speicher und 48 KB EMS-Speicher - ODER 38 KB normalen Speicher 32 KB EMS-Speicher um dauerhaftes Lernen zu ermöglichen. Der Sektorenschutz benötigt (1 KB EMS pro 1 MB Festplatten-Platz) plus (32 KB EMS pro vorhandener Festplatte, Netzwerk-Laufwerke werden nicht gezählt). Der Speicher wird verwaltet mit 3 EMS-Handles pro Partition. Mindestens EMS 4.0 ist immer vorausgesetzt. Benutzen Sie EMSTEST.COM, wenn Sie sich nicht sicher sind. Es werden bis zu zwei Festplatten unterstützt. ==================================================================== Besonderheiten : ---------------- - Fähigkeit, ein flexibles Abbild der Verteilung frei wählbarerer Dateien auf die Sektoren der Festplatte zu erstellen. Damit kann eine Infektion durch Viren fast vollständig verhindert werden. - Fähigkeit sogar Dateien in Laufwerken, die mit ASSIGN, SUBST oder JOIN zugewiesen wurden, auf der Ebene ihrer Sektoren zu schützen ! NEMESIS ist weltweit das erste Programm, das zu beidem in der Lage ist ! - Schutz von Verzeichnissen gegen Zerstörung - Schutz der FAT vor Zerstörung (nicht möglich mit SMARTDRV) - Warnt, wenn geschützte Dateien erzeugt, gelöscht, verändert oder umbenannt werden sollen. - Warnt vor und verhindert die Infektion durch Filesystem-Viren. - Fähigkeit fast vollständig im Expandend Memory abzulaufen, wodurch nur das absolut notwendige Minimum an normalem Speicher verbraucht wird. - Fähigkeit, sich selbst "HIGH" zu laden. Dadurch wird überhaupt kein normaler Speicher mehr von NEMESIS belegt. - Fähigkeit, Eingaben von Ihnen zu lernen ohne dabei Sicherheit einzubüßen. - Benutzt und braucht keinerlei "Scanstrings". - Ausgaben sind in verschiedenen Sprachen möglich. Auch in DEUTSCH. ==================================================================== Dateinamen, die NEMESIS schon "kennt" : --------------------------------------- Die folgenden Dateien werden im Startverzeichnis von NEMESIS gesucht : NEMESIS.BIN : Diese Datei enthält (fast) alle Texte, die NEMESIS ausgeben kann. NEMESIS.EXT : Diese Datei enthält alle Datei-Endungen, die Sie ZUSÄTZLICH zu den voreingestellen Endungen geschützt haben möchten. NEMESIS.FIL : Wenn Sie einen Schreibzugriff verbieten und beim Start von NEMESIS nicht "NOSAVE" eingegeben haben, wird, was hätte geschrieben werden sollen, in diese Datei umgelenkt. Beachten Sie : Da diese Datei Viren enthalten kann (nachdem sie von NEMESIS de-aktiviert und weggeschrieben wurden) , kann es passieren, daß ein Scanner in NEMESIS.FIL Viren entdeckt. Es besteht ABSOLUT KEINE Gefahr, daß Viren aus NEMESIS.FIL heraus infizieren könnten. NEMESIS.OVA : Enthält die Daten, die NEMESIS zum "Erinnern" benötigt. NEMESIS.CFG : Diese Datei enthält die von Ihnen bevorzugten Start-Befehle für NEMESIS. Wenn Sie normalerweise NEMESIS mit den Befehlen "EMS" und "FAT=AUS" starten, dann können Sie diese beiden Befehle auch in die Datei NEMESIS.CFG schreiben. Schreiben Sie sie genau so, wie Sie sie eintippen würden. Benutzen Sie nur GENAU eine Zeile ! NEMESIS wertet zuerst aus, was Sie direkt eingegeben haben, danach wird NEMESIS.CFG ausgewertet. Wenn Sie also eingeben "NEMESIS FAT=EIN" und in NEMESIS.CFG steht "FAT=AUS" dann "gilt" nur FAT=AUS, da es später gelesen wird und "FAT=EIN" überschreibt. ==================================================================== Wie arbeitet NEMESIS ==================================================================== NEMESIS arbeitet auf zwei Ebenen : ---------------------------------- Die erste (konventionelle) Ebene ist : -------------------------------------- Wenn eine Datei mit geschützter Endung geöffnet wird (beispielsweise hat COMMAND.COM die Endung COM, welche immer geschützt ist), dann wird das von NEMESIS bemerkt. NEMESIS wird sich danach so verhalten, wie sie es eingestellt haben und die Datei vor Veränderungen jeder Art schützen, solange Sie nicht Ihre Erlaubnis geben. Die zweite (ganz neue) Ebene ist : ---------------------------------- Schutz der Cluster, die zu solchen Dateien gehören. Ihre Festplatte "weiss" nichts von Dateien. Sie besteht aus mehreren magnetischen Metall-Platten, die vom Programm FORMAT in einzelne Spuren und Teil-Spuren (Sektoren) unterteilt wurden. Auf diese Teil-Spuren oder Sektoren werden von DOS die Dateien geschrieben und von ihnen wieder gelesen. Wenn Sie also ein Programm starten, beispielsweise COMMAND.COM, muss DOS zunächst herausfinden, in welchen Sektoren die Daten liegen, die zusammen die Datei COMMAND.COM ausmachen, diese Sektoren dann einen nach dem anderen in den Speicher lesen und nach getaner Arbeit diesen Programm-Code ausführen lassen. (in diesem Beispiel wird COMMAND.COM gestartet und Sie sehen den DOS-PROMPT). Lesen Sie dazu mehr im Anhang unter TECHNISCHE ERLÄUTERUNGEN. Sie können die Sektoren einer Datei auch selber mit Programmen wie NU.EXE oder PCTOOLS ansehen und verändern. Was in NEMESIS zum ersten Mal überhaupt (!) eingebaut wurde ist ein Schutz der Dateien auf der Ebene ihrer Sektoren selber. NEMESIS sucht dazu alle Cluster aller Dateien mit geschützer Endung und erzeugt eine Tabelle der Verteilung dieser Dateien auf Ihrer Festplatte. Welche Art von Schreibzugriff auch stattfinden wird, NEMESIS wird feststellen, ob es ein Zugriff auf eine geschützte Datei ist oder nicht und sie warnen können. ==================================================================== Wie startet man NEMESIS ==================================================================== Tippen Sie NEMESIS und lehnen Sie sich zurück. NEMESIS erzeugt zuerst eine Prüfzahl, um festzustellen, ob es verändert wurde. NEMESIS liest dann den ersten Sektor der NEMESIS-Datei um festzustellen, ob diese Datei verändert wurde. NEMESIS prüft dann, ob NEMESIS schon im Speicher ist. Falls ja, wird der folgende Schritt übersprungen. Wenn Sie NEMESIS von Diskette starten, wird der folgende Schritt auch übersprungen. Sonst : NEMESIS erzeugt ein COM- und ein EXE-Programm. Beide Programme werden danach darauf kontrolliert, ob sie verändert wurden. Damit soll festgestellt werden, ob schon ein Virus bei Ihnen aktiv ist. Aus demselben Grund werden beide Programme dann ausgeführt (dies geschieht nicht, wenn Sie NEMESIS von einer Netzwerk-Platte oder von Diskette starten). Wenn alles normal aussieht, werden beide Programme wieder gelöscht. Wenn NEMESIS feststellt, daß eines der beiden verändert wurde, wird es NICHT gelöscht, sondern bleibt im Wurzelverzeichnis des NEMESIS Start-Laufwerks liegen und Sie erhalten eine Meldung der Art "Your system is already infected. Have a look into the file <blabla>". Das heißt : "Ihr System ist schon infiziert. Sehen Sie sich die Datei <blabla> an !". NEMESIS untersucht dann, auf was für einer Art Computer es gestartet wurde, welche DOS-Version Sie benutzen und so weiter. Dann wird die Datei mit den Ausgabetexten gelesen, die Befehle, die Sie angegeben haben, ausgewertet (auch in NEMESIS.CFG), und wenn alles in Ordnung ist, wenn Sie insbesondere genügend freien EMS-Speicher haben, wird NEMESIS anfangen die Sektoren der geschützten Dateien einzulesen. Das sieht dann folgendermassen aus : (Vorsicht : "scanne " hat hier nichts mit "Viren-Scannen" zu tun) ------------------------------------------------------------------------------ NEMESIS 1.10 (deutsch/unreg.), (c) 1992,1993 Christian Sy & Robert Hörner Unregistrierte Probeversion ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Geschützte Dateien im Laufwerk EXE,COM,SYS,OV?,BIN ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Scanne Partition C: , bitte warten ... SYSTEM ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ EMS gesamt in KB : 7360 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Freies EMS in KB : 4672 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Belegtes EMS in KB : 0 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ------------------------------------------------------------------------------ oder es sieht so aus : ------------------------------------------------------------------------------ NEMESIS 1.10 (deutsch/unreg.), (c) 1992,1993 Christian Sy & Robert Hörner Unregistrierte Probeversion ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Geschützte Dateien im Laufwerk EXE,COM,SYS,OV?,BIN ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Scanne Partition C: , bitte warten ... SYSTEM ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ EMS gesamt in KB : 7360 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Freies EMS in KB : 4672 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Belegtes EMS in KB : 0 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Es ist kein Sektor-Schutz möglich auf Laufwerk D: Grund : Laufwerk steht unter Kontrolle von SSTOR ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ------------------------------------------------------------------------------ Da komprimierte Laufwerke nicht geschützt werden können, werden Sie darüber informiert. Danach erscheint eine Textseite die den momentanen Zustand von NEMESIS angibt und Sie können weitermachen. ------------------------------------------------------------------------------ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ NEMESIS 1.10 installiert ... ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Copyright 1992,1993 by Christian Sy & Robert Hörner ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Status der residenten NEMESIS Residente NEMESIS ist momentan EIN WARTEN auf Taste ist EIN DOS-Speicher belegt : 512 Byte Sichern statt schreiben ist EIN Upper Memory belegt : 4000 Byte Warnungen bei Schreiben in FAT sind EIN EMS-Speicher (CODE) : 36054 Byte Ungültige DOS-calls erlauben ist EIN EMS-Speicher (DATA) : 336 KB Warnung bei Bootsektor-Änderung ist EIN EMS-Handles benutzt : 14 Überwachung der Interrupts ist EIN ------------------------------- STEALTH-MODE (nur mit EMS) ist EIN MS-DOS/PC-DOS : 5.0 Direkte Sektorüberwachung ist EIN Processor : 80386 Initialisierung des Speichers war AUS TBSCANs special-feature erlauben ist AUS ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Geschützte Dateien im Laufwerk C:,D:,E:,F:, EXE,COM,SYS,OV?,BIN PROBLEM : NEMESIS kann bei Ihnen keine Sektoren im upper memory lesen ! Fordere Speicher im unteren Bereich an. C:\NEMESIS 14:07> ------------------------------------------------------------------------------ Möglicherweise sind "STEALTH-MODE" und "Direkte Sektorüberwachung" bei Ihnen "AUS". Dann haben Sie entweder kein (oder nicht genügend) EMS-Speicher oder Sie haben als Befehle "NOEMS" und/oder "NOFAT" angegeben. Auf der rechten Seite werden Sie auch andere Zahlen sehen als auf dem Bild oben. Diese Werte hängen davon ab, wieviel Festplattenplatz Sie insgesamt haben, wieviele Programme sich darauf befinden usw. "Belegter DOS-Speicher" bedeutet die Anzahl Bytes im gewöhnlichen Speicher innerhalb der ersten 640 KB. Das Bild oben ist von meinem Computer gemacht, ich habe EMS und XMS. Deshalb hat sich NEMESIS bei mir in das upper memory kopiert und EMS für CODE benutzt, so daß es im gewöhnlichen Speicher kein einziges Byte mehr belegt hat. Stattdessen wurden 4000 Byte upper memory und 48 KB EMS belegt. Da ich aber einen Busmaster-DMA SCSI-Festplatten-Kontroller (langes Wort, nicht wahr) eingebaut habe, mußte NEMESIS 512 Byte normalen Speicher anfordern, um selbst direkt auf Sektoren zugreifen zu können. Würde es das nicht tun, hätte ich keinerlei Schutz vor Zerstörung von Verzeichnissen oder vor Filesystem-Viren. NEMESIS hat meine Festplatte nach Sektoren von zu schützenden Dateien durchsucht und brauchte für die angefallenen Daten 12 EMS-Zugriffsnummern ("Handles"). Diese 12 Handles geben Zugriff auf 336 KB EMS-Speicher. 1 Handle wurde für den NEMESIS-Programmcode belegt. 1 Handle wird benutzt, um die gelernten Daten unterzubringen. Insgesamt benötigt NEMESIS bei mir also 14 EMS-Handles. Alle anderen Daten werden nur zu Zwecken der Fehlersuche ausgegeben. Es kann ja sein, daß NEMESIS sich bei Ihnen "merkwürdig" verhält oder überhaupt nicht funktioniert. Dann können Ihnen diese Daten eventuell helfen. Möglicherweise wird die DR-DOS-Version falsch erkannt ? Falls Sie einen Fehler finden, dann schreiben Sie bitte an Robert Hörner, Adresse steht ganz unten. ---------------------------------------------------------------------- Was sie also hier sehen können ist der momentane Zustand von NEMESIS. Wenn Sie etwas ändern möchten : tun Sie es. NEMESIS erkennt NEMESIS im Speicher und wird nicht ein zweites Mal im Speicher verbleiben sondern die geänderten Befehle an das residente NEMESIS-Programm weitergeben. ------------------------------------------------------------------------------ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ NEMESIS-Parameter sind : ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ EIN/AUS : Schaltet NEMESIS "EIN" oder "AUS" ENDE : entfernt NEMESIS komplett aus dem Speicher. NEU : Lese NEMESIS.EXT und installiere NEMESIS neu TBSCAN=EIN/TBSCAN=AUS : TBSCAN-Special (nicht) erlauben (Vorsicht...) WAIT/NOWAIT : (nicht) auf Ihre Entscheidung warten BOOT=EIN/BOOT=AUS: (keine) Warnung bei Schreiben in Bootsektor FAT=EIN/FAT=AUS : (keine) Warnungen bei Schreiben in FAT WATCH/NOWATCH : (keine) Interrupt-Veränderungen überwachen SAVE/NOSAVE : Falls Schreiben verboten : (nicht) sichern anstatt schreiben FACE/NOFACE : Das Aktiv-Zeichen links oben (nicht) zeigen INVALID/NOINVALID: (keine) ungültigen DOS-Aufrufe zulassen SHA=,SW=,CO1=,CO2=,CO3=,CO4=,CO5=,CO6=,CO7= : Farben setzen Folgende Parameter sind nur beim Start von NEMESIS gültig : LOW : NEMESIS soll sich nicht selbst highloaden. EMS/NOEMS : NEMESIS soll (kein) EMS für seinen Code benutzen NOFAT : Schutz auf Sektor-Ebene ausschalten INIT : Speicher beim Programmstart initialisieren BATCH : NEMESIS abschalten/entfernen ohne Rückfrage (Batchbetrieb) ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ C:\NEMESIS 14:08> ------------------------------------------------------------------------------ ==================================================================== Aufruf-Befehle von NEMESIS : ==================================================================== Geben Sie einfach "NEMESIS ?" ein, um alle Befehle jederzeit angezeigt zu bekommen. Sie können die meisten Befehle zu jedem beliebigen Zeitpunkt an NEMESIS übergeben. ===================================================================== EIN / AUS : schaltet NEMESIS "EIN" oder "AUS" ===================================================================== Sie können NEMESIS jederzeit ein- oder ausschalten. NEMESIS arbeitet speicherresident und überwacht jeden Zugriff auf Ihre Festplatte und viele Funktionen von DOS. Das ist nicht zu machen ohne die Leistung Ihres Computers zu beanspruchen, wodurch weniger Leistung für die eigentlichen Anwendungsprogramme verbleibt. Wenn Sie also sicher zu sein glauben, daß gerade kein Virus bei Ihnen aktiv ist, und sie die volle Leistung Ihres Computers benötigen, können Sie NEMESIS zeitweise abschalten. NEMESIS sorgt trotzdem dafür, daß seine Daten aktuell bleiben. ==================================================================== NEU : Lese NEMESIS.EXT und installiere NEMESIS neu. ==================================================================== Sie können jederzeit neue oder andere Datei-Endungen angeben, die NEMESIS schützen soll. Erzeugen Sie dazu eine TEXT-Datei mit dem Namen NEMESIS.EXT und schreiben Sie dort alle Endungen hinein, die NEMESIS schützen soll. Benutzen Sie einen einfachen Editor, wenn Sie ein Textverabeitungs- Programm benutzen, dann stellen Sie es auf "ASCII" oder "Programm- datei" ein. Die Endungen müssen ohne Zwischenraum geschrieben werden, also z.B. so wie "COMEXEBINPIFTXT" (das ist COM EXE BIN PIF TXT ), aber ohne die Gänsefüßchen. Jede Datei-Endung darf Jokerzeichen enthalten (also "?") und muss genau 3 Zeichen lang sein. Das heisst "FI?" ist "ok", aber "F*" ist NICHT in Ordnung, schreiben Sie stattdessen "F??". "???" ist auch in Ordnung und führt dazu, daß NEMESIS ausnahmslos JEDE Datei schützt. DAS KANN NICHT EMPFOHLEN WERDEN ! Jeder beliebige Schreibzugriff auf beliebige Dateien würde sonst zu einer Warnung führen. Es können insgesamt 24 Datei-Endungen zu je 3 Zeichen von Ihnen einzeln festgelegt werden. "COM","EXE",BIN","SYS" und "OV?" sind immer geschützt und brauchen nicht von Ihnen angegeben zu werden. Nach dem Lesen von NEMESIS.EXT wird NEMESIS Ihre Festplatte nach den Dateien durchsuchen und mit den neuen Daten weiterarbeiten. ==================================================================== WAIT / NOWAIT : Warte (nicht) auf Taste ==================================================================== Normalerweise öffnet NEMESIS ein Text-Fenster und fragt SIE nach Ihrer Entscheidung. Wenn Sie aber sicher sind, daß jeder Schreibzugriff auf die angegebenen Dateien unterbunden werden muß, dann können Sie "NOWAIT" als Befehl angeben. Sie werden dann nicht mehr gefragt, sondern NEMESIS verhält sich bei jedem Schreibzugriff so, als hätten Sie "NEIN" gesagt. Benutzen Sie diesen Befehl mit Vorsicht ! Es gibt sehr wohl bestimmte Programme, die in Ihre eigene Programmdatei auf der Festplatte Daten ablegen (und sie also verändern), wenn Sie umkonfiguriert werden (TURBO-Pascal, Wordstar, viele andere auch). Wenn NEMESIS solche Schreibzugriffe unterbindet, ist die neue Konfiguration verloren. ==================================================================== FAT=EIN/FAT=AUS : (keine) Warnungen beim Schreiben in die FAT ==================================================================== Da es einige (brauchbare) Programme gibt, die direkt in die FAT schreiben ohne DOS zu benutzen, müssen Sie in diesen Fällen mit Fehlalarmen rechnen. Um diese Fehlalarme zeitweise abzuschalten geben Sie einfach NEMESIS FAT=AUS ein. Sie können jederzeit wieder NEMESIS FAT=EIN eingeben und der Schutz ist wieder aktiv. Wenn Sie SMARTDRV von Microsoft benutzen, schaltet NEMESIS intern immer auf "FAT=AUS". Sie würden von falschen Warnungen überschüttet. ==================================================================== WATCH/NOWATCH : Veränderungen von Interrupts (nicht) überwachen. ==================================================================== Die meisten Viren ändern einige Adressen von Unterbrechungsroutinen (engl. "interrupts"), um sicher zu sein, daß Sie in "Ruhe arbeiten" können. Beispiel : Wenn Sie "NEMESIS" eingeben, wird der Interrupt 21 hex ausgelöst, der den Text "NEMESIS" weitergibt. Dieser Text kommt dann zu DOS, dieses lädt NEMESIS.COM von der Festplatte und startet es. Wenn ein anderes Programm auch die Auslösung von Interrupt 21h überwacht (DOSKEY.EXE zum Beispiel tut das), dann kann es "mithören", was DOS tun soll und sich entsprechend verhalten. DOSKEY wird auf diesen Aufruf des INT 21h nicht reagieren. Die meisten Viren aber werden es tun und die Gelegenheit nutzen, NEMESIS.COM zu infizieren. NEMESIS kann überwachen, ob irgendein Programm einen der für Viren "interessanten" Interrupts überwacht. Wenn das der Fall ist, werden Sie gewarnt und können Ihre Zustimmung dazu geben oder auch nicht. ==================================================================== BOOT=EIN/BOOT=AUS: (keine) Warnungen beim Schreiben in Bootsektoren ==================================================================== Normalerweise ist der erste Bootsektor einer Festplatte als besonderer System-Sektor geschützt. Wenn Sie BOOT=EIN angeben, werden alle Bootsektoren aller Festplatten geschützt. Normalerweise wird auf einen Bootsektor niemals geschrieben. Wenn Sie aber sehr kleine Partitionen haben (weniger als 10 MB), kann es sein, daß einige Disk-Editoren in diese Sektoren schreiben (ohne sie zu verändern). Sie können die dann auftretenden Fehlalarme mit BOOT=AUS abschalten ==================================================================== SAVE/NOSAVE : bei abgewiesenem Schreibversuch: (nicht) sichern, was hätte geschrieben werden sollen ==================================================================== Da NEMESIS jeden Schreibzugriff unterbinden kann, sind Sie möglicher- weise interessiert daran zu wissen, WAS denn nun geschrieben werden sollte. Es könnte ein Virus sein, genausogut aber ihre aktuelle Konfiguration. Wenn Sie NEMESIS nicht mit "NOSAVE" aufrufen, werden diese Daten in der Datei "NEMESIS.FIL" abgespeichert. Um das zu verhindern geben Sie einfach NEMESIS NOSAVE an. Um die Funktion wieder einzuschalten, geben Sie NEMESIS SAVE ein. ==================================================================== INVALID/NOINVALID: (keine) ungültigen DOS-Aufrufe zulassen ==================================================================== Manche Viren gehen einen einfachen Weg, um sich selbst im Speicher zu finden : Sie rufen DOS mit einer ungültigen Funktion auf und sehen sich die Antwort an. Sind sie schon im Speicher (oder glauben sie wenigstens daran), dann versuchen sie es meist nicht noch ein zweites Mal. Es gibt einige bekannte Aufrufe und ihre "Rufer". NEMESIS kann das überwachen. JEDOCH : Einige dieser Aufrufe werden ebenfalls von Netzwerk-Software benutzt. Deshalb werden Sie besonders in einer Netzwerk-Umgebung möglicherweise Fehlalarme bekommen. Auf Rechnern ohne Netzwerk-Software sind diese Aufrufe in jedem Fall ungültig. Die dann ausgegebenen Meldungen sind unten einzeln aufgeführt. ==================================================================== TBSCAN=ON/TBSCAN=OFF : TBSCAN-Besonderheit (nicht) erlauben ==================================================================== TBSCAN ist ein sehr schneller Virenscanner, geschrieben von Frans Veldman, Holland. Seit der Version 3.0 benutzt er einen Trick, um seine Geschwindigkeit noch zu erhöhen : Er holt sich aus dem DOS-Datenbereich die Adresse des Festplatten-Interrupts um direkt (also ohne Umweg über DOS) die Festplatte ansprechen zu können. Da das typisch für einige "moderne" Viren ist, hat NEMESIS es zuerst immer unterbunden. TBSCAN ist aber ein guter Scanner, deshalb bleibt die Entscheidung bei Ihnen : Voreinstellung ist "VERBOTEN". Wenn Sie TBSCAN starten, wird es abgebrochen. Sie müssen NEMESIS mit dem Befehl TBSCAN=EIN aufrufen, dann wird TBSCAN erlaubt, die Daten zu holen. (LESEN SIE UNTEN DIE NOTIZ ÜBER CALIBRATE !). ** Seien Sie vorsichtig ** Ein Virus darf die Daten nun auch holen ! Nemesis kann nicht unterscheiden, WER die Daten holen will ! Starten Sie NEMESIS nach dem Lauf von TBSCAN wieder mit TBSCAN=AUS. ==================================================================== FACE / NOFACE : (keine) Aktivitätsanzeige ==================================================================== Wenn Sie NOFACE angeben, wird das Gesicht links oben am Bildschirm nicht angezeigt. Wenn Sie FACE angeben, wird es angezeigt. Das Gesicht erscheint immer dann, wenn NEMESIS arbeitet und gibt Ihnen so eine Kontrolle darüber, ob NEMESIS aktiv ist. ==================================================================== Die folgenden Befehle gelten nur beim ersten Aufruf von NEMESIS : ==================================================================== ==================================================================== LOW : NEMESIS soll sich nicht selber hochladen. ==================================================================== Seit Version 0.97 kann NEMESIS sich selbst "highloaden", das heisst, sich ins upper memory kopieren und von dort aus Ihren Rechner überwachen. Zum Begriff "upper memory" lesen Sie mehr im Anhang. Seit Version 1.10 erlaubt NEMESIS nicht mehr, mithilfe des LOADHIGH-Befehls von DOS hochgeladen zu werden, da es meistens Probleme damit gibt. (Lesen Sie die Notiz über LOADHI). Wenn NEMESIS sich selbst hochlädt, startet es im normalen DOS-Speicher (unterhalb 640 KB) und kopiert alle Teile, die zur Überwachung gebraucht werden, in den hohen Speicher, kein einziges Byte mehr. Wenn Sie kein EMS haben, aber genug upper memory, dann lädt es sich komplett (ca. 40KB) hoch, sonst nur 4000 Byte. Voraussetzung ist natürlich, daß Sie überhaupt upper memory haben. Wenn Sie sich darüber im unklaren sind : starten sie das mitgelieferte MEM.EXE. Wenn Sie also ein kleines Loch im upper memory haben wird LOADHIGH NEMESIS nicht hochladen können, NEMESIS selber KANN es aber. Wenn Sie jedoch NEMESIS verbieten wollen, upper memory zu benutzen, starten sie es mit dem Befehl "LOW". Es wird dann immer noch versuchen, seinen CODE ins EMS zu verschieben, 4000 Byte werden aber im normalen Speicher verbleiben (statt im upper memory). ==================================================================== EMS/NOEMS : (kein) EMS für CODE benutzen ==================================================================== NEMESIS arbeitet in normalem DOS-Speicher, im hohen Speicher, oder im EMS-Speicher. Da ein Anti-Virus-Programm sich vor Veränderung schützen muß, die Viren am Programm-Code vornehmen könnten, ist es am Besten, Sie starten NEMESIS ohne die Befehle LOW oder NOEMS. Wenn Sie mindestens 48 KB freien EMS-Speicher haben, wird NEMESIS seinen Code dorthin verlagern. Dort ist er für kein Programm (besonders für kein Virus) mehr zugreifbar, außer für NEMESIS selber. Wenn Sie kein EMS haben, oder NEMESIS mit dem Befehl NOEMS starten, wird NEMESIS sich in den hohen Speicherbereich verschieben, wenn sie den aber auch nicht haben, dann bleibt es im normalen DOS-Speicher. Lesen Sie bitte auch die Notiz über EMM.SYS, EMM386 und SMARTDRV.EXE ! ==================================================================== NOFAT : (kein) EMS für Sektorschutz benutzen ==================================================================== Wenn Sie diesen Befehl angeben, wird NEMESIS keine Sektoren schützen. NEMESIS wird dann nur kontrollieren, ob Bootsektor und/oder Partitionssektor verändert werden soll, sowie die normalen DOS-Aufrufe auf Schreibzugriffe überwachen. ==================================================================== BATCH : "EIN" , "AUS" und "ENDE" ohne Rückfrage ausführen ==================================================================== Dieser Befehl ersetzt den alten Befehl "SYSOP". Seit Version 1.10 erlaubt der Befehl auch das komplette Entfernen von NEMESIS aus dem Speicher ohne Rückfrage (z.B. aus einem BATCH-File). Seien Sie vorsichtig bei der Angabe dieses Befehls. Ein Virus, das eine solche BATCH-Datei erzeugt und dann ausführt ist NICHT UNMÖGLICH. In früheren Versionen erlaubte "SYSOP" auch das Erzeugen und Löschen von Dateien. Das wurde geändert, seit NEMESIS dauerhaft lernen kann. Sie lesen unten mehr über die Lernfähigkeit von NEMESIS. Seien Sie mit diesem Befehl vorsichtig ! Es IST ein Sicherheitsloch ! Wir liefern mit NEMESIS ein Programm NEMTEST.COM, das den ERRORLEVEL 0 erzeugt, wenn NEMESIS im Speicher ist, sonst den ERRORLEVEL 1. Sie können es in Ihren BATCH-Dateien anwenden. Außer NEMESIS selbst und NEMTEST.COM darf kein Programm versuchen festzustellen, ob NEMESIS geladen ist. ==================================================================== INIT : Speicher initialisieren ==================================================================== Es gibt einige neuere Viren, die nach genügend "freien" Byte im Speicher suchen (meist in dem Bereich, in dem DOS liegt) und sich dorthin kopieren. NEMESIS kann das verhindern, indem es diese Bereiche sucht und für solche Viren unbrauchbar macht. Wenn Sie diesen Befehl angeben, sucht NEMESIS auch Adressen von Unterbrechungsroutinen, die nach "nirgendwo" zeigen und setzt diese Adressen so,daß sie auf den Befehl "interrupt beendet" zeigen. Die Interrupts 68h bis 6fh werden dabei ausgenommen. ==================================================================== QUIT : NEMESIS entfernen. ==================================================================== Dieser Befehl entfernt NEMESIS komplett aus dem Speicher. Das kann mit Schwierigkeiten verbunden sein. Wenn Sie irgendein speicherresidentes Programm (TSR) NACH NEMESIS gestartet haben, und dieses Programm mindestens einen folgender Interrupts bearbeitet 8,9,13,20,21,26,27,28,2F,30,40,67, (alle hex) dann *KANN* Ihr Computer stehenbleiben ("abstürzen"). Er wird ganz sicher stehenbleiben, wenn das TSR einen dieser Interrupts selbst aufruft (und dabei den CALL-Befehl benutzt anstatt dem INT-Befehl) und das TSR von einem Interrupt, der nicht in dieser Liste steht, aufgerufen wird. Der Computer wird nicht stehenbleiben, wenn das TSR nur "INT xy" ausführt. Das TSR wird aber "abgehängt", wenn es einen dieser Interrupts bearbeitet. Wenn Sie BATCH angegeben haben, wird NEMESIS sofort und ohne Rückfrage beendet und entfernt. NEMESIS untersucht lediglich, ob sie den Befehl "ENDE" aus einer SHELL gegeben haben. Wenn ja, wird der Befehl NICHT ausgeführt. Verlassen Sie die SHELL mit "EXIT" und wiederholen Sie den Befehl. ==================================================================== SHA=,SW=,CO1=,CO2=,CO3=,CO4=,CO5=,CO6=,CO7= : setzen der Farben ==================================================================== Die folgenden Befehle sind immer anwendbar und können (bzw. sollten) in NEMESIS.CFG stehen. Änderungen werden NICHT an das residente NEMESIS weitergegeben. Benutzen Sie NEMCFG.EXE (Teil des NEMESIS-Pakets) um die Farben einzustellen. Befehl Funktion Voreinstellung SHA=z setzt Hintergrund-Zeichen (SHA=░ ) SW=xy setzt Hintergrund-Farbe (SW=0F : weiss auf schwarz) CO1=xy setzt Hintergrund-Farbe 1 (CO1=1F : weiss auf blau ) CO2=xy setzt Status-Farbe 1 (CO2=1E : gelb auf blau ) CO3=xy setzt Textfarbe 1 (CO3=70 : schwarz auf weiss) CO4=xy setzt Warn-Farbe 1 (CO4=4B : gelb auf rot ) CO5=xy setzt Warn-Farbe 2 (CO5=4F : weiss auf rot ) CO6=xy setzt Status-Farbe 2 (CO6=1B : hellblau auf blau) CO7=xy setzt Info-Farbe 1 (CO7=71 : blau auf weiss ) "xy" muss als HEX-zahl angegeben werden, mit jeweils ZWEI Zeichen : x steht für die Hintergrund-Farbe (X = 0..F erlaubt) y steht für die Vordergrund-Farbe (Y = 0..F erlaubt) Die Datei MONO-CFG enthält eine Befehlszeile für Benutzer von Schwarz-Weiss-Monitoren. Sie müssen nur MONO.CFG in NEMESIS.CFG umbenennen (oder einfügen), um das Ergebnis zu sehen. Bitte merken : ============== - CO2 = 22 - falsch : es sind keine Leerzeichen erlaubt - CO2=2 - falsch : es müssen ZWEI Zeichen sein - CO2=4G - falsch : G ist keine gültige HEX-Zahl (0..F ist möglich) - CO3=44 - falsch , weil der Text unsichtbar wäre (rot auf rot). Wenn Sie "x" auf einen größeren Wert als 7 setzen, wird Ihr Text in aller Regel blinkend dargestellt. Wenn Sie "y" auf einen größeren Wert als 7 setzen, wird die Farbe hell dargestellt, sie blinkt aber nicht. Sie können die folgende Tabelle benutzen, um "Ihre" Farben zu finden. Die erste Zeile enthält den Wert für "x" und "y", die zweite Zeile die entstehende Farbe. ------------------------------------------------------------------ 0 1 2 3 schwarz blau grün cyan-blau ------------------------------------------------------------------ 4 5 6 7 rot violett braun hellgrau ------------------------------------------------------------------ 8 9 A B dunkelgrau hellblau hellgrün hell-cyan ------------------------------------------------------------------ C D E F hellrot hell-violett gelb weiß ------------------------------------------------------------------ ----------------------------------------------------------------- Nochmal : benutzen Sie NEMCFG.EXE um die Farben einzustellen. ( Sie werden sonst verrückt. ) ----------------------------------------------------------------- ====================================================================== Ende der Befehls-Liste ====================================================================== ====================================================================== NEUE FUNKTION : (dauerhaftes) Lernen in eine Datei ====================================================================== Diese Funktion benötigt 32KB expanded-memory (EMS). Falls Sie kein EMS haben, ist die Funktion abgeschaltet. Da wir alle meistens dieselben Programme benutzen, die dann auch die meist unnötigen Warnungen provozieren, haben wir NEMESIS jetzt beigebracht, sich diese Programme zu merken. Gelernt wird der NAME und die ENDUNG des Programms (z.B. "ARJ.EXE") sowie die Speicheradresse, von der die Warnung ausgelöst wurde und eine Prüfzahl, die es ermöglicht, die Gegend um diese Speicheradresse herum eindeutig zu identifizieren. Wenn NEMESIS eine Adresse gelernt hat, werden sie (hoffentlich) nie wieder bei diesem Programm gefragt, - AUSSER die Warnung wurde von einer anderen Speicheradresse aus provoziert, - AUSSER in der Speichergegend um diesen Punkt herum hat sich etwas verändert (*) - AUSSER das Programm wurde umbenannt - AUSSER das Programm löscht sein Environment (auch teilweise). Es können bis zu 1724 Programme dauerhaft gelernt werden. Wenn Sie kein EMS haben, kann NEMESIS immerhin noch 80 Programme lernen, die aber beim Beenden von NEMESIS vergessen werden. Beachten Sie : -------------- Da NEMESIS nicht zusammen mit DESQview laufen kann, wird auch die Adresse von DESQview gelernt und DESQview beim nächsten Start ohne Frage abgebrochen. (*) Zum Beispiel : TURBO.EXE von Borland setzt sein Datensegment in der Gegend des Codes, der auch die EXE-Dateien erzeugt. Deshalb erfolgt jedesmal eine Warnung, wenn TURBO.EXE in einem anderen Speicherbereich gestartet wird, da sich damit die Bytefolge in der Gegend um den Schreib-Code ändert. ====================================================================== EDITOVA.EXE Utility zum Bearbeiten von NEMESIS.OVA ====================================================================== Dieses Programm ist nur für registrierte Benutzer. Es kann zusammen mit der jeweils neuesten Version von den Support-Mailboxen downgeloaded werden. Es ermöglicht die komfortable Änderung und / oder Zusammenfassung der Daten in NEMESIS.OVA. Damit ist es dann auch möglich, Probleme wie mit TURBO.EXE und anderen Programmen, zu umgehen. ====================================================================== NEMESIS ist resident. ====================================================================== Plötzlich erscheint eine Zeile : "Bitte Taste drücken". Ok, Sie drücken die Taste. Eine Bildschirmseite wird aufgebaut, um die Situation zu erklären : ------------------------------------------------------------------------------ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Versuch, eine geschützte Datei zu erzeugen : <blabla.exe> Anforderung kommt von : C:\blabla\bubble.exe Adresse : 1234:5678 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Wie soll NEMESIS reagieren ? ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ <J>a : zulassen <N>ein : nicht zulassen <V>erbieten : "nein", bis zum Programmende <E>rlauben : "ja" bis zum Programmende <A>bbrechen : Beendet das momentane Programm sofort mmer : Lernen und Adresse merken <T>est : Versuchen. Wird fehlschlagen, wenn Datei existiert. ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ------------------------------------------------------------------------------ Was ist passiert ? Jemand (wahrscheinlich SIE) hat versucht, eine geschützte Datei zu beschreiben. Vielleicht haben Sie ein paar Programme aus einem Pfad in einen anderen kopieren wollen. Dazu musste eine neue Datei mit demselben Namen erzeugt werden. Falls es so war : tippen Sie "j" ein, um es dieses eine Mal zuzulassen oder "e", um es solange zuzulassen, bis das momentane Programm beendet ist. Wenn Sie sich auf DOS-Ebene befinden, gilt "erlauben" solange, bis Sie den PROMPT wieder sehen. Wenn Sie sicher sind, daß es in der gegebenen Situation immer in Ordnung ist, daß Dateien verändert werden, dann können Sie NEMESIS die Adresse auch gleich lernen lassen. ** Gehen sie vorsichtig mit dem Lernen um ** Wenn Sie sicher sind, daß die Datei NICHT verändert werden soll, dann können Sie entweder "N" für nein oder "V" für verbieten eingeben. Wenn Sie nervös sind können Sie auch abbrechen lassen. "A"bbrechen bringt sie sofort zurück zum DOS-Prompt. Alles, was Sie im aktuellen Programm nicht gesichert haben, ist verloren. Wenn Sie grade ein Programm umkonfiguriert haben, das sich selbst verändern (die Konfiguration eintragen) wollte : diese Konfiguration ist verloren, bzw. befindet sich nun in NEMESIS.FIL, wo sie nicht hingehört. Nochmal : Vorsichtig mit den Tasten ! Es gibt keinen Grund, nervös zu sein. Ohne NEMESIS wurden auch schon EXE-Dateien verändert, nur haben Sie es nie bemerkt. Wenn Sie "N" oder "V" eingeben, wird die Datei "blabla" nicht verändert. Wenn Sie "T" eingeben, wird DOS die Datei erzeugen, falls sie noch nicht existiert, ansonsten aber einen Fehler melden. Wenn Sie erlauben, daß die Datei erzeugt wird, wird NEMESIS sie als "nicht geschützt" behandeln, solange, bis sie geschlossen wird. Danach ist sie geschützt, auch ihre Cluster. Es können auch andere Bildschirm-Seiten aufgebaut werden. Sie sehen im wesentlich so wie die folgende Seite aus : ------------------------------------------------------------------------------ ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Versuch, eine geschützte Datei zu verändern : <blabla.exe> Anforderung kommt von : C:\blabla\bubble.exe Adresse : 1234:5678 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Wie soll NEMESIS reagieren ? ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ <J>a : zulassen <N>ein : nicht zulassen <V>erbieten : "nein", bis zum Programmende <E>rlauben : "ja" bis zum Programmende <A>bbrechen : Beendet das momentane Programm sofort mmer : Lernen und Adresse merken ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ------------------------------------------------------------------------------ ==================================================================== Noch einmal zu den Tasten : ==================================================================== "J" bedeutet : die momentane Aktion EINMAL erlauben und dann nochmal fragen. "N" bedeutet : die momentane Aktion EINMAL untersagen und dann nochmal fragen. "E" bedeutet : Alles erlauben, bis zum Programm-Ende. "Programm-Ende" ist das Ende des jeweils nächsten Programms. Wenn Sie in eine DOS-Shell gehen und sie wieder verlassen, ist das ein "Programm-Ende" und Sie werden wieder gefragt. "V" bedeutet : Alles verbieten bis zum Programm-Ende "Programm-Ende" bedeutet daßelbe wie oben. "I" mmer : Diese Adresse soll NEMESIS sich merken. Wenn irgendeine Art von Schreibzugriff aus diesem Code-Teil von dieser Adresse kommt, soll NEMESIS es zulassen. "A" bedeutet : Sofort das Programm beenden. "T" bedeutet : erzeuge die Datei nur, wenn es nicht schon eine Datei mit diesem Namen gibt. ==================================================================== TECHNISCHE ANMERKUNGEN ==================================================================== NEMESIS ist ein sehr komplexes Programm. Um es richtig zu benutzen, sollten Sie zumindest "etwas" verstehen, was es macht und wie es arbeitet. Im Prinzip besteht NEMESIS aus zwei Teilen : Dem Schutz auf DOS-Ebene und dem Schutz auf Cluster-Ebene. Das heißt : einerseits gibt es in NEMESIS Programmteile, die DOS-Zugriffe überwachen und Sie warnen, wenn Dateien gelöscht, verändert, umbenannt usw. werden sollen. Diese Programmteile stehen als Wächter zwischen einem Virus und Ihren Programmen, aber wie ein Wächter, der VOR dem Palast steht. Andererseits gibt es aber auch Programmteile, die sich zwischen DOS und Ihre Festplatte stellen und Ihre Dateien sogar vor Viren schützen können, die sich als DOS ausgeben und vom ersten Teil von NEMESIS nicht haben aufhalten lassen. Sie stehen als Wächter vor der Schatzkammer, um in diesem Bild zu bleiben. Das funktioniert dann folgendermassen : NEMESIS durchsucht die gesamte Festplatte nach geschützten Dateien und erzeugt ein Abbild der Verteilung dieser Dateien auf der Festplatte. Jeder (JEDER!) Schreibzugriff auf die Festplatte wird daraufhin untersucht, ob er eine dieser Dateien betrifft oder nicht. Wenn bei einem Schreibzugriff eine solche Datei verändert werden würde, erhalten Sie ein Warnung (ausser, Sie haben es schon zugelassen, oder die Adresse wurde gelernt). NEMESIS ist das erste Programm, in dem die Idee, die Dateien PHYSIKALISCH zu schützen, ernsthaft umgesetzt wurde. Deshalb gibt es damit auch nicht gerade viel Erfahrung, die dabei helfen könnte, Fehlalarme zu vermeiden. Lassen Sie uns nur auf eine Schwierigkeit eingehen : Eine Funktion von NEMESIS ist es, FAT-Schreib-Zugriffe, die nicht von DOS kommen, zu erkennen und Sie in so einem Fall zu warnen. Normalerweise kommt so etwas nicht vor, aber manchmal eben doch. Es gibt einige Programme, die "Hintertüren" benutzen und an DOS vorbei die FAT ändern. Sie erhalten in so einem Fall vielleicht andauernd Warnungen und ärgern sich über NEMESIS anstatt über das Hintertür-Programm. Deshalb haben wir die meisten Funktionen aus- und einschaltbar gemacht. SMARTDRV von Microsoft ist so ein Hintertür-Programm. Das ist auch der Grund, weshalb Sie KEINEN FAT-SCHUTZ mit SMARTDRV haben ! ==================================================================== DIE WARNUNGEN DER UNTEREN EBENE IM EINZELNEN ==================================================================== --------------------------------------------------------------------- " NEMESIS : Versuch, direkt in die FAT zu schreiben !!" " Es ist sicher keine normale Aktivität, denn die DOS-Aufrufe wurden umgangen" " Es gibt mehrere Erklärungen :" " 1. Sie reorganisieren gerade Ihre File-Struktur (compress, speeddisk)" " 2. das momentane Programm geht unkonventionelle Wege (umgeht DOS)" " 3. Sie benutzen ein Cache-Programm mit verzögertem Schreiben" " 4. Sie benutzen DOS 4.01" " 5. Oder : ein Virus will Ihre FAT zerstören !" " Abzubrechen ist SEHR gefährlich, also überlegen Sie genau, was Sie eingeben" --------------------------------------------------------------------- Wenn Ihre Programme "schmutzige Tricks" benutzen, werden Sie eine solche Warnung erhalten. Wie aber unterscheiden Sie einen Fehlalarm von einer wirklich gefährlichen Situation ? Das ist wirklich nicht so einfach. Vielleicht wird es am Besten sein, sie lassen den Schreibzugriff zu (Es ist sowieso gefährlich, es zu verbieten. Sie sollten gute Gründe haben, wenn Sie das tun ! Wenn die FAT nicht mehr stimmt, sind Ihre Dateien so gut wie zerstört), verlassen das momentane Programm danach so schnell wie möglich und lassen CHKDSK alle Partitionen kontrollieren. Wenn alles in Ordnung ist, und Sie das Programm, das die Warnung verursacht, öfters benutzen, dann sollten Sie vielleicht NEMESIS mit dem Befehl FAT=AUS starten. Wenn Sie aber durch CHKDSK auf "querverbundene Dateibloecke" oder "verlorene Dateibloecke" oder sonstige unangenehme Dinge aufmerksam werden, ist meist etwas schiefgelaufen. Meine Erfahrung sagt, daß es eine gute Idee ist, MIRROR in die AUTOEXEC.BAT aufzunehmen. Wenn Ihre FAT einmal zerstört wird, können Sie alle Daten restaurieren, indem Sie die MIRROR-Datei wieder zurückschreiben. Mögliche andere Gründe für Fehlalarme : - Sie benutzen ein CACHE-Programm mit verzögertem Schreiben. Falls das der Fall ist, starten Sie NEMESIS mit NOFAT. - Sie haben COMPRESS oder SPEEDISK o.ä. gestartet, und Ihre Dateien werden "umsortiert". In diesem Fall geben Sie "E"rlauben oder "L"ernen ein, und alles ist in Ordnung. Besser ist es aber, vor dem Einsatz von SPEEDISK oder COMPRESS NEMESIS zu entfernen und zunächst neu zu booten ! --------------------------------------------------------------------- "NEMESIS : Versuch, DIREKT auf einen geschützten Sektor zu schreiben" "Mögliche Erklärungen : " " 1. NEMESIS kam durcheinander, da Sie Ihre File-Struktur stark verändert (z.B. geschützte Files gelöscht, kopiert, verschoben) haben. Es sollte mit solchen Situtionen fertigwerden, aber ... " " 2. Ihr Rechner ist mit einem neuen Virus infiziert, der versucht, " " NEMESIS zu umgehen (eher unwahrscheinlich) ..." " Geschrieben werden sollen Daten ab " <eine Zahl folgt> --------------------------------------------------------------------- Diese Meldung sollten Sie niemals zu sehen bekommen ! Sie bedeutet, daß DOS umgangen wurde und irgendein Programm versucht, Dateien direkt zu manipulieren ! Mögliche Gründe : - Sie haben SPEEDISK oder COMPRESS laufen. - Sie arbeiten mit einem Sektor-Editor (NU.EXE, PCTOOLS etc.) - Sie haben den Befehl TBSCAN=EIN eingegeben und CALIBRATE gestartet. - Sie haben sich ein Tunnel-Virus eingefangen, das versucht, Dateien zu direkt infizieren. - Die interne Daten von NEMESIS stimmen nicht mehr, da Sie sehr starke Änderungen in Ihrer Dateistruktur vorgenommen haben. Das sollte zwar kein Problem sein, aber es ist nicht unmöglich. -------------------------------------------------------------------- "Versuch, den Verzeichnis-Eintrag der Datei <dateiname> direkt zu verändern" -------------------------------------------------------------------- Dies ist die erste Zeile einer Meldung, die anzeigt, daß DIREKT ein Verzeichnis-Eintrag verändert werden soll. Die Art der Änderung wird in der zweiten Zeile angezeigt : -------------------------------------------------------------------- " Art der Änderung : !! Zerstörung des Verzeichnisses !! " -------------------------------------------------------------------- Wenn das erste Zeichen eines Verzeichnis-Eintrags auf 0 (Byte 0) gesetzt wird, ist für DOS das Verzeichnis hier zu Ende. Alle eventuelle folgenden Einträge werden nicht mehr gelesen. Das Verzeichnis ist damit zerstört. Lassen Sie es nur zu, wenn Sie ein Verzeichnis löschen wollen. -------------------------------------------------------------------- " Art der Änderung : LÖSCHEN /" " Art der Änderung : NAME / " " Art der Änderung : GRÖSSE /" " Art der Änderung : DATUM/ZEIT /" -------------------------------------------------------------------- Das erklärt sich von selbst. Die Änderung von Datum/Uhrzeit wird NEMESIS immer zulassen. Es kann sein, daß ein Virus aktiv ist, der auf diese Weise Dateien als "schon infiziert" markiert. Die Dateien werden dann vor dem Virus geschützt sein. Auch wenn kein Virus aktiv ist, ist das Ändern dieser Daten unproblematisch. -------------------------------------------------------------------- " Art der Änderung : CLUSTER /" " Art der Änderung : SONDERBEREICH /" -------------------------------------------------------------------- Eine Warnung, die Sie NIE zu sehen bekommen sollten ! Mögliche Ursachen : ------------------ - Siehe oben : Sie haben ein Programm ähnlich COMPRESS oder SPEEDISK gestartet. - Sie haben sich ein Filesystem-Virus eingefangen (z.B. eines der DIR-Viren), das zur Infektion lediglich die Adresse des ersten Clusters einer Datei verändern muß. Mein Rat : Notieren Sie sich die beiden Zahlen und erlauben Sie die Veränderung einmal (Geben Sie "J" ein). Wenn die Warnung wieder kommt, dann vergleichen Sie die neuen Zahlen mit den alten. Wenn die jeweils zweite Zahl immer gleich ist (also der neue Cluster gleichbleibt), dann haben Sie (fast) mit Sicherheit ein solches Virus. Wenn die Zahlen aber immer voneinander abweichen, hat NEMESIS möglicherweise einen Fehler. Noch eine Bemerkung zur obigen Warnung : Wenn Sie NEMESIS testen und dabei auch mal einen Cluster-Eintrag ändern, NEMESIS dann anweisen, es nicht zuzulassen, kann es scheinen, als habe NEMESIS versagt. Booten Sie und sehen Sie danach nochmal nach. Es wurde nichts verändert, aber DOS braucht lange, um seine BUFFER zu aktualisieren. ---------------------------------------------------------------------- Wenn Sie BEIDE Warnungen erhalten (Erster Cluster UND reservierte Daten) dann ist Ihr Rechner sehr wahrscheinlich mit einem Filesystem-Virus verseucht. Dann sollten Sie sofort den RESET-Knopf drücken und von einer originalen, schreibgeschützten Systemdiskette booten. Starten Sie CHKDSK von der System-Diskette. Wenn eine große Anzahl von Dateien "querverbunden" sind und die angezeigte Zahl meist dieselbe ist, dann können Sie auch davon ausgehen, daß Sie ein Filesystem-Virus haben. ---------------------------------------------------------------------- Nach einer der obigen Warnungen wird, wenn Sie den Schreibzugriff nicht erlauben, meist der Text "Fehler beim Scheiben auf Laufwerk X: (A)bbrechen, (W)iederholen, (I)gnorieren, (U)ebergehen " erscheinen. Das ist vollkommen in Ordnung, NEMESIS hat DOS belogen und behauptet, daß Ihre Festplatte defekt ist. Geben Sie "A" für Abbrechen ein. ---------------------------------------------------------------------- Zu Ihrer Information und als Entscheidungshilfe wird auch angezeigt, wie der Verzeichnis-Eintrag im Moment aussieht, und wie er nach der Änderung aussehen würde. Als Beispiel zeigen wir, was angezeigt würde, wenn Sie NEMESIS.COM mit NU.EXE o.ä. umbenennen würden : ------------------------------------------------------------------------------ Versuch, den Verzeichnis-Eintrag der Datei NEMESIS.COM direkt zu verändern Art der Änderung : NAME / CLUSTER / ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Aktueller Eintrag Neuer Eintrag Name : NEMESIS.COM NEMESIS.BOM <die namens-felder> Attr : Arc Arc <das attribut> Time : 11.03.42 11.03.42 <datei-uhrzeit> Date : 11.03.1993 11.03.1993 <datei-datum> Clus : 4711 4712 <erster cluster> Size : 45678 45678 <datei-länge> Res. : 0000:0000:0000:0000:0000 0000:0000:0000:0000:0000 <reserviert> ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Anforderung kommt von C:\NORTON\NU.EXE Adresse 1234:5678 ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Wie soll NEMESIS reagieren ? ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ <J>a : zulassen <N>ein : nicht zulassen <V>erbieten : "nein", bis zum Programmende <E>rlauben : "ja" bis zum Programmende <A>bbrechen : Beendet das momentane Programm sofort mmer : Lernen und Adresse merken ░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ ------------------------------------------------------------------------------ ==================================================================== Meldungen von NEMESIS , bevor NEMESIS.BIN geladen wurde ==================================================================== " Performing selftest, please wait" " Performing pre-infection-test, please wait" " Pre-infection-test skipped : running from floppydisk" " pre-infection-test skipped : NEMESIS already resident" " Pre-infection-test skipped : running from network" Wenn Sie NEMESIS von Diskette starten, wird kein Infektions-Test durchgeführt. Es dauert einfach zu lange und kann Ärger geben. Starten Sie NEMESIS von der Festplatte. Wenn Sie bei einer Infektion von einer sauberen Diskette gebootet haben, können Sie NEMESIS.COM auf die Festplatte kopieren und dort starten. Wenn Sie NEMESIS von einer NOVELL-Platte starten, kann es auch Probleme mit dem Infektions-Test geben, deshalb wird auch dann kein solcher Test ausgeführt. " NEMESIS IS DAMAGED OR INFECTED. ABORTED !" Das bedeutet, daß NEMESIS auf irgendeine Art verändert wurde. Falls Sie NEMESIS nicht gepackt haben (z.B. mit LZEXE), dann gilt : Ersetzen Sie NEMESIS.COM, die defekte Datei wird nie wieder funktionieren. NEMESIS darf nur mit PKLITE gepackt werden, andere Packer erkennt es nicht. " could not change to NEMESIS-drive " Vielleicht ist das Laufwerk, von dem Sie NEMESIS gestartet haben, mit JOIN zugewiesen ? Es sollte zwar kein Problem mehr sein, aber wenn doch : teilen Sie es uns bitte mit. " NEMESIS : Could not perform selftest." Haben Sie NEMESIS von einer CD-ROM gestartet ? Oder von einer Server-Platte ? Jedenfalls konnte NEMESIS aus irgendeinem Grund nicht den ersten Sektor von NEMESIS.COM auf der Festplatte lesen. " could not read tempfile for pre-infection-test" Wie oben schon kurz erwähnt, erzeugt NEMESIS zwei Programm-Dateien, startet sie, kontrolliert sie danach, und löscht sie wieder. Aus irgendeinem Grund konnte zumindest eine der beiden nicht wieder gelesen werden. Eine Datei mit unaussprechlichem Namen und der Endung COM oder EXE, genau 2048 Byte lang, wird dann im Hauptverzeichnis des NEMESIS-Laufwerks liegenbleiben. Löschen Sie sie "per Hand". " wrong version of NEMESIS in memory. ABORTED !" Seit Version 1.10 überprüft NEMESIS auch die VERSION des jeweils residenten NEMESIS. LÖSCHEN SIE DIE ALTEN VERSIONEN VON NEMESIS ! " NEMESIS : cannot install. No free number for multiplex routine." NEMESIS braucht eine freie Nummer im Interrupt 2F, um Daten zwischen dem residenten NEMESIS und dem jeweils grade gestarteten NEMESIS austauschen zu können. Aber alle Nummern sind schon vergeben. Entfernen Sie eines der vorher gestarteten Programme. Wenn Sie KEINE oder nur SEHR WENIGE residente Programme geladen haben, kann das auch auf einen Virus hindeuten, der verhindern will, daß NEMESIS Sie schützt. " NEMESIS : ALT-key pressed. Abort installation ? <y/n>" Wenn Sie unmittelbar nach dem Start von NEMESIS die ALT-Taste gedrückt halten, erscheint obiger Text. Geben Sie "y" ein, wenn NEMESIS abbrechen soll. Das ist besonders nützlich, wenn Sie NEMESIS in die AUTOEXEC.BAT aufnehmen wollen, und noch nicht "die richtige Reihenfolge" wissen. Setzen Sie NEMESIS *hinter* KEYB.EXE, da KEYB.EXE speicherresident ist, NEMESIS sie also um Erlaubnis fragen wird, aber keine Antwort erhalten kann, da KEYB.EXE zu diesem Zeitpunkt noch keine Tasten weitergibt. " Unknown DR-DOS version. Aborted." " Unknown DOS or wrong version. " " NEMESIS needs at least DOS 3.3 to run. Aborted." NEMESIS wurde mit PC-DOS 3.30, MS-DOS 5.0, DR-DOS 5.0 und DR-DOS 6.0 getestet. Wenn es eine unbekannte DOS-Version erkennt, bricht es ab. " DR-DOS with multitasker " " Run NEMESIS only in singletask !" NEMESIS kann nicht unter TASKMAX (oder einer anderen Multi-Shell) gestartet werden. " Do not use LOADHIGH with NEMESIS !" " It's not necessary but can cause problems." " NEMESIS will load itself high, if ever possible." Sie haben versucht, NEMESIS hochzuladen. Geben Sie es auf, NEMESIS kann sich selbst hochladen und macht das besser als LOADHIGH. " Don't run NEMESIS with SIDEKICK. Aborted." SIDEKICK holt sich den Tastatur-Interrupt und gibt ihn nicht wieder her. Wenn NEMESIS sie warnen will, und auf eine Taste von Ihnen wartet, wird es nie eine Antwort von Ihnen erhalten. Lesen Sie die Bemerkung über SIDEKICK im Anhang. " NEMESIS cannot run within D'Bridge. Aborted." Sie haben versucht, NEMESIS zu starten, während Sie aus D'Bridge gedroppt sind. NEMESIS ist ein speicherresidentes Programm, das nicht in einer SHELL gestartet werden sollte. " NEMESIS does not run with OS/2 yet.." Sie haben NEMESIS unter OS/2 gestartet. Bevor NEMESIS sich "aufhängt" (oder sogar OS/2 selbst), bricht es lieber ab. " Loading messages from NEMESIS.BIN " Die Datei mit den Ausgabe-Texten wird gelesen. " NEMESIS : message-file NEMESIS .BIN not valid / not found. Aborted" NEMESIS.BIN ist zerstört, oder liegt nicht im selben Pfad wie NEMESIS.COM. Wenn es zerstört ist, dann löschen Sie es. Kopieren Sie ein anderes NEMESIS.BIN (aus dem NEMESIS-Archiv) in den Pfad. ==================================================================== Meldungen von NEMESIS nachdem NEMESIS.BIN geladen ist ==================================================================== Ab diesem Zeitpunkt sind alle Meldungen in deutscher Sprache verfügbar, mit Ausnahme von DOS-Fehlermeldungen, die NEMESIS ausgeben wird, wenn es einen DOS-Fehler erkennt. Wenn NEMESIS immer noch ausschließlich englische Texte ausgibt, dann kopieren Sie jetzt DEUTSCH.BIN über NEMESIS.BIN (zum Beispiel mit dem Befehl COPY DEUTSCH.BIN NEMESIS.BIN) und entfernen Sie NEMESIS. Starten Sie es danach nochmal. ---------------------------------------------------------------------- "Zu wenig freier Speicher für Re-Scan." Sie haben NEMESIS mit dem Befehl "NEU" gestartet, aber nicht genug freien Speicher, um den Re-Scan auch durchzuführen. Geben Sie EXIT ein, um die momentane SHELL zu verlassen... ---------------------------------------------------------------------- " FAT-LEVEL-SCHUTZ IST JETZT ABGESCHALTET ! SIE SOLLTEN SO BALD WIE MÖGLICH BOOTEN UND NEMESIS NEU STARTEN" Sie haben NEMESIS mit dem Befehl "NEU" gestartet und nicht genug freien Speicher um den Re-Scan durchzuführen. Das wurde nicht rechtzeitig erkannt, bevor der Re-Scan begonnen hat. Starten Sie NEMESIS nochmal mit "NEU", nachdem Sie Speicher freigemacht haben (Geben Sie EXIT ein). ---------------------------------------------------------------------- Bevor NEMESIS beginnt, Ihre Laufwerke nach geschützten Dateien zu durchsuchen , sucht es zunächst nach STACKER-Laufwerken. Folgende Textzeile wird solange ausgegeben : " Suche komprimierte Laufwerke (Stacker,SSTOR usw)" Wenn Sie diese Textzeile länger als eine 10-tel Sekunde sehen können, haben Sie möglicherweise ein Netzwerk mit Absolut-Sektor-Modus installiert (z.B. Kirschbaum-Link). Warten Sie beruhigt, alles ist in Ordnung. Wenn es aber länger als eine Minute dauert, ist etwas "faul". Während des Suchvorgangs werden Sie vielleicht folgende Text-Zeilen sehen : " Es ist kein Sektor-Schutz möglich auf Laufwerk "<laufwerksbuchstabe> " Grund : Laufwerk steht unter Kontrolle von " in der nächsten Zeile steht dann entweder " SUBST/ASSIGN/JOIN/Netzwerk oder ähnlichem." oder " SSTOR." Lesen Sie die Notiz über STACKER/SSTOR im Anhang. Wenn Sie aber die SUBST-Zeile sehen und KEIN NETZWERK installiert haben, wäre ich, Robert Hörner, an Informationen zu Ihrem DOS interessiert... ---------------------------------------------------------------------- " Zuviel Partitionen auf der Festplatte !!! " Dieser Text kann nie erscheinen, aber... Sie hätten dann mehr als 26 Laufwerke, oder, mit anderen Worten, NEMESIS hätte einen Fehler. Bitte informieren Sie uns. ---------------------------------------------------------------------- " Keine Festplatte gefunden." Sie haben entweder wirklich keine Festplatte oder NEMSIS konnte sie nicht finden. Sie haben keinen Sektor-Schutz, mit Ausnahme der Boot-Sektoren von Disketten. ---------------------------------------------------------------------- " Fehler beim Schreiben in EMS." " NEMESIS installiert sich im normalen Speicher." Das bedeutet, daß NEMESIS nicht direkt in den EMS-Speicher schreiben konnte (mit anderen Worten : Das RAM dort verhält sich wie ROM). Das kommt bei einigen älteren NEAT-Boards vor und mit EMM386.SYS von Microsoft. Versuchen Sie es mit dem Befehl "NEMESIS EMS". Wenn es funktioniert, dann schreiben Sie ihn in NEMESIS.CFG. ---------------------------------------------------------------------- " Nicht genügend EMS-Speicher oder EMS-Handles für den Sektor-Schutz!" " Die gewöhnlichen Viren werden aber trotzdem erkannt !" Ihr EMS-Speicher ist zu klein. NEMESIS kann keine Sektoren schützen. ---------------------------------------------------------------------- " PROBLEM : NEMESIS kann bei Ihnen keine Sektoren im upper memory lesen !" " Fordere Speicher im unteren Bereich an." Ein Teil von NEMESIS wird im hohen Speicherbereich arbeiten, aber dorthin können keine Sektoren gelesen werden. Deshalb werden 512 Byte von NEMESIS im normalen Speicher verbleiben. Anderenfalls könnte NEMESIS Ihre Verzeichnisse nicht schützen. Das Problem tritt anscheined nur bei Busmaster-DMA-Controllern (wie Adaptec) auf. ---------------------------------------------------------------------- " NEMESIS : SERIOUS FAILURE OF YOUR EMS-MANAGER !" " YOU SHOULD REBOOT ** AT ONCE ** !" " THERE IS A REAL DANGER TO LOOSE DATA !" " THIS IS NO JOKE !" NEMESIS kann nach einem Re-Scan ( BEFEHL "NEU" ) die neuen Daten nicht übergeben. Die liegt an einem ernsten Fehler in Ihrer EMS-Software. Booten Sie ! ==================================================================== Meldungen, wenn NEMESIS im Hintergrund arbeitet ==================================================================== "NEMESIS : TRACER REJECTED" NEMESIS läßt es nicht zu, daß es im Einzelschritt-Verfahren durchlaufen wird. Das ist eine typische Viren-Methode. Ein Programm (bzw. das Virus, das daran hängt) wird sofort abgebrochen. Lesen Sie auch die Notiz über VIRSTOP.EXE. ---------------------------------------------------------------------- "NEMESIS : EMS-FAILURE" NEMESIS hat einen ernsten Fehler in Ihrer EMS-Software festgestellt. Der CODE von NEMESIS, der im EMS liegt, kann nicht wieder hergestellt werden. Sie müssen booten. Wenn das Problem wieder auftaucht, dann starten Sie NEMESIS mit dem Befehl "NOEMS". ---------------------------------------------------------------------- "Fehler beim updaten der EMS-Daten" Dieser Text erscheint, wenn NEMESIS versucht, seine interne Daten aktuell zu halten, aber durch irgendeinen Fehler scheitert. Wenn Sie dazu noch wirre Meldungen erhalten und der angegebene Dateiname nicht stimmt , dann ist Ihre EMS-Software nicht 100 Prozent kompatibel zu EMS 4.0. Kaufen Sie eine andere EMS-Software und starten Sie NEMESIS solange nur noch mit NOFAT. ---------------------------------------------------------------------- "Fehler beim Lesen der Festplatte " <nummer> Dieser Text erscheint, wenn NEMESIS versucht, einen Sektor von der Festplatte zu lesen, dabei aber scheitert. Wenn dieser Fehler auftritt, dann haben Sie entweder eine defekte Festplatte oder NEMESIS hat ein DMA-Problem nicht erkannt. Versuchen Sie es mit NEMESIS LOW. ---------------------------------------------------------------------- " NEMESIS : Mein Code wurde verändert !" " Ihre Laufwerke sind jetzt schreibgeschützt." Dieser Text erscheint NUR, wenn NEMESIS tatsächlich im Speicher verändert wurde. Es ist sehr wahrscheinlich, daß Sie ein Virus haben ! ---------------------------------------------------------------------- " Versuch, eine Festplatte zu formatieren, wurde zurückgewiesen." Diese Warnung erscheint, wenn DOS über den Format-Befehl nicht informiert war. Der Format-Befehl wird auf jeden Fall zurückgewiesen. Das aufrufende Programm wird informiert, daß es versucht hat, eine schlechte Spur zu formatieren. Sie können Ihre Festplatte nur formatieren, wenn Sie NEMESIS entfernen. ---------------------------------------------------------------------- " *** WARNUNG *** " " Versuch, direkt auf eine Festplatte zuzugreifen, wurde zurückgewiesen. Das aktuelle Programm wurde abgebrochen ! Der Zugriff erfolgte von : <adresse wird angezeigt> Einige Interupts wurden auf ihren alten Wert gesetzt. Alle residenten Programme, die nach NEMESIS geladen wurden, ohne daß Sie den neuen Zustand gesichert haben, können jetzt unwirksam sein. " Sie erhalten diese drastische Warnung, wenn Sie TBSCAN -D starten und mit CALIBRATE. Sie erhalten Sie auch bei sehr vielen Viren. Wenn sie Sie nicht sehen wollen, starten Sie NEMESIS mit TBSCAN=EIN. Bedenken Sie aber, daß dann jedes Virus NEMESIS umgehen kann ! ! Lesen Sie die Notiz über CALIBRATE im Anhang ! ---------------------------------------------------------------------- "Anzahl der DOS-Buffer verändert von <alte zahl> zu <neue zahl>" "Auswahl : <r>estaurieren, <s>ichern , gnorieren " Das ist unmöglich ohne ein Programm, das Ihnen MEHR Buffer gibt ohne resident im Speicher zu bleiben, und möglichen Viren, die DOS-Buffer belegen. !! Wir hatten keine Möglichkeit, zu testen, ob das "restaurieren" auch !! funktioniert. In der Theorie klappt es.... ---------------------------------------------------------------------- "Speichergröße wurde verändert. Von <alter wert> zu <neuer wert>" "Auswahl : : <r>estaurieren, <s>ichern , gnorieren " Das passiert nach dem Start von VIDRAM und einigen Viren, die, um sich vor Überschreiben zu schützen, den verfügbaren Speicher verkleinern. ---------------------------------------------------------------------- " Speicherkontrollblock verändert : <xx> Byte werden resident sein !" " Auswahl : <r>estaurieren, <s>ichern , gnorieren " Das geschieht mit VIDRAM, jedem anderen TSR und einigen Viren, die versuchen, sich schlau zu verhalten (CASCADE, z.B.). Es geschieht normalerweise NICHT, wenn Sie in eine DOS-Shell gegangen sind und "EXIT" eingegeben haben. ---------------------------------------------------------------------- "Speicherkontrollblock zerstört" Normalerweise müssen Sie jetzt Ihren Rechner neu starten, da COMMAND.COM nicht geladen werden kann. NEMESIS gibt diesen Text aus, wenn der letzte Speicherkontrollblock (eine DOS-interne Datenstruktur) weder mit "M" noch mit "Z" beginnt und auch nur, wenn Sie "R"estaurieren lassen wollten, nachdem der letzte Speicherkontrollblock verändert worden war. ---------------------------------------------------------------------- " ACHTUNG ! " " Speicherkontrollblock gibt fehlerhaften Wert für die " " Speicherobergrenze an ! Möglicherweise ein Virus !" " Daten ab <adresse> wurden abgespeichert !" ---------------------------------------------------------------------- " ACHTUNG ! " " UMB-Speicherkontrollblock gibt fehlerhaften Wert für die " " Speicherobergrenze an ! Möglicherweise ein Virus !" " Daten ab <adresse> wurden abgespeichert !" ---------------------------------------------------------------------- Wenn NEMESIS feststellt, daß Sie nach einem normalen Programm-Ende weniger Speicher als zuvor haben, schreibt es die Daten aus dem "fehlenden" Teil des Speichers in die Datei NEMESIS.FIL. Dies unterbleibt, wenn Sie NOSAVE angegeben haben. Es wird sowohl der normale DOS-Speicher als auch das upper memory kontrolliert. ---------------------------------------------------------------------- " DOS-Startcode wurde verändert !" " Auswahl : <r>estaurieren, <s>ichern , gnorieren " NEMESIS kennt normalerweise die ersten paar Byte von DOS. Sie verändern sich niemals, solange der Rechner eingeschaltet ist. Allerdings gibt es ein paar Tarnkappen-Viren, die diese Bytes verändern. ---------------------------------------------------------------------- " Anzahl der DOS-Stacks ist verändert" " Auswahl : <r>estaurieren, <s>ichern , gnorieren " Ohne ein spezielles Programm, das Ihnen MEHR Stacks gibt, ist das unmöglich. Wenn Sie WENIGER Stacks haben, dann haben Sie ein Virus. ---------------------------------------------------------------------- "Größe der DOS-Stacks verändert. Kann nicht restauriert werden." Nehmen Sie es einfach zur Kenntnis. Es kann ein Virus sein. Es kann normal sein. Wahrscheinlich ist es ein Virus. ---------------------------------------------------------------------- "<anzahl> DOS-Stacks blockiert." " Auswahl : : <r>estaurieren, <s>ichern , gnorieren " Das ist wahrscheinlich normal. Lassen Sie NEMESIS die blockierten Stacks freigeben. Wenn dies Meldung oft erscheint, könnte (!) es ein Virus sein. Es kann aber auch ganz ohne ein Virus öfters vorkommen. Wenn Ihr Rechner aber "stehenbleibt", nachdem NEMESIS die Stacks freigegeben hat, dann hat entweder NEMESIS einen Fehler, oder Sie haben ein Virus. ---------------------------------------------------------------------- " Versuch des DIREKTEN formatierens einer Spur in Laufwerk X:" " Versuch des DIREKTEN schreibens einer Spur in Laufwerk X:" Wenn Sie dieses Laufwerk formatieren wollten, dann erlauben Sie es, sonst nicht. ---------------------------------------------------------------------- " Versuch den Bootsektor in Laufwerk x: zu verändern !" " Versuch den Partitionssektor in Laufwerk x: zu verändern !" Dieser Text erscheint, wenn der Partitionssektor von Laufwerk C: oder der Bootsektor von Laufwerk A: oder B: oder C: geändert werden soll. Er erscheint auch, wenn Sie das Formatieren dieses Laufwerks erlaubt haben. Wenn Sie "ohne Grund" eine solche Warnung erhalten, dann ist was faul. ---------------------------------------------------------------------- " Versuch, eine geschützte Datei zu erzeugen : <dateiname> " Versuch, eine geschützte Datei zu verändern : <dateiname> " Versuch, eine geschützte Datei umzubenennen : <dateiname> " Versuch, eine geschützte Datei zu löschen : <dateiname> " Versuch, eine geschützte Datei zu ersetzen : <dateiname> Die Entscheidung liegt bei Ihnen. ---------------------------------------------------------------------- " Programm benutzt eine DOS-interne Zugriffsnummer : " <zahl> DOS benutzt 5 Zugriffsnummern ("handles") für interne Zwecke. Es ist völlig ungewöhnlich, daß ein Programm mit einer solchen Zugriffsnummer arbeitet, um eine Datei zu verändern. Antworten Sie mit "V" wie Verbieten. ---------------------------------------------------------------------- " Residente NEMESIS : Ungültiger Versuch, mich zu verändern !" Dieser Text wird nur angezeigt, wenn ein anderes Programm (also nicht NEMESIS.COM selber) versucht, den Status des speicherresidenten NEMESIS zu verändern. Es handelt sich wahrscheinlich um ein nicht genügend getestetes Virus. Wenn NEMESIS.COM verändert wurde, und dabei auch sein Selbst-Test entfernt wurde, kann diese Meldung auch erscheinen. LÖSCHEN Sie dieses NEMESIS.COM. ---------------------------------------------------------------------- " Versuch, Uhrzeit der Datei auf Sekunde größer 59 zu setzen." " Das ist eine typische Virus-Aktivität !" " NEMESIS wird es zulassen, da die Datei dadurch "immunisiert" wird." Manche Viren markieren von ihnen infizierte Dateien damit, daß sie die Sekunde der letzten Änderung auf einen Wert größer als 59 setzen. (Wenn Sie DIR eingeben, wird die Sekunde nicht angezeigt). Damit wollen Sie verhindern, daß ein Programm mehrmals von ihnen infiziert wird. NEMESIS wird deshalb zulassen, daß die Zeit verändert wird, SIE sollten aber nicht zulassen, daß die Datei selber verändert wird. ---------------------------------------------------------------------- " RESIDENTE NEMESIS : EDDIE-2 (DARK AVENGER VIRUS) IST AKTIV ! " NEMESIS hat einen DOS-Aufruf festgestellt, den auch der besonders gefährliche "Dark Avenger"-Virus ausführt. Wenn Sie nicht unmittelbar davor ein Anti-Virus-Programm gestartet haben, daß diesen Aufruf ebenfalls durchführt (NEMESIS führt diesen Aufruf durch, um die Anwesenheit von Dark-Avenger im Speicher festzustellen, allerdings nur, wenn es nicht erkennt, daß NEMESIS schon resident im Speicher ist), dann gilt : "ES BRENNT " ! Schalten Sie ab ! Booten Sie von einer virenfreien, schreibgeschützten Original-Betriebssystem-Diskette ! Starten Sie kein Programm auf Ihrer Festplatte, sondern starten Sie einen Virenscanner und / oder NEMESIS von Diskette ! Dieses Virus ist wirklich sehr gefährlich für Ihre Daten ! BEACHTEN SIE : -------------- Wenn Sie eine sehr alte Version von NEMESIS starten, während eine neue Version von NEMESIS im Speicher ist, oder wenn Sie eine alte Version von NEMESIS im Speicher haben, während sie die neue Version starten, kann es ebenfalls passieren, daß Sie diese Warnung erhalten. !! Löschen Sie die alten Versionen von NEMESIS ! Sie enthalten nicht nur viel mehr Fehler, als die neuen Versionen, sondern sind auch nicht verträglich mit den neuen Versionen. Benutzen Sie nur die neueste Version von NEMESIS ! ---------------------------------------------------------------------- " NEMESIS läuft nicht mit D'Bridge 1.50 " " NEMESIS läuft nicht mit Windows (tm). " " NEMESIS läuft nicht mit TASKMAX (DR-DOS)." " NEMESIS läuft nicht mit DOSSHELL." " NEMESIS läuft nicht mit DESQview." " NEMESIS läuft nicht mit alten NEMESIS-Versionen." Sie haben eines dieser Programme gestartet und NEMESIS teilt Ihnen mit, daß SIe sich entscheiden müssen : entweder NEMESIS oder dieses Programm, beides zusammen funktioniert nicht. ---------------------------------------------------------------------- " Sie können NEMESIS nicht in einer windows-task starten." " Sie können NEMESIS nicht in einer DOSSHELL-task starten." " Sie können NEMESIS nicht in einer DESQview-task starten." Sie haben versucht, NEMESIS als Task zu starten. Das ist nicht möglich. ---------------------------------------------------------------------- " Programm ruft DOS mit ungültiger Funktion. Abbrechen ? <J>a <N>ein" Sie haben NEMESIS den Befehl "NOINVALID" gegeben. Viele Programme rufen DOS mit ungültigen Funktionen, ohne deshalb Viren zu sein. Wenn Sie sicher sind, daß "dieses Programm" das noch nie getan hat, dann brechen Sie ab, ansonsten lassen Sie es weitermachen. Beim Programmende wird NEMESIS sowieso alles noch einmal genau ansehen. ---------------------------------------------------------------------- " NEMESIS : ICH ERHIELT EINEN AUFRUF, DER MÖGLICHERWEISE VON EINEM VIRUS STAMMT " Sie haben NEMESIS den Befehl "NOINVALID" gegeben. Viele Programme rufen DOS mit ungültigen Funktionen, ohne deshalb Viren zu sein. Manche Antivirus-Programme (NEMESIS selbst, zum Beispiel) rufen DOS mit solchen (ungültigen) Funktionen auf, um Viren zu entdecken. Folgende Viren können erkannt werden, wenn Sie NEMESIS den Befehl "NOINVALID" geben : Eddie-2 (dark avenger) virus (auf dieses Virus wird immer geachtet), Tequila virus, Dir-virus, G-virus, Shake virus, Invader virus, 699-virus, Plastique virus, Lozinsky virus, 789-virus, Terror virus, Diamond-a virus, Diamond-b virus, Dbase virus, Flip virus, Ontario virus, Cascade (170x) virus, Tremor-virus (UMB-1) Ein besonderer Aufruf wird von FluShot und VirEx, zwei sehr guten Viren-Scannern, durchgeführt (allerdings eben auch von vielen Viren) : ---------------------------------------------------------------------- NEMESIS übernimmt den Bildschirm und fragt Sie : "Sie haben FluShot oder VirEx laufen, nicht wahr ? (j/n)" Wenn Sie "N" eingeben, wird folgener Text angezeigt: "Dann ist Ihr Rechner wahrscheinlich mit dem 'PSQR/1720'- virus infiziert" Nehmen Sie die Angabe DIESES Namens nicht so genau. Es gibt mittlerweile sehr viele Viren, die diesen Aufruf machen, einfach um festzustellen, ob Flushot oder Virex aktiv sind. In diesem Fall stellen sie sich "harmlos". ---------------------------------------------------------------------- " NEMESIS kann die 'richtige' Antwort geben, damit das Virus sich nicht installiert, aber Sie müssen selbst entscheiden. Geben Sie "J" ein für "gib richtige Antwort", sonst "N" " Die jeweils "richtige" Antwort ist diejenige, bei der das Virus "glaubt", es müsse nicht "noch einmal" im Speicher bleiben, da es annehmen muss, es sein schon im Speicher. Im Ergebnis wird das infizierte Programm ausgeführt, das Virus aber bleibt inaktiv (und Sie können es mit CLEAN oder TBCLEAN (besser!) versuchen). ---------------------------------------------------------------------- " Programm normal beendet, Teile des Systems sind aber verändert !" Das letzte Programm wurde beendet, ohne im Speicher zu bleiben, aber einige Daten in Ihrem Rechner wurden verändert zurückgelassen. NEMESIS sucht nach Veränderungen bei - Interrupts, die für Viren von Interesse sein könnten - Speichergröße, sowohl im normalen Speicher als auch im upper memory - Speicherkontrollblöcken (auch UMB-Blöcke) - DOS-Stacks (Anzahl und Größe der Stacks) - DOS-Buffern (Anzahl der Buffer) - DOS-Code - Geräte-Treiber-Kette - Disketten-Treiber-Kette Fast in jedem Fall kann der alte Zustand wiederhergestellt werden, allerdings gibt es Ausnahmen. Nur zwei Beispiele : Das zuletzt beendete Programm wurde als OVERLAY geladen und die ladende "SHELL" ist noch aktiv. ( Beispiel : D'Bridges DB.EXE ist die SHELL und DB.???, selbst EXE-Dateien, sind die Overlays). Bedenken Sie, daß NEMESIS seine Daten nicht "pro Programm" sondern "pro Rechner" sammelt. Deshalb kann der Zustand auch nicht "automatisch" restauriert werden. Lassen Sie gesunden Menschenverstand walten. Unter 4DOS kann der Interrupt 2F nicht restauriert werden, da sonst 4DOS beendet würde. ---------------------------------------------------------------------- " ACHTUNG ! Daten im Schreibpuffer wurden verändert ! " " Sie sollten unbedingt abbrechen " Diese Warnung bekommen Sie, wenn NEMESIS bemerkt, daß die Daten, die ein Programm schreiben will, noch vor dem Schreiben verändert wurden, auch wenn die Reihenfolge, in der etwas geschrieben werden soll, nachträglich verändert wird. Gerade das letztere kann aber "normal" sein, etwa wenn ein CACHE-Programm den Schreibzugriff optimiert hat. Speziell erwähnt sei hier SMARTDRV, ein Cache von Microsoft. Es schreibt, wie und wann es will und sortiert die Daten nach Bedarf. Leider wird dadurch der Aufwand für den Schutz Ihrer Daten sehr groß. ---------------------------------------------------------------------- " WARNUNG ! SMARTDRV 4.0 und NEMESIS gemeinsam im Speicher kann Probleme geben" Sie haben SMARTDRV.EXE gerade gestartet. Seien Sie sicher, daß Sie Probleme mit SMARTDRV bekommen werden, mit oder ohne NEMESIS im Speicher. Lesen Sie die Notiz über SMARTDRV im Anhang. ==================================================================== ERRORLEVELS von NEMESIS ==================================================================== Wenn NEMESIS beendet wird, gibt es verschiedene ERRORLEVELS zurück, die in Batchdateien benutzt werden können. Ein ERRORLEVEL ungleich Null bedeutet dabei, daß ein Fehler auftrat. 1 : falsches oder unbekanntes Betriebssystem. 2 : NEMESIS wurde mit LOADHI oder LOADHIGH hochgeladen. 3 : keine freie Nummer im Int 2Fh. Gesucht wird von 0c0 bis 0ff. 4 : NEMESIS.BIN nicht gefunden oder defekt. 5 : Falscher Befehl in der Kommandozeile oder in NEMESIS.CFG. 6 : Multishell (windows, desqview etc) festgestellt. 7 : Sie versuchten NEMESIS zu beenden, bevor es resident war. 8 : Das residente NEMESIS läßt sich jetzt nicht beenden. 9 : Fehler beim Lesen der Festplatte während der Suche nach geschützten Dateien. 10 : DOS-Fehler während der Suche nach geschützten Dateien. 255 : NEMESIS ist defekt, zerstört, verändert oder infiziert. ==================================================================== ANHANG ==================================================================== 1. Bekannte Fehlalarme -------------------- a) 'Achtung ! Jemand versucht, direkt in die FAT zu schreiben." - Der Schutz der FAT sollte problemlos mit DOS 3.3 und DOS 5.0 funktionieren. Mit DOS 4.01 können Fehlalarme auftreten. Geben Sie dann den Befehl "FAT=AUS" an. b) ' Versuch, eine geschützte Datei zu verändern : COMMAND.COM ' - Die Version 1.30 von D'Bridge (ein EMAIL-Programm) fummelt bei jedem Start am Befehlsinterpreter (meist COMMAND.COM) herum. 2. Fehler, Eigenheiten, Notizen, Inkompatibilitäten : -------------------------------------------------- INT 2F: Manche speicherresidenten Programme nehmen an der Kommunikation über den Interrupt 2F teil, indem Sie zunächst den vorigen Handler bedienen, dann selbst aktiv werden und zum Schluss die Kontrolle wieder abgeben. Wenn ein solches Programm NACH NEMESIS geladen wird, führt das dazu, daß NEMESIS keinerlei Befehle (wie zum Beispiel "ENDE" oder "AUS" ) mehr annimmt, da es sehr genau untersucht, aus welcher Code-Umgebung (also aus welchem Programm) ein solcher Befehl kommt. Das Problem kann mit jeder Software auftreten, die auf das Funktionieren unter Windows zugeschnitten ist. Sie müssen dann entweder dieses TSR entfernen oder neu Booten. Diese strenge Kontrolle ist notwendig, andernfalls könnte jedes Virus NEMESIS "AUS" schalten. KEYB.EXE: Wenn Sie NEMESIS in Ihre AUTOEXEC.BAT aufnehmen, dann sollten Sie es HINTER KEYB.EXE stellen. Sonst wird folgendes passieren : KEYB.EXE ist ein TSR, NEMESIS wird Sie also um Erlaubnis fragen, allerdings wird NEMESIS keine Taste von Ihnen erhalten (KEYB.EXE von Microsoft hat die Tastatur übernommen....). SSTOR : STACKER : NOVELL : Werden erkannt und eine solche Partition wird nicht auf Sektor-Ebene geschützt. Unter NOVELL schaltet NEMESIS intern auch den Befehl "INIT" ab. Wenn Sie SSTOR benutzen ,eine RAMDISK installiert haben, und dazu noch einen Busmaster-DMA-Kontroller (Adaptec...) benutzen, sollten Sie unbedingt SSTOR mit dem Befehl "/HIDMA" versehen. Ansonsten bootet Ihr Rechner bei einem Zugriff auf die Ramdisk, falls NEMESIS EMS für CODE benutzt. ASSIGN,SUBST,JOIN: NEMESIS ist in der Lage "im Vorbeigehen" die Befehle ASSIGN, SUBST, JOIN aufzuheben. Dadurch wird es möglich, auch Partitionen, die damit logisch umgelegt wurden, auf Sektor-Ebene zu schützen. Das Verfahren wurde unter DOS 3.3, DOS 5.0, DR-DOS 5.0 und DR-DOS 6.0 getestet. Mit anderen DOS-Versionen wird es möglicherweise nicht funktionieren, dann werden diese Partitionen wie STACKER-Laufwerke behandelt (siehe oben). Nachdem NEMESIS alle Dateien gefunden hat, wird der ursprüngliche Zustand von JOIN, SUBST und ASSIGN wieder hergestellt. CLUSTER/ SEKTOREN: Der Schutz auf Cluster-Ebene funktioniert nur mit einer Sektor-Größe von 512 Byte. CACHE : Wenn Sie einen Festplatten-Cache benutzen und verzögertes Schreiben eingestellt ist, werden Sie sehr viele Fehlalarme erhalten. Der Zusammenhang zwischen dem Befehl "Schreibe" und der "Ausführung" "es wird geschrieben" geht bei verzögertem Schreiben verloren und NEMESIS weiß nicht mehr, ob ob ein Zugriff erlaubt ist, oder nicht. SCHALTEN SIE VERZÖGERTES SCHREIBEN AB, WENN SIE NEMESIS BENUTZEN ! SMARTDRV: Insbesondere mit SMARTDRV werden Sie sehr viele Fehlalarme der Art "Versuch, direkt in die FAT zu schreiben" erhalten. Deshalb schaltet NEMESIS auch auf FAT=AUS, wenn es SMARTDRV entdeckt. Warnung : -------- Besonders SMARTDRV 4.0 ist ziemlich gefährlich, da es verzögertes Schreiben als Voreinstellung benutzt. Um die größten Probleme zu vermeiden lädt NEMESIS sich nicht ins EMS, wenn es SMARTDRV 4.0 entdeckt. Allerdings löst das nicht das Problem, daß SMARTDRV 4.0 keinerlei Zusammenarbeit mit anderen Programmen zeigt. Das bedeutet konkret : nichts kann SMARTDRV dazu bringen, seine Daten in einem kritischen Augenblick NICHT zu schreiben. Wenn NEMESIS gerade dabei ist, einen Sektor zu lesen, kann es vorkommen, daß in genau demselben Moment SMARTDRV versucht, andere Daten zu schreiben. Dadurch kann es zu Datenverlust kommen, da NEMESIS seine internen Daten nur je einmal pro Schreibzugriff besetzt (keine Re-Entrance). Wir empfehlen deshalb DRINGEND SMARTDRV so zu konfigurieren, daß es keine Schreibverzögerung benutzt ! Dann wird zusammen es mit NEMESIS auch keinerlei Probleme geben. Bemerkung am Rande : -------------------- Wenn Sie SMARTDRV 4.0 mit Schreibverzögerung benutzen und NEMESIS eine Warnung bringt (z.B., weil ein Bootsektor oder eine geschützte Datei verändert werden soll), können Sie entweder den Schreibzugriff erlauben oder gleich booten. Wenn Sie nämlich den Schreibzugriff untersagen, dann wird SMARTDRV eine Meldung bringen : "Datenfehler, Wiederholen (W) ? ". Sie können nicht "I"gnorieren oder "A"bbrechen ! Und damit es nicht ganz so einfach wird, müssen Sie auch nicht "W" eingeben, sondern "R", für das englische "RETRY". VIDRAM : Seit Version 0.99 sollten alle Probleme mit VIDRAM ausgeräumt sein. GRAPHIC : Grafik-Programme können Probleme bekommen, wenn NEMESIS eine Warnung bringt. Immerhin : zumindest die Daten des Grafik-Modus 12h (Standart-VGA-Modus mit 640*480) werden vollständig gesichert und wiederhergestellt. SIDEKICK: von Borland Wenn NEMESIS innerhalb SIDEKICK eine Warnung bringen will, ist es unmöglich, eine Antwort-Taste zu erhalten, da SIDEKICK die Tasten zu dieser Zeit nicht weitergibt. Im Ergebnis wartet NEMESIS auf eine Taste, die es nie erhalten kann. Deshalb installiert sich NEMESIS auch nicht, wenn SIDEKICK vorher geladen wurde, und es sorgt dafür, daß SIDEKICK nicht geladen werden kann. Entfernen Sie NEMESIS, wenn Sie SIDEKICK brauchen, entfernen Sie SIDEKICK, wenn Sie NEMESIS brauchen. F-Prot: VIRSTOP.EXE (Teil des F-PROT-Pakets) beginnt seine Installation damit, daß es den Prozessor in den Einzelschritt-Modus versetzt und versucht, eine Interuppt-Kette zu verfolgen, die auch durch NEMESIS führt. NEMESIS läßt es nicht zu, daß es im Einzelschritt-Verfahren durchlaufen wird. Das ist eine typische Viren-Methode. VIRSTOP wird deshalb sofort abgebrochen. Wenn Sie VIRSTOP installieren wollen, dann starten Sie es, BEVOR NEMESIS im Speicher ist. Es genügt nicht, NEMESIS "AUS" zu schalten. MULTITASKER: (und was alles so genannt wird...) NEMESIS wurde ursprünglich als "normales" Programm geschrieben, das eine Handvoll DOS-Aufrufe überwacht, ein Abbild der Sektorbelegung mit den momentanen Schreib-Aktivitäten vergleicht und ansonsten darauf achtet, daß der Rechnerzustand sich nicht wesentlich verändert. Wir hatten einigen Ärger mit den "Multitaskern" und NEMESIS wurde an vielen Stellen geändert, um es damit verträglich zu machen. Unser größtes Problem war zum Schluß, daß NEMESIS Änderungen in Ihren Rechner durchführen muß, die alle "multitasker" (windows, desqview, dosshell, taskmax) für alle Programme im Rechner gelten lassen. Das bedeutet : auch wenn Sie NEMESIS in einem Fenster starten, wirken sich die wichtigsten Eingriffe von NEMESIS immer auf ALLE Fenster aus. Allerdings kann nur das eine NEMESIS in dem einen Fenster auf die Änderungen auch reagieren.... In allen anderen Fenstern führt das zum Absturz. Deshalb funktioniert NEMESIS nicht mit solchen "Multitaskern". Das gilt im Besonderen für DOSSHELL (MS-DOS 5.00) : TASKMAX (DR-DOS): DESQVIEW: WINDOWS : Wenn Sie eines dieser Programme starten wollen, müssen Sie NEMESIS entfernen. Wenn eines dieser Programme schon läuft, wird NEMESIS sich nicht installieren. VM/386: (Echter Multitasker) NEMESIS funktioniert gut unter VM/386 (auch mit Code im EMS), aber Sie sollten den Befehl "INIT" nicht anwenden. BBS-SYSTEME: Sysops sollten NEMESIS nicht auf dem Boxrechner laufen lassen. Aber wenn Sie wollen, dann geben Sie UNBEDINGT "BATCH" als Befehl ! Tragen Sie ihn in NEMESIS.CFG ein. Sie müssen dann NEMESIS beibringen, was "gute" Programme sind. Starten Sie alle Programme, die normalerweise laufen, besonders die PACKER ! Starten Sie sie "wie im wirklichen Leben". Lesen Sie, was oben über das Lernen geschrieben wurde. Schalten Sie NEMESIS nur bei Bedarf ein ! Stellen Sie sich vor, ein User schickt Ihnen um 2:00 ein COM-File und NEMESIS will wissen, ob es erzeugt werden darf..... D'BRIDGE: NEMESIS funktioniert gut mit DB 1.30 und 1.39, aber überhaupt nicht mit DB 1.50 und 1.51. Es handelt sich offensichtlich um ein Problem im FOSSIL von DB.EXE. NEMESIS wird DB sagen, es sei schon geladen und wird sich nicht installieren, wenn DB aktiv ist. CALIBRATE:(Norton-Utilities) CALIBRATE benutzt dieselbe Technik wie TBSCAN, um die Adresse des Codes zu finden, der die Festplatten-Ein/Ausgaben behandelt. Deshalb wird NEMESIS CALIBRATE auch abbrechen. ** SCHALTEN SIE NEMESIS NICHT AUF "TBSCAN=AUS" UM ! *** Entfernen (!!) Sie NEMESIS, wenn Sie CALIBRATE laufen lassen (müssen) und starten Sie Ihren Rechner zunächst neu ! Ansonsten kann es zu Datenverlust kommen ! ROMSCAN : Wir können Sie (noch) nicht gegen Viren wie "EDDIE" schützen, die eine direkte Methode benutzen, um die Festplatten-Behandlungsroutine zu finden. Wenn Sie aber QEMM mit "STEALTHED ROMS" benutzen, kann auch "Eddie" (mit NEMESIS im Speicher) nichts mehr ausrichten, sondern er wird sofort aus dem Speicher geworfen (das wird er sowieso). EMS.SYS : (gehört zu C&T-NEAT-Computern) Dieses Hilfsprogramm erzeugt EMS-Speicher auf NEAT-Rechnern. Durch einen Fehler ist es nicht möglich, daß NEMESIS sich in diesen EMS-Speicher kopiert und von dort arbeitet. Deshalb schaltet NEMESIS intern auf "NOEMS" um. Geben sie nicht den Befehl "EMS" an, wenn Sie diesen Treiber benutzen. NEMESIS kann das EMS dann immerhin für Daten benutzen. Es gibt noch einen weiteren Fehler in EMM.SYS : Wenn NEMESIS seine internen Daten aktualisiert und dazu aus DOS-Buffern liest, die im upper memory liegen, gibt dieser Treiber immer eine Fehlermeldung zurück. Wenn Sie keine DOS-Buffer im upper memory haben, funktioniert alles, ansonsten starten Sie NEMESIS mit NOFAT. EMM386.EXE:NEMESIS untersucht, ob es möglich ist, direkt in den EMS-Speicher zu schreiben. Wenn es NICHT möglich ist, schaltet es um auf "NOEMS". Wenn Sie EMM386 benutzen, können Sie das beheben, indem Sie den Befehl "EMS" benutzen. BUSMASTER-DMA-Controller: (wie z.B. der ADAPTEC SCSI-Controller 1542B). Mit solchen Controllern ist es offenbar nicht möglich für NEMESIS, direkt einen Sektor zu lesen, wenn NEMESIS sich ins upper memory geladen hat. Das scheint ein Problem mit der DMA zu sein. Wenn NEMESIS das Problem erkennt, wird es einen 512 Byte großen Speicherbereich im unteren Speicher anfordern. Weitere Probleme wird es nicht geben. NETWORK mit Absolut-Sektor-Modus : (z.B. Kirschbaum-Link /ABS) Wenn NEMESIS nach STACKER sucht, muß es einen INT 25h mit ungültigem Argument durchführen. Mit Kirschbaum-Link /ABS kann es bis zu 5 Sekunden dauern, bis der Aufruf beendet wird (386, 20MHz, ArcNet). Das ist "normal", keine Angst, ihr Rechner funktioniert noch. LOADHI,LOADHIGH : Seit Version 1.10 erlaubt NEMESIS keinen externen "LOADHIGH"-Befehl mehr, um NEMESIS ins upper memory zu laden. Stattdessen erhalten Sie einen Hinweis und NEMESIS bricht ab. STACKS : Es ist vielleicht notwendig, die Zeile "STACKS=9,256" in die CONFIG.SYS aufzunehmen, wenn Sie sehr viele residente Programme geladen haben. UNDELETE/UNFORMAT/QU.EXE usw. Wenn Sie eine Datei LÖSCHEN und wieder mit UNDELETE oder einem ähnlichen Programm zurückholen, wird es nicht mehr als "geschützte Datei" auf der Sektor-Ebene behandelt. Die Daten von NEMESIS wurden schon aktualisiert. Auf normaler Ebene ist es weiterhin geschützt. Wenn Sie wieder den Sektor-Schutz für solche Daten haben möchten, geben Sie "NEMESIS NEU" ein. FONTS: Programme, die eigene Zeichensätze benutzen, werden "seltsam" aussehen, nachdem NEMESIS eine Warnung gebracht hat. RAMFREI: ein Utility, das es ermöglicht, speicherresidente Programme nach Wunsch zu entfernen. Es hat die Angewohnheit, selbst den Speicher "ordnen" zu wollen. Wenn NEMESIS ins upper memory geht und dann resident bleibt, wobei es 0 Byte Speicher reserviert, scannt RAMFREI sich auf der Suche nach NEMESIS zu Tode. NEMESIS LOW löst dieses Problem. DOS 5.0: Wenn Sie in der CONFIG.SYS "DOS=HIGH,UMB" stehen haben, bleiben ca 100 Byte unbenutzter (und unbenutzbarer) Speicher übrig, nachdem NEMESIS sich ins upper memory geladen hat und resident gegangen ist. NEMESIS fordert 0 Byte Speicher an, DOS gibt ihm 100. Was soll man da machen ? -------------------------------------------------------------------- ==================================================================== Erklärung von benutzen Begriffen ==================================================================== UMB / upper memory Wenn Ihr Rechner mit mehr als 640 KB Speicher ausgestattet ist, haben Sie auch Speicher, auf den unter DOS normalerweise nicht zugegriffen werden kann. DOS kann normalerweise nur Speicher bis 640 KB verwalten. Seit DOS 5.0 (und unter DR-DOS schon länger, ansonsten mit spezieller Software) ist es aber möglich, DOS anzuweisen, diesen Speicher, der über eine höhere Adresse als z.B. die Grafik-Karte angesprochen wird (deshalb "upper memory", also "hoher Speicherbereich"), für Programme nutzbar zu machen. Grafisch dargestellt sieht das in etwa so aus : 0 KB 640 KB 1 MB ┌──────────┬────────────────────────┬────────┬─────────────┬─────┐ │intern/DOS│ Anwender-Programme │Bild- │upper memory │BIOS │ │ │ "konvent. Speicher " │schirm │ │ │ └──────────┴────────────────────────┴────────┴─────────────┴─────┘ Im Bereich "intern/DOS" sind die Adressen für die Unterbrechungsroutinen abgelegt (s.u.) und es befindet sich dort auch das Betriebssystem selber. Im Bereich "Anwenderprogramme" werden Ihre Programme ausgeführt. Im Bereich "Bildschirm" werden die Daten für die Bildschirmausgabe abgelegt. Der Bereich "upper memory" ist normalerweise unbenutzt, obwohl er 128 KB (und mehr) groß ist. Der Bereich "BIOS" enthält die Grundausstattung Ihres Rechners mit Befehlen, die sich auf allgemeine Ein/Ausgaben beziehen. Wenn Sie ein Programm mit "LOADHIGH" ins upper memory laden, muß von vorneherein dort genügend Speicher vorhanden sein, damit das Programm - hineinpasst - Daten ablegen kann - noch mehr Speicher anfordern kann. Ein COM-Programm wie NEMESIS benötigt zunächst 64 KB freien Speicher. Wenn im upper memory weniger zur Verfügung steht, funktioniert LOADHIGH nicht und das Programm wird in den konventionellen Speicher geladen. Wenn aber gerade noch 64 KB zur Verfügung stehen, wird das Programm in das upper memory geladen. Braucht das Programm dann aber mehr Speicher (z.B. um Daten abzulegen), wird es nicht funktionieren. NEMESIS benötigt beim Start zwar zunächst nur 64 KB, dann aber bis zu 128 KB und mehr. NEMESIS läßt sich aus diesem Grund nicht mit "LOADHIGH" hochladen, sondern erledigt das nach getaner Arbeit selbst. Dazu reichen 4000 Byte freier Speicher im upper memory aus (bei EMS) oder 48 KB (ohne EMS oder mit "NOEMS"). INTERRUPT 21H Unsere Rechner haben alle einen kleinen CHIP der Firma INTEL eingebaut, ohne den Sie nicht funktionieren könnten. Diese CHIPS nennt man "Mikro- Prozessor" oder "CPU". Besonders interessant an diesen CHIPS ist, daß ihre normale Arbeit durch ein Ereignis unterbrochen werden werden kann ("interrupted", daher "interrupt"). Wenn das geschieht, sichern die Chips die Adresse des nächsten Befehls, führen die "neue Arbeit" aus, und fahren mit dem ursprünglich nächsten Befehl fort. Es sind genau 255 mögliche Unterbrechungen vorgesehen, deren Adressen (die Adresse des Programms, daß die Unterbrechung bearbeitet) gleich am Anfang im Speicher stehen. Die Unterbrechungen sind von 0 bis 255 durchnummeriert, oder im Hex-Zahlensystem : von 00 bis FF. Der "interrupt 21h" wird von Programmen wie "WORD", "PCTOOLS" und allen anderen benutzt, wenn sie auf Dateien irgendwelcher Art zugreifen möchten. Fast alle Funktionen von DOS können durch Angabe von "INT 21h" benutzt werden. Da DOS jedem Programm Zugriff auf jede Datei gewährt, scheint damit wohl klar zu sein, daß auch jedem Virus Zugriff auf jede Datei gewährt wird. Deshalb muß NEMESIS (wie auch VSHIELD, VIRSTOP, TBSCANX und andere residenten Virenschützer) die Aufrufe des INT 21h überwachen, um festzustellen, was das grade aktive Programm "so alles treibt". NEMESIS überwacht dabei solche Aufrufe, die sich mit dem Öffnen von Dateien befassen, mit Schreibzugriffen jeder Art, mit dem Starten von Programmen. So kann frühzeitig ein eventueller Schreibzugriff abgefangen werden, so früh sogar, daß nicht einmal DOS davon erfährt, wenn Sie den Zugriff untersagen. INTERRUPT 13H Was oben geschrieben wurde, gilt im übertragenen Sinn auch für den Interrupt 13h, wobei allerdings der Interrupt 13h nicht ausgeführt wird, um DATEIEN , sondern um SEKTOREN zu bearbeiten. Er ist gewissermaßen die Schnittstelle zwischen DOS und der Festplatte. Wenn ein Programm den INT 21h ausführt, gibt es z.B. den Namen einer Datei an. Wenn es den INT 13h ausführt, gibt es SEKTOR, KOPF und ZYLINDER an, auf die zugegriffen werden soll. Es hat zunächst nichts mit Dateien zu tun, außer daß ein solcher SEKTOR auf diesem ZYLINDER und bei diesem KOPF natürlich zu einer Datei gehören kann. Es gibt allerdings auch Sektoren , die nicht zu Dateien gehören. Der Boot-Sektor und Partitionssektor sind zwei Beispiele. Die Sektoren der FAT gehören wie die Verzeichnisse ebenfalls nicht zu Dateien. FAT (file allocation table, Datei-Belegungs-Tabelle) Wenn Sie "WIN" eingeben, teilen Sie Ihrem COMMAND.COM mit, daß er Windows starten soll. Wie macht er das ? Er schaut im aktuellen Verzeichnis nach einer Datei, die "WIN.COM" heißt. Nicht gefunden. Dann schaut COMMAND.COM in jedes Verzeichnis, das in PATH= aufgeführt ist, ob sich dort eine Datei "WIN.COM" befindet. Gefunden. Er führt einen "int 21h" aus und übergibt als Dateinamen den Pfad, in dem "WIN.COM" liegt und den Namen "WIN.COM". DOS startet nun WIN.COM. Was macht DOS das ? Es holt sich aus dem Verzeichnis-Eintrag von WIN.COM die Nummer des ersten Clusters. Diese Nummer ist nicht sichtbar, wenn man "DIR" eingibt. DOS sucht diesen Cluster und liest in in den Speicher ein. Dann schaut DOS in der FAT nach dem nächsten Cluster, und liest ihn ein, und so fort, bis der letzte Cluster dieser Datei eingelesen wurde. Dann führt DOS diese Datei, die nun im Speicher liegt, aus. Die FAT enthält also die Nummer und Reihenfolge aller Cluster aller Dateien die sich auf der Festplatte (oder Diskette) befinden ! Wenn die FAT zerstört ist, ist Ihre Festplatte vergleichbar mit einem dicken Buch ohne Inhaltsverzeichnis, ohne Seitenzahlen, und mit willkürlich vertauschten Seiten. Sie können auf keine Datei zugreifen, deren FAT-Eintrag zerstört ist. CLUSTER / SEKTOR Ihre Festplatte ist in gewissem Sinne auch vergleichbar mit einer Schallplatte : sie enthält Dateien (Lieder), kann aber nicht selber singen. Wie eine Schallplatte ist sie in Spuren unterteilt (Rillen), aus dem Ihr Computer (Plattenspieler) die Dateien lesen (die Songs abspielen) kann. Damit ist der Vergleich aber auch schon beendet. Da manche Dateien ziemlich kurz sind, hat man die Spuren in kleinere Abschnitte eingeteilt, die Sektoren. Ein Sektor ist normalerweise grade so groß, daß er 512 Zeichen (=Byte) Information aufnehmen kann. Dadurch kann man z.B. 17 kurze Dateien auf einer Spur sichern, man muß sich nur die Sektoren merken, auf die sie geschrieben wurden. Diese Aufgabe erledigt DOS mit der FAT. Nun tritt aber folgendes Problem auf : Wenn jeder Sektor einer 100 Megabyte Festplatte eine eigene Nummer in der FAT beanspruchen würde, müsste die FAT 100*1024*1024/512 Einträge haben. Das sind 204800 Einträge ! Eine große Zahl, und man würde 3 Byte brauchen, um auch den letzten Sektor zu nummerieren, die FAT müsste also 3*204800 Byte groß sein, das sind 600 K-Byte. (Und Sie haben ZWEI FATs.). Das wäre sicher nicht sehr sinnvoll, denken Sie nur daran, daß die meisten Programme mehr als einen Sektor auf Ihrer Festplatte belegen. Deshalb hat man sich folgendes ausgedacht : Jeweils 4 Sektoren (auf großen Festplatten können es auch mehr sein) werden zusammen als ein "Cluster", also als ein Verband von Sektoren, behandelt. Sie werden immer gemeinsam beschrieben, gelesen, gelöscht. Wenn wir das Beipiel von oben nehmen : Sie haben 204800 Sektoren. Dann (wenn 4 Sektoren als ein Cluster behandelt werden), sind das 51200 Cluster. Um 51200 Cluster zu nummerieren, benötigt man nur 2 Byte, die FAT muß also 2*51200 Byte lang sein, das sind 102400 Byte. Sie haben also dadurch schon 2*(600-100) K-Byte Platz auf der Festplatte gewonnen, ein Megabyte. Ein überzeugendes Argument für Cluster, finden Sie nicht ? Es gibt Viren (einige bulgarische), die zufällig irgendwelche Cluster und Sektoren mit irgendwelchen Zufallsdaten überschreiben. Es spielt dabei überhaupt keine Rolle, ob diese Cluster zu Dateien, Verzeichnissen, oder überhaupt zu etwas gehören. Diese Viren benutzen dazu nicht DOS ("int 21h"), da DOS nur auf Dateien zugreifen kann. Um Ihre Dateien gegen solche Viren zu schützen, müssen die Cluster und Sektoren der Dateien direkt geschützt werden. Es gibt auch Viren, die man Filesystem-Viren nennt. Sie verändern kein einziges Programm. Sie ersetzen "nur" die Zahl im Verzeichnis-Eintrag, die DOS angibt, wo sich der erste Cluster einer Datei befindet, durch die Nummer des Clusters, auf dem sich das Virus befindet. Wenn also der erste Cluster von COMMAND.COM die Nummer 20 hat, dann 21,22 usw., und das Virus im Cluster 10204 sitzt, dann ändern diese Viren den Eintrag des ersten Clusters von COMMAND.COM im Verzeichnis-Eintrag auf 10204 um. Immer, wenn Sie COMMAND.COM starten, wird damit zuerst das Virus von DOS geladen und ausgeführt. Dieses Virus muß sich den "echten" ersten Cluster selbstverständlich irgendwo merken. Wir kennen Viren, die den echten ersten Cluster in die unbenutzten Felder des Verzeichnis-Eintrags schreiben. Wenn Sie jemals eine Warnung von NEMESIS erhalten, die sich auf die "reservierten Daten" eines Verzeichniseintrags beziehen, dann schalten Sie am Besten sofort ab ! Wenn solche Viren sich bei Ihnen ausbreiten können, bleibt Ihnen zuletzt nur, die Festplatte neu zu formatieren, da Sie die Dateien nicht "CLEAN"en können OHNE das Virus im Speicher. ---------------------------------------------------------------------- SMARTDRV,WINDOWS ist (tm) von Microsoft VIDRAM,QEMM,DesqVIEW ist (tm) von Quaterdeck andere sind (c) und (tm) und (r) von anderen. ---------------------------------------------------------------------- BESONDEREN DANK an Ralf Brown und sein Team für die Interrupt-Liste ! ---------------------------------------------------------------------- Diese Beschreibung kann ebenso wie die anderen Dateien von NEMESIS jederzeit von uns geändert werden. Es besteht keine Gewähr, daß sie vollständig und ausreichend ist. ---------------------------------------------------------------------- Viel Spaß ! Und lassen Sie ihre NEMESIS-Kopie bald registrieren ! Email-Adressen für Rückfragen : Robert Hörner , Fido 2:241/7518 Christian Sy , Fido 2:241/7516.1 W-7500-Karlsruhe, BRD, Februar 1993, Robert Hörner & Christian Sy ---------------------------------------------------------------------- ENDE DES TEXTES ----------------------------------------------------------------------