home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
The World of Computer Software
/
World_Of_Computer_Software-02-387-Vol-3of3.iso
/
n
/
nem_110.zip
/
NEMDOC.GER
< prev
next >
Wrap
Text File
|
1993-03-13
|
123KB
|
2,349 lines
====================================================================
NEMESIS v 1.10 (c) 1992, 1993 Christian Sy & Robert Hoerner
====================================================================
INHALT :
Allgemeiner Überblick
Wie arbeitet NEMESIS
Wie starte ich NEMESIS
Aufruf-Befehle von NEMESIS
Erläuterung zu den Antwort-Tasten
Warnungen von NEMESIS (DOS-Ebene)
Warnungen von NEMESIS (Sektor-Ebene)
ERROLEVELS von NEMESIS
Anhang (Fehlalarme und Angabe von Programmen, mit denen NEMESIS nicht
funktioniert)
Erklärung von benutzen Begriffen
Technische Anmerkungen
====================================================================
Lesen Sie auch die Datei REGISTER.GER !
NEMESIS ist SHAREWARE und die Benutzung ist nicht umsonst !
Wenn Sie NEMESIS nach der "Test-Phase" noch immer benutzen möchten,
MÜSSEN Sie NEMESIS registrieren lassen und bezahlen, oder es löschen.
Es kostet nicht viel ! Denken Sie daran, wieviel Arbeit darin steckt,
und was es Ihnen an Arbeit ersparen kann.
====================================================================
====================================================================
Allgemeiner Überblick
====================================================================
Sie brauchen :
--------------
- einen IBM XT oder AT oder kompatiblen Rechner.
- DOS 3.3 oder höher. Getestet wurde NEMESIS mit
PC-DOS 3.3,MS-DOS 5.00, 4DOS 3.0, 4.0, DR-DOS 5.0, 6.0
- mindestens 64 KB freien Speicher beim Start von NEMESIS.
Zur Installation müssen dann nocheinmal 64 KB mindestens frei sein.
- 0 Byte normalen Speicher und 40 KB UMB-Speicher
- ODER 0 Byte normalen Speicher, 4000 Byte UMB-Speicher und 48 KB
EMS-Speicher
- ODER 4000 Byte normalen Speicher und 48 KB EMS-Speicher
- ODER 38 KB normalen Speicher
32 KB EMS-Speicher um dauerhaftes Lernen zu ermöglichen.
Der Sektorenschutz benötigt
(1 KB EMS pro 1 MB Festplatten-Platz) plus (32 KB EMS pro
vorhandener Festplatte, Netzwerk-Laufwerke werden nicht gezählt).
Der Speicher wird verwaltet mit 3 EMS-Handles pro Partition.
Mindestens EMS 4.0 ist immer vorausgesetzt.
Benutzen Sie EMSTEST.COM, wenn Sie sich nicht sicher sind.
Es werden bis zu zwei Festplatten unterstützt.
====================================================================
Besonderheiten :
----------------
- Fähigkeit, ein flexibles Abbild der Verteilung frei wählbarerer
Dateien auf die Sektoren der Festplatte zu erstellen. Damit kann
eine Infektion durch Viren fast vollständig verhindert werden.
- Fähigkeit sogar Dateien in Laufwerken, die mit ASSIGN, SUBST oder
JOIN zugewiesen wurden, auf der Ebene ihrer Sektoren zu schützen !
NEMESIS ist weltweit das erste Programm, das zu beidem in der Lage
ist !
- Schutz von Verzeichnissen gegen Zerstörung
- Schutz der FAT vor Zerstörung (nicht möglich mit SMARTDRV)
- Warnt, wenn geschützte Dateien erzeugt, gelöscht, verändert oder
umbenannt werden sollen.
- Warnt vor und verhindert die Infektion durch Filesystem-Viren.
- Fähigkeit fast vollständig im Expandend Memory abzulaufen, wodurch
nur das absolut notwendige Minimum an normalem Speicher verbraucht
wird.
- Fähigkeit, sich selbst "HIGH" zu laden. Dadurch wird überhaupt kein
normaler Speicher mehr von NEMESIS belegt.
- Fähigkeit, Eingaben von Ihnen zu lernen ohne dabei Sicherheit
einzubüßen.
- Benutzt und braucht keinerlei "Scanstrings".
- Ausgaben sind in verschiedenen Sprachen möglich. Auch in DEUTSCH.
====================================================================
Dateinamen, die NEMESIS schon "kennt" :
---------------------------------------
Die folgenden Dateien werden im Startverzeichnis von NEMESIS gesucht :
NEMESIS.BIN : Diese Datei enthält (fast) alle Texte, die NEMESIS
ausgeben kann.
NEMESIS.EXT : Diese Datei enthält alle Datei-Endungen, die Sie
ZUSÄTZLICH zu den voreingestellen Endungen geschützt
haben möchten.
NEMESIS.FIL : Wenn Sie einen Schreibzugriff verbieten und beim
Start von NEMESIS nicht "NOSAVE" eingegeben haben,
wird, was hätte geschrieben werden sollen, in diese
Datei umgelenkt.
Beachten Sie :
Da diese Datei Viren enthalten kann (nachdem sie von
NEMESIS de-aktiviert und weggeschrieben wurden) , kann
es passieren, daß ein Scanner in NEMESIS.FIL Viren
entdeckt. Es besteht ABSOLUT KEINE Gefahr, daß Viren
aus NEMESIS.FIL heraus infizieren könnten.
NEMESIS.OVA : Enthält die Daten, die NEMESIS zum "Erinnern"
benötigt.
NEMESIS.CFG : Diese Datei enthält die von Ihnen bevorzugten
Start-Befehle für NEMESIS.
Wenn Sie normalerweise NEMESIS mit den Befehlen "EMS" und "FAT=AUS"
starten, dann können Sie diese beiden Befehle auch in die Datei
NEMESIS.CFG schreiben.
Schreiben Sie sie genau so, wie Sie sie eintippen würden. Benutzen
Sie nur GENAU eine Zeile ! NEMESIS wertet zuerst aus, was Sie direkt
eingegeben haben, danach wird NEMESIS.CFG ausgewertet. Wenn Sie also
eingeben "NEMESIS FAT=EIN" und in NEMESIS.CFG steht "FAT=AUS" dann
"gilt" nur FAT=AUS, da es später gelesen wird und "FAT=EIN"
überschreibt.
====================================================================
Wie arbeitet NEMESIS
====================================================================
NEMESIS arbeitet auf zwei Ebenen :
----------------------------------
Die erste (konventionelle) Ebene ist :
--------------------------------------
Wenn eine Datei mit geschützter Endung geöffnet wird (beispielsweise
hat COMMAND.COM die Endung COM, welche immer geschützt ist), dann wird
das von NEMESIS bemerkt. NEMESIS wird sich danach so verhalten, wie
sie es eingestellt haben und die Datei vor Veränderungen jeder Art
schützen, solange Sie nicht Ihre Erlaubnis geben.
Die zweite (ganz neue) Ebene ist :
----------------------------------
Schutz der Cluster, die zu solchen Dateien gehören.
Ihre Festplatte "weiss" nichts von Dateien.
Sie besteht aus mehreren magnetischen Metall-Platten, die vom
Programm FORMAT in einzelne Spuren und Teil-Spuren (Sektoren)
unterteilt wurden. Auf diese Teil-Spuren oder Sektoren werden von
DOS die Dateien geschrieben und von ihnen wieder gelesen. Wenn Sie
also ein Programm starten, beispielsweise COMMAND.COM, muss DOS
zunächst herausfinden, in welchen Sektoren die Daten liegen, die
zusammen die Datei COMMAND.COM ausmachen, diese Sektoren dann einen
nach dem anderen in den Speicher lesen und nach getaner Arbeit diesen
Programm-Code ausführen lassen. (in diesem Beispiel wird COMMAND.COM
gestartet und Sie sehen den DOS-PROMPT).
Lesen Sie dazu mehr im Anhang unter TECHNISCHE ERLÄUTERUNGEN.
Sie können die Sektoren einer Datei auch selber mit Programmen wie
NU.EXE oder PCTOOLS ansehen und verändern.
Was in NEMESIS zum ersten Mal überhaupt (!) eingebaut wurde ist ein
Schutz der Dateien auf der Ebene ihrer Sektoren selber.
NEMESIS sucht dazu alle Cluster aller Dateien mit geschützer Endung
und erzeugt eine Tabelle der Verteilung dieser Dateien auf Ihrer
Festplatte. Welche Art von Schreibzugriff auch stattfinden wird,
NEMESIS wird feststellen, ob es ein Zugriff auf eine geschützte Datei
ist oder nicht und sie warnen können.
====================================================================
Wie startet man NEMESIS
====================================================================
Tippen Sie NEMESIS und lehnen Sie sich zurück.
NEMESIS erzeugt zuerst eine Prüfzahl, um festzustellen, ob es
verändert wurde.
NEMESIS liest dann den ersten Sektor der NEMESIS-Datei um
festzustellen, ob diese Datei verändert wurde.
NEMESIS prüft dann, ob NEMESIS schon im Speicher ist.
Falls ja, wird der folgende Schritt übersprungen.
Wenn Sie NEMESIS von Diskette starten, wird der folgende
Schritt auch übersprungen.
Sonst : NEMESIS erzeugt ein COM- und ein EXE-Programm. Beide Programme
werden danach darauf kontrolliert, ob sie verändert wurden. Damit soll
festgestellt werden, ob schon ein Virus bei Ihnen aktiv ist. Aus
demselben Grund werden beide Programme dann ausgeführt (dies geschieht
nicht, wenn Sie NEMESIS von einer Netzwerk-Platte oder von Diskette
starten).
Wenn alles normal aussieht, werden beide Programme wieder gelöscht.
Wenn NEMESIS feststellt, daß eines der beiden verändert wurde, wird es
NICHT gelöscht, sondern bleibt im Wurzelverzeichnis des NEMESIS
Start-Laufwerks liegen und Sie erhalten eine Meldung der Art
"Your system is already infected. Have a look into the file <blabla>".
Das heißt : "Ihr System ist schon infiziert. Sehen Sie sich die Datei
<blabla> an !".
NEMESIS untersucht dann, auf was für einer Art Computer es gestartet
wurde, welche DOS-Version Sie benutzen und so weiter. Dann wird die
Datei mit den Ausgabetexten gelesen, die Befehle, die Sie angegeben
haben, ausgewertet (auch in NEMESIS.CFG), und wenn alles in Ordnung
ist, wenn Sie insbesondere genügend freien EMS-Speicher haben, wird
NEMESIS anfangen die Sektoren der geschützten Dateien einzulesen.
Das sieht dann folgendermassen aus :
(Vorsicht : "scanne " hat hier nichts mit "Viren-Scannen" zu tun)
------------------------------------------------------------------------------
NEMESIS 1.10 (deutsch/unreg.), (c) 1992,1993 Christian Sy & Robert Hörner
Unregistrierte Probeversion
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Geschützte Dateien im Laufwerk
EXE,COM,SYS,OV?,BIN
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Scanne Partition C: , bitte warten ... SYSTEM
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ EMS gesamt in KB : 7360
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Freies EMS in KB : 4672
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Belegtes EMS in KB : 0
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
------------------------------------------------------------------------------
oder es sieht so aus :
------------------------------------------------------------------------------
NEMESIS 1.10 (deutsch/unreg.), (c) 1992,1993 Christian Sy & Robert Hörner
Unregistrierte Probeversion
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Geschützte Dateien im Laufwerk
EXE,COM,SYS,OV?,BIN
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Scanne Partition C: , bitte warten ... SYSTEM
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ EMS gesamt in KB : 7360
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Freies EMS in KB : 4672
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░ Belegtes EMS in KB : 0
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Es ist kein Sektor-Schutz möglich auf Laufwerk D:
Grund : Laufwerk steht unter Kontrolle von
SSTOR
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
------------------------------------------------------------------------------
Da komprimierte Laufwerke nicht geschützt werden können, werden Sie
darüber informiert.
Danach erscheint eine Textseite die den momentanen Zustand von
NEMESIS angibt und Sie können weitermachen.
------------------------------------------------------------------------------
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
NEMESIS 1.10 installiert ...
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Copyright 1992,1993 by Christian Sy & Robert Hörner
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Status der residenten NEMESIS
Residente NEMESIS ist momentan EIN
WARTEN auf Taste ist EIN DOS-Speicher belegt : 512 Byte
Sichern statt schreiben ist EIN Upper Memory belegt : 4000 Byte
Warnungen bei Schreiben in FAT sind EIN EMS-Speicher (CODE) : 36054 Byte
Ungültige DOS-calls erlauben ist EIN EMS-Speicher (DATA) : 336 KB
Warnung bei Bootsektor-Änderung ist EIN EMS-Handles benutzt : 14
Überwachung der Interrupts ist EIN -------------------------------
STEALTH-MODE (nur mit EMS) ist EIN MS-DOS/PC-DOS : 5.0
Direkte Sektorüberwachung ist EIN Processor : 80386
Initialisierung des Speichers war AUS
TBSCANs special-feature erlauben ist AUS
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Geschützte Dateien im Laufwerk C:,D:,E:,F:,
EXE,COM,SYS,OV?,BIN
PROBLEM : NEMESIS kann bei Ihnen keine Sektoren im upper memory lesen !
Fordere Speicher im unteren Bereich an.
C:\NEMESIS 14:07>
------------------------------------------------------------------------------
Möglicherweise sind "STEALTH-MODE" und "Direkte Sektorüberwachung" bei
Ihnen "AUS". Dann haben Sie entweder kein (oder nicht genügend)
EMS-Speicher oder Sie haben als Befehle "NOEMS" und/oder "NOFAT"
angegeben.
Auf der rechten Seite werden Sie auch andere Zahlen sehen als auf dem
Bild oben. Diese Werte hängen davon ab, wieviel Festplattenplatz Sie
insgesamt haben, wieviele Programme sich darauf befinden usw.
"Belegter DOS-Speicher" bedeutet die Anzahl Bytes im gewöhnlichen
Speicher innerhalb der ersten 640 KB. Das Bild oben ist von meinem
Computer gemacht, ich habe EMS und XMS. Deshalb hat sich NEMESIS bei
mir in das upper memory kopiert und EMS für CODE benutzt, so daß es
im gewöhnlichen Speicher kein einziges Byte mehr belegt hat.
Stattdessen wurden 4000 Byte upper memory und 48 KB EMS belegt.
Da ich aber einen Busmaster-DMA SCSI-Festplatten-Kontroller (langes
Wort, nicht wahr) eingebaut habe, mußte NEMESIS 512 Byte normalen
Speicher anfordern, um selbst direkt auf Sektoren zugreifen zu können.
Würde es das nicht tun, hätte ich keinerlei Schutz vor Zerstörung von
Verzeichnissen oder vor Filesystem-Viren.
NEMESIS hat meine Festplatte nach Sektoren von zu schützenden Dateien
durchsucht und brauchte für die angefallenen Daten 12
EMS-Zugriffsnummern ("Handles"). Diese 12 Handles geben Zugriff auf
336 KB EMS-Speicher.
1 Handle wurde für den NEMESIS-Programmcode belegt.
1 Handle wird benutzt, um die gelernten Daten unterzubringen.
Insgesamt benötigt NEMESIS bei mir also 14 EMS-Handles.
Alle anderen Daten werden nur zu Zwecken der Fehlersuche ausgegeben.
Es kann ja sein, daß NEMESIS sich bei Ihnen "merkwürdig" verhält oder
überhaupt nicht funktioniert. Dann können Ihnen diese Daten eventuell
helfen. Möglicherweise wird die DR-DOS-Version falsch erkannt ?
Falls Sie einen Fehler finden, dann schreiben Sie bitte an Robert
Hörner, Adresse steht ganz unten.
----------------------------------------------------------------------
Was sie also hier sehen können ist der momentane Zustand von NEMESIS.
Wenn Sie etwas ändern möchten : tun Sie es.
NEMESIS erkennt NEMESIS im Speicher und wird nicht ein zweites Mal im
Speicher verbleiben sondern die geänderten Befehle an das residente
NEMESIS-Programm weitergeben.
------------------------------------------------------------------------------
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
NEMESIS-Parameter sind :
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
EIN/AUS : Schaltet NEMESIS "EIN" oder "AUS"
ENDE : entfernt NEMESIS komplett aus dem Speicher.
NEU : Lese NEMESIS.EXT und installiere NEMESIS neu
TBSCAN=EIN/TBSCAN=AUS : TBSCAN-Special (nicht) erlauben (Vorsicht...)
WAIT/NOWAIT : (nicht) auf Ihre Entscheidung warten
BOOT=EIN/BOOT=AUS: (keine) Warnung bei Schreiben in Bootsektor
FAT=EIN/FAT=AUS : (keine) Warnungen bei Schreiben in FAT
WATCH/NOWATCH : (keine) Interrupt-Veränderungen überwachen
SAVE/NOSAVE : Falls Schreiben verboten : (nicht) sichern anstatt schreiben
FACE/NOFACE : Das Aktiv-Zeichen links oben (nicht) zeigen
INVALID/NOINVALID: (keine) ungültigen DOS-Aufrufe zulassen
SHA=,SW=,CO1=,CO2=,CO3=,CO4=,CO5=,CO6=,CO7= : Farben setzen
Folgende Parameter sind nur beim Start von NEMESIS gültig :
LOW : NEMESIS soll sich nicht selbst highloaden.
EMS/NOEMS : NEMESIS soll (kein) EMS für seinen Code benutzen
NOFAT : Schutz auf Sektor-Ebene ausschalten
INIT : Speicher beim Programmstart initialisieren
BATCH : NEMESIS abschalten/entfernen ohne Rückfrage (Batchbetrieb)
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
C:\NEMESIS 14:08>
------------------------------------------------------------------------------
====================================================================
Aufruf-Befehle von NEMESIS :
====================================================================
Geben Sie einfach "NEMESIS ?" ein, um alle Befehle jederzeit angezeigt
zu bekommen.
Sie können die meisten Befehle zu jedem beliebigen Zeitpunkt an
NEMESIS übergeben.
=====================================================================
EIN / AUS : schaltet NEMESIS "EIN" oder "AUS"
=====================================================================
Sie können NEMESIS jederzeit ein- oder ausschalten. NEMESIS arbeitet
speicherresident und überwacht jeden Zugriff auf Ihre Festplatte und
viele Funktionen von DOS. Das ist nicht zu machen ohne die Leistung
Ihres Computers zu beanspruchen, wodurch weniger Leistung für die
eigentlichen Anwendungsprogramme verbleibt. Wenn Sie also sicher zu
sein glauben, daß gerade kein Virus bei Ihnen aktiv ist, und sie die
volle Leistung Ihres Computers benötigen, können Sie NEMESIS zeitweise
abschalten. NEMESIS sorgt trotzdem dafür, daß seine Daten aktuell
bleiben.
====================================================================
NEU : Lese NEMESIS.EXT und installiere NEMESIS neu.
====================================================================
Sie können jederzeit neue oder andere Datei-Endungen angeben, die
NEMESIS schützen soll.
Erzeugen Sie dazu eine TEXT-Datei mit dem Namen NEMESIS.EXT und
schreiben Sie dort alle Endungen hinein, die NEMESIS schützen soll.
Benutzen Sie einen einfachen Editor, wenn Sie ein Textverabeitungs-
Programm benutzen, dann stellen Sie es auf "ASCII" oder "Programm-
datei" ein.
Die Endungen müssen ohne Zwischenraum geschrieben werden, also z.B. so
wie "COMEXEBINPIFTXT" (das ist COM EXE BIN PIF TXT ), aber ohne die
Gänsefüßchen. Jede Datei-Endung darf Jokerzeichen enthalten (also "?")
und muss genau 3 Zeichen lang sein.
Das heisst "FI?" ist "ok", aber "F*" ist NICHT in Ordnung, schreiben
Sie stattdessen "F??".
"???" ist auch in Ordnung und führt dazu, daß NEMESIS ausnahmslos
JEDE Datei schützt.
DAS KANN NICHT EMPFOHLEN WERDEN !
Jeder beliebige Schreibzugriff auf beliebige Dateien würde sonst zu
einer Warnung führen.
Es können insgesamt 24 Datei-Endungen zu je 3 Zeichen von Ihnen
einzeln festgelegt werden. "COM","EXE",BIN","SYS" und "OV?" sind immer
geschützt und brauchen nicht von Ihnen angegeben zu werden.
Nach dem Lesen von NEMESIS.EXT wird NEMESIS Ihre Festplatte nach den
Dateien durchsuchen und mit den neuen Daten weiterarbeiten.
====================================================================
WAIT / NOWAIT : Warte (nicht) auf Taste
====================================================================
Normalerweise öffnet NEMESIS ein Text-Fenster und fragt SIE nach Ihrer
Entscheidung. Wenn Sie aber sicher sind, daß jeder Schreibzugriff auf
die angegebenen Dateien unterbunden werden muß, dann können Sie
"NOWAIT" als Befehl angeben. Sie werden dann nicht mehr gefragt,
sondern NEMESIS verhält sich bei jedem Schreibzugriff so, als hätten
Sie "NEIN" gesagt.
Benutzen Sie diesen Befehl mit Vorsicht ! Es gibt sehr wohl bestimmte
Programme, die in Ihre eigene Programmdatei auf der Festplatte Daten
ablegen (und sie also verändern), wenn Sie umkonfiguriert werden
(TURBO-Pascal, Wordstar, viele andere auch). Wenn NEMESIS solche
Schreibzugriffe unterbindet, ist die neue Konfiguration verloren.
====================================================================
FAT=EIN/FAT=AUS : (keine) Warnungen beim Schreiben in die FAT
====================================================================
Da es einige (brauchbare) Programme gibt, die direkt in die FAT
schreiben ohne DOS zu benutzen, müssen Sie in diesen Fällen mit
Fehlalarmen rechnen.
Um diese Fehlalarme zeitweise abzuschalten geben Sie einfach
NEMESIS FAT=AUS ein. Sie können jederzeit wieder NEMESIS FAT=EIN
eingeben und der Schutz ist wieder aktiv.
Wenn Sie SMARTDRV von Microsoft benutzen, schaltet NEMESIS intern
immer auf "FAT=AUS". Sie würden von falschen Warnungen überschüttet.
====================================================================
WATCH/NOWATCH : Veränderungen von Interrupts (nicht) überwachen.
====================================================================
Die meisten Viren ändern einige Adressen von Unterbrechungsroutinen
(engl. "interrupts"), um sicher zu sein, daß Sie in "Ruhe arbeiten"
können.
Beispiel : Wenn Sie "NEMESIS" eingeben, wird der Interrupt 21 hex
ausgelöst, der den Text "NEMESIS" weitergibt. Dieser Text kommt dann
zu DOS, dieses lädt NEMESIS.COM von der Festplatte und startet es.
Wenn ein anderes Programm auch die Auslösung von Interrupt 21h
überwacht (DOSKEY.EXE zum Beispiel tut das), dann kann es "mithören",
was DOS tun soll und sich entsprechend verhalten. DOSKEY wird auf
diesen Aufruf des INT 21h nicht reagieren. Die meisten Viren aber
werden es tun und die Gelegenheit nutzen, NEMESIS.COM zu infizieren.
NEMESIS kann überwachen, ob irgendein Programm einen der für Viren
"interessanten" Interrupts überwacht. Wenn das der Fall ist, werden
Sie gewarnt und können Ihre Zustimmung dazu geben oder auch nicht.
====================================================================
BOOT=EIN/BOOT=AUS: (keine) Warnungen beim Schreiben in Bootsektoren
====================================================================
Normalerweise ist der erste Bootsektor einer Festplatte als besonderer
System-Sektor geschützt. Wenn Sie BOOT=EIN angeben, werden alle
Bootsektoren aller Festplatten geschützt. Normalerweise wird auf einen
Bootsektor niemals geschrieben. Wenn Sie aber sehr kleine Partitionen
haben (weniger als 10 MB), kann es sein, daß einige Disk-Editoren in
diese Sektoren schreiben (ohne sie zu verändern). Sie können die dann
auftretenden Fehlalarme mit BOOT=AUS abschalten
====================================================================
SAVE/NOSAVE : bei abgewiesenem Schreibversuch:
(nicht) sichern, was hätte geschrieben werden
sollen
====================================================================
Da NEMESIS jeden Schreibzugriff unterbinden kann, sind Sie möglicher-
weise interessiert daran zu wissen, WAS denn nun geschrieben werden
sollte.
Es könnte ein Virus sein, genausogut aber ihre aktuelle Konfiguration.
Wenn Sie NEMESIS nicht mit "NOSAVE" aufrufen, werden diese Daten in
der Datei "NEMESIS.FIL" abgespeichert. Um das zu verhindern geben Sie
einfach NEMESIS NOSAVE an. Um die Funktion wieder einzuschalten, geben
Sie NEMESIS SAVE ein.
====================================================================
INVALID/NOINVALID: (keine) ungültigen DOS-Aufrufe zulassen
====================================================================
Manche Viren gehen einen einfachen Weg, um sich selbst im Speicher zu
finden : Sie rufen DOS mit einer ungültigen Funktion auf und sehen
sich die Antwort an. Sind sie schon im Speicher (oder glauben sie
wenigstens daran), dann versuchen sie es meist nicht noch ein
zweites Mal. Es gibt einige bekannte Aufrufe und ihre "Rufer".
NEMESIS kann das überwachen.
JEDOCH : Einige dieser Aufrufe werden ebenfalls von Netzwerk-Software
benutzt. Deshalb werden Sie besonders in einer Netzwerk-Umgebung
möglicherweise Fehlalarme bekommen.
Auf Rechnern ohne Netzwerk-Software sind diese Aufrufe in jedem Fall
ungültig. Die dann ausgegebenen Meldungen sind unten einzeln
aufgeführt.
====================================================================
TBSCAN=ON/TBSCAN=OFF : TBSCAN-Besonderheit (nicht) erlauben
====================================================================
TBSCAN ist ein sehr schneller Virenscanner, geschrieben von Frans
Veldman, Holland. Seit der Version 3.0 benutzt er einen Trick, um
seine Geschwindigkeit noch zu erhöhen : Er holt sich aus dem
DOS-Datenbereich die Adresse des Festplatten-Interrupts um direkt
(also ohne Umweg über DOS) die Festplatte ansprechen zu können.
Da das typisch für einige "moderne" Viren ist, hat NEMESIS es zuerst
immer unterbunden. TBSCAN ist aber ein guter Scanner, deshalb bleibt
die Entscheidung bei Ihnen : Voreinstellung ist "VERBOTEN".
Wenn Sie TBSCAN starten, wird es abgebrochen. Sie müssen NEMESIS mit
dem Befehl TBSCAN=EIN aufrufen, dann wird TBSCAN erlaubt, die Daten zu
holen. (LESEN SIE UNTEN DIE NOTIZ ÜBER CALIBRATE !).
** Seien Sie vorsichtig **
Ein Virus darf die Daten nun auch holen !
Nemesis kann nicht unterscheiden, WER die Daten holen will !
Starten Sie NEMESIS nach dem Lauf von TBSCAN wieder mit TBSCAN=AUS.
====================================================================
FACE / NOFACE : (keine) Aktivitätsanzeige
====================================================================
Wenn Sie NOFACE angeben, wird das Gesicht links oben am Bildschirm
nicht angezeigt. Wenn Sie FACE angeben, wird es angezeigt. Das Gesicht
erscheint immer dann, wenn NEMESIS arbeitet und gibt Ihnen so eine
Kontrolle darüber, ob NEMESIS aktiv ist.
====================================================================
Die folgenden Befehle gelten nur beim ersten Aufruf von NEMESIS :
====================================================================
====================================================================
LOW : NEMESIS soll sich nicht selber hochladen.
====================================================================
Seit Version 0.97 kann NEMESIS sich selbst "highloaden", das heisst,
sich ins upper memory kopieren und von dort aus Ihren Rechner
überwachen. Zum Begriff "upper memory" lesen Sie mehr im Anhang.
Seit Version 1.10 erlaubt NEMESIS nicht mehr, mithilfe des
LOADHIGH-Befehls von DOS hochgeladen zu werden, da es meistens
Probleme damit gibt. (Lesen Sie die Notiz über LOADHI).
Wenn NEMESIS sich selbst hochlädt, startet es im normalen DOS-Speicher
(unterhalb 640 KB) und kopiert alle Teile, die zur Überwachung
gebraucht werden, in den hohen Speicher, kein einziges Byte mehr.
Wenn Sie kein EMS haben, aber genug upper memory, dann lädt es sich
komplett (ca. 40KB) hoch, sonst nur 4000 Byte.
Voraussetzung ist natürlich, daß Sie überhaupt upper memory haben.
Wenn Sie sich darüber im unklaren sind : starten sie das mitgelieferte
MEM.EXE.
Wenn Sie also ein kleines Loch im upper memory haben wird LOADHIGH
NEMESIS nicht hochladen können, NEMESIS selber KANN es aber.
Wenn Sie jedoch NEMESIS verbieten wollen, upper memory zu benutzen,
starten sie es mit dem Befehl "LOW". Es wird dann immer noch
versuchen, seinen CODE ins EMS zu verschieben, 4000 Byte werden aber
im normalen Speicher verbleiben (statt im upper memory).
====================================================================
EMS/NOEMS : (kein) EMS für CODE benutzen
====================================================================
NEMESIS arbeitet in normalem DOS-Speicher, im hohen Speicher, oder im
EMS-Speicher.
Da ein Anti-Virus-Programm sich vor Veränderung schützen muß, die
Viren am Programm-Code vornehmen könnten, ist es am Besten,
Sie starten NEMESIS ohne die Befehle LOW oder NOEMS.
Wenn Sie mindestens 48 KB freien EMS-Speicher haben, wird NEMESIS
seinen Code dorthin verlagern. Dort ist er für kein Programm
(besonders für kein Virus) mehr zugreifbar, außer für NEMESIS selber.
Wenn Sie kein EMS haben, oder NEMESIS mit dem Befehl NOEMS starten,
wird NEMESIS sich in den hohen Speicherbereich verschieben, wenn sie
den aber auch nicht haben, dann bleibt es im normalen DOS-Speicher.
Lesen Sie bitte auch die Notiz über EMM.SYS, EMM386 und SMARTDRV.EXE !
====================================================================
NOFAT : (kein) EMS für Sektorschutz benutzen
====================================================================
Wenn Sie diesen Befehl angeben, wird NEMESIS keine Sektoren schützen.
NEMESIS wird dann nur kontrollieren, ob Bootsektor und/oder
Partitionssektor verändert werden soll, sowie die normalen DOS-Aufrufe
auf Schreibzugriffe überwachen.
====================================================================
BATCH : "EIN" , "AUS" und "ENDE" ohne Rückfrage ausführen
====================================================================
Dieser Befehl ersetzt den alten Befehl "SYSOP".
Seit Version 1.10 erlaubt der Befehl auch das komplette Entfernen von
NEMESIS aus dem Speicher ohne Rückfrage (z.B. aus einem BATCH-File).
Seien Sie vorsichtig bei der Angabe dieses Befehls.
Ein Virus, das eine solche BATCH-Datei erzeugt und dann ausführt ist
NICHT UNMÖGLICH.
In früheren Versionen erlaubte "SYSOP" auch das Erzeugen und Löschen
von Dateien. Das wurde geändert, seit NEMESIS dauerhaft lernen kann.
Sie lesen unten mehr über die Lernfähigkeit von NEMESIS.
Seien Sie mit diesem Befehl vorsichtig ! Es IST ein Sicherheitsloch !
Wir liefern mit NEMESIS ein Programm NEMTEST.COM, das den ERRORLEVEL 0
erzeugt, wenn NEMESIS im Speicher ist, sonst den ERRORLEVEL 1. Sie
können es in Ihren BATCH-Dateien anwenden.
Außer NEMESIS selbst und NEMTEST.COM darf kein Programm versuchen
festzustellen, ob NEMESIS geladen ist.
====================================================================
INIT : Speicher initialisieren
====================================================================
Es gibt einige neuere Viren, die nach genügend "freien" Byte im
Speicher suchen (meist in dem Bereich, in dem DOS liegt) und sich
dorthin kopieren.
NEMESIS kann das verhindern, indem es diese Bereiche sucht und für
solche Viren unbrauchbar macht.
Wenn Sie diesen Befehl angeben, sucht NEMESIS auch Adressen von
Unterbrechungsroutinen, die nach "nirgendwo" zeigen und setzt diese
Adressen so,daß sie auf den Befehl "interrupt beendet" zeigen.
Die Interrupts 68h bis 6fh werden dabei ausgenommen.
====================================================================
QUIT : NEMESIS entfernen.
====================================================================
Dieser Befehl entfernt NEMESIS komplett aus dem Speicher.
Das kann mit Schwierigkeiten verbunden sein. Wenn Sie irgendein
speicherresidentes Programm (TSR) NACH NEMESIS gestartet haben, und
dieses Programm mindestens einen folgender Interrupts bearbeitet
8,9,13,20,21,26,27,28,2F,30,40,67,
(alle hex) dann *KANN* Ihr Computer stehenbleiben ("abstürzen").
Er wird ganz sicher stehenbleiben, wenn das TSR einen dieser
Interrupts selbst aufruft (und dabei den CALL-Befehl benutzt anstatt
dem INT-Befehl) und das TSR von einem Interrupt, der nicht in dieser
Liste steht, aufgerufen wird.
Der Computer wird nicht stehenbleiben, wenn das TSR nur "INT xy"
ausführt.
Das TSR wird aber "abgehängt", wenn es einen dieser Interrupts
bearbeitet.
Wenn Sie BATCH angegeben haben, wird NEMESIS sofort und ohne Rückfrage
beendet und entfernt. NEMESIS untersucht lediglich, ob sie den
Befehl "ENDE" aus einer SHELL gegeben haben. Wenn ja, wird der
Befehl NICHT ausgeführt.
Verlassen Sie die SHELL mit "EXIT" und wiederholen Sie den Befehl.
====================================================================
SHA=,SW=,CO1=,CO2=,CO3=,CO4=,CO5=,CO6=,CO7= : setzen der Farben
====================================================================
Die folgenden Befehle sind immer anwendbar und können (bzw. sollten)
in NEMESIS.CFG stehen.
Änderungen werden NICHT an das residente NEMESIS weitergegeben.
Benutzen Sie NEMCFG.EXE (Teil des NEMESIS-Pakets) um die Farben
einzustellen.
Befehl Funktion Voreinstellung
SHA=z setzt Hintergrund-Zeichen (SHA=░ )
SW=xy setzt Hintergrund-Farbe (SW=0F : weiss auf schwarz)
CO1=xy setzt Hintergrund-Farbe 1 (CO1=1F : weiss auf blau )
CO2=xy setzt Status-Farbe 1 (CO2=1E : gelb auf blau )
CO3=xy setzt Textfarbe 1 (CO3=70 : schwarz auf weiss)
CO4=xy setzt Warn-Farbe 1 (CO4=4B : gelb auf rot )
CO5=xy setzt Warn-Farbe 2 (CO5=4F : weiss auf rot )
CO6=xy setzt Status-Farbe 2 (CO6=1B : hellblau auf blau)
CO7=xy setzt Info-Farbe 1 (CO7=71 : blau auf weiss )
"xy" muss als HEX-zahl angegeben werden, mit jeweils ZWEI Zeichen :
x steht für die Hintergrund-Farbe (X = 0..F erlaubt)
y steht für die Vordergrund-Farbe (Y = 0..F erlaubt)
Die Datei MONO-CFG enthält eine Befehlszeile für Benutzer von
Schwarz-Weiss-Monitoren. Sie müssen nur MONO.CFG in NEMESIS.CFG
umbenennen (oder einfügen), um das Ergebnis zu sehen.
Bitte merken :
==============
- CO2 = 22 - falsch : es sind keine Leerzeichen erlaubt
- CO2=2 - falsch : es müssen ZWEI Zeichen sein
- CO2=4G - falsch : G ist keine gültige HEX-Zahl (0..F ist möglich)
- CO3=44 - falsch , weil der Text unsichtbar wäre (rot auf rot).
Wenn Sie "x" auf einen größeren Wert als 7 setzen, wird Ihr Text in
aller Regel blinkend dargestellt.
Wenn Sie "y" auf einen größeren Wert als 7 setzen, wird die Farbe hell
dargestellt, sie blinkt aber nicht.
Sie können die folgende Tabelle benutzen, um "Ihre" Farben zu finden.
Die erste Zeile enthält den Wert für "x" und "y", die zweite Zeile
die entstehende Farbe.
------------------------------------------------------------------
0 1 2 3
schwarz blau grün cyan-blau
------------------------------------------------------------------
4 5 6 7
rot violett braun hellgrau
------------------------------------------------------------------
8 9 A B
dunkelgrau hellblau hellgrün hell-cyan
------------------------------------------------------------------
C D E F
hellrot hell-violett gelb weiß
------------------------------------------------------------------
-----------------------------------------------------------------
Nochmal : benutzen Sie NEMCFG.EXE um die Farben einzustellen.
( Sie werden sonst verrückt. )
-----------------------------------------------------------------
======================================================================
Ende der Befehls-Liste
======================================================================
======================================================================
NEUE FUNKTION : (dauerhaftes) Lernen in eine Datei
======================================================================
Diese Funktion benötigt 32KB expanded-memory (EMS).
Falls Sie kein EMS haben, ist die Funktion abgeschaltet.
Da wir alle meistens dieselben Programme benutzen, die dann auch die
meist unnötigen Warnungen provozieren, haben wir NEMESIS jetzt
beigebracht, sich diese Programme zu merken.
Gelernt wird der NAME und die ENDUNG des Programms (z.B. "ARJ.EXE")
sowie die Speicheradresse, von der die Warnung ausgelöst wurde und
eine Prüfzahl, die es ermöglicht, die Gegend um diese Speicheradresse
herum eindeutig zu identifizieren.
Wenn NEMESIS eine Adresse gelernt hat, werden sie (hoffentlich) nie
wieder bei diesem Programm gefragt,
- AUSSER die Warnung wurde von einer anderen Speicheradresse aus
provoziert,
- AUSSER in der Speichergegend um diesen Punkt herum hat sich etwas
verändert (*)
- AUSSER das Programm wurde umbenannt
- AUSSER das Programm löscht sein Environment (auch teilweise).
Es können bis zu 1724 Programme dauerhaft gelernt werden.
Wenn Sie kein EMS haben, kann NEMESIS immerhin noch 80 Programme
lernen, die aber beim Beenden von NEMESIS vergessen werden.
Beachten Sie :
--------------
Da NEMESIS nicht zusammen mit DESQview laufen kann, wird auch die
Adresse von DESQview gelernt und DESQview beim nächsten Start ohne
Frage abgebrochen.
(*) Zum Beispiel :
TURBO.EXE von Borland setzt sein Datensegment in der Gegend des
Codes, der auch die EXE-Dateien erzeugt. Deshalb erfolgt jedesmal
eine Warnung, wenn TURBO.EXE in einem anderen Speicherbereich
gestartet wird, da sich damit die Bytefolge in der Gegend um den
Schreib-Code ändert.
======================================================================
EDITOVA.EXE Utility zum Bearbeiten von NEMESIS.OVA
======================================================================
Dieses Programm ist nur für registrierte Benutzer.
Es kann zusammen mit der jeweils neuesten Version von den
Support-Mailboxen downgeloaded werden.
Es ermöglicht die komfortable Änderung und / oder Zusammenfassung der
Daten in NEMESIS.OVA. Damit ist es dann auch möglich, Probleme wie mit
TURBO.EXE und anderen Programmen, zu umgehen.
======================================================================
NEMESIS ist resident.
======================================================================
Plötzlich erscheint eine Zeile : "Bitte Taste drücken".
Ok, Sie drücken die Taste.
Eine Bildschirmseite wird aufgebaut, um die Situation zu erklären :
------------------------------------------------------------------------------
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Versuch, eine geschützte Datei zu erzeugen : <blabla.exe>
Anforderung kommt von : C:\blabla\bubble.exe
Adresse : 1234:5678
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Wie soll NEMESIS reagieren ?
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
<J>a : zulassen
<N>ein : nicht zulassen
<V>erbieten : "nein", bis zum Programmende
<E>rlauben : "ja" bis zum Programmende
<A>bbrechen : Beendet das momentane Programm sofort
<I>mmer : Lernen und Adresse merken
<T>est : Versuchen. Wird fehlschlagen, wenn Datei existiert.
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
------------------------------------------------------------------------------
Was ist passiert ? Jemand (wahrscheinlich SIE) hat versucht, eine
geschützte Datei zu beschreiben. Vielleicht haben Sie ein paar
Programme aus einem Pfad in einen anderen kopieren wollen.
Dazu musste eine neue Datei mit demselben Namen erzeugt werden.
Falls es so war : tippen Sie "j" ein, um es dieses eine Mal zuzulassen
oder "e", um es solange zuzulassen, bis das momentane Programm beendet
ist. Wenn Sie sich auf DOS-Ebene befinden, gilt "erlauben" solange,
bis Sie den PROMPT wieder sehen. Wenn Sie sicher sind, daß es in der
gegebenen Situation immer in Ordnung ist, daß Dateien verändert
werden, dann können Sie NEMESIS die Adresse auch gleich lernen lassen.
** Gehen sie vorsichtig mit dem Lernen um **
Wenn Sie sicher sind, daß die Datei NICHT verändert werden soll, dann
können Sie entweder "N" für nein oder "V" für verbieten eingeben.
Wenn Sie nervös sind können Sie auch abbrechen lassen.
"A"bbrechen bringt sie sofort zurück zum DOS-Prompt. Alles, was Sie im
aktuellen Programm nicht gesichert haben, ist verloren. Wenn Sie grade
ein Programm umkonfiguriert haben, das sich selbst verändern (die
Konfiguration eintragen) wollte : diese Konfiguration ist verloren,
bzw. befindet sich nun in NEMESIS.FIL, wo sie nicht hingehört.
Nochmal : Vorsichtig mit den Tasten ! Es gibt keinen Grund, nervös zu
sein. Ohne NEMESIS wurden auch schon EXE-Dateien verändert, nur haben
Sie es nie bemerkt.
Wenn Sie "N" oder "V" eingeben, wird die Datei "blabla" nicht
verändert.
Wenn Sie "T" eingeben, wird DOS die Datei erzeugen, falls sie noch
nicht existiert, ansonsten aber einen Fehler melden.
Wenn Sie erlauben, daß die Datei erzeugt wird, wird NEMESIS sie als
"nicht geschützt" behandeln, solange, bis sie geschlossen wird.
Danach ist sie geschützt, auch ihre Cluster.
Es können auch andere Bildschirm-Seiten aufgebaut werden. Sie sehen im
wesentlich so wie die folgende Seite aus :
------------------------------------------------------------------------------
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Versuch, eine geschützte Datei zu verändern : <blabla.exe>
Anforderung kommt von : C:\blabla\bubble.exe
Adresse : 1234:5678
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Wie soll NEMESIS reagieren ?
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
<J>a : zulassen
<N>ein : nicht zulassen
<V>erbieten : "nein", bis zum Programmende
<E>rlauben : "ja" bis zum Programmende
<A>bbrechen : Beendet das momentane Programm sofort
<I>mmer : Lernen und Adresse merken
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
------------------------------------------------------------------------------
====================================================================
Noch einmal zu den Tasten :
====================================================================
"J" bedeutet : die momentane Aktion EINMAL erlauben und dann nochmal
fragen.
"N" bedeutet : die momentane Aktion EINMAL untersagen und dann nochmal
fragen.
"E" bedeutet : Alles erlauben, bis zum Programm-Ende.
"Programm-Ende" ist das Ende des jeweils nächsten
Programms. Wenn Sie in eine DOS-Shell gehen und sie
wieder verlassen, ist das ein "Programm-Ende" und Sie
werden wieder gefragt.
"V" bedeutet : Alles verbieten bis zum Programm-Ende
"Programm-Ende" bedeutet daßelbe wie oben.
"I" mmer : Diese Adresse soll NEMESIS sich merken. Wenn irgendeine
Art von Schreibzugriff aus diesem Code-Teil von dieser
Adresse kommt, soll NEMESIS es zulassen.
"A" bedeutet : Sofort das Programm beenden.
"T" bedeutet : erzeuge die Datei nur, wenn es nicht schon eine Datei
mit diesem Namen gibt.
====================================================================
TECHNISCHE ANMERKUNGEN
====================================================================
NEMESIS ist ein sehr komplexes Programm. Um es richtig zu benutzen,
sollten Sie zumindest "etwas" verstehen, was es macht und wie es
arbeitet.
Im Prinzip besteht NEMESIS aus zwei Teilen :
Dem Schutz auf DOS-Ebene und dem Schutz auf Cluster-Ebene.
Das heißt : einerseits gibt es in NEMESIS Programmteile, die
DOS-Zugriffe überwachen und Sie warnen, wenn Dateien gelöscht,
verändert, umbenannt usw. werden sollen. Diese Programmteile stehen
als Wächter zwischen einem Virus und Ihren Programmen, aber wie ein
Wächter, der VOR dem Palast steht.
Andererseits gibt es aber auch Programmteile, die sich zwischen DOS
und Ihre Festplatte stellen und Ihre Dateien sogar vor Viren schützen
können, die sich als DOS ausgeben und vom ersten Teil von NEMESIS
nicht haben aufhalten lassen. Sie stehen als Wächter vor der
Schatzkammer, um in diesem Bild zu bleiben.
Das funktioniert dann folgendermassen :
NEMESIS durchsucht die gesamte Festplatte nach geschützten Dateien und
erzeugt ein Abbild der Verteilung dieser Dateien auf der Festplatte.
Jeder (JEDER!) Schreibzugriff auf die Festplatte wird daraufhin
untersucht, ob er eine dieser Dateien betrifft oder nicht. Wenn bei
einem Schreibzugriff eine solche Datei verändert werden würde,
erhalten Sie ein Warnung (ausser, Sie haben es schon zugelassen, oder
die Adresse wurde gelernt).
NEMESIS ist das erste Programm, in dem die Idee, die Dateien
PHYSIKALISCH zu schützen, ernsthaft umgesetzt wurde. Deshalb gibt es
damit auch nicht gerade viel Erfahrung, die dabei helfen könnte,
Fehlalarme zu vermeiden.
Lassen Sie uns nur auf eine Schwierigkeit eingehen :
Eine Funktion von NEMESIS ist es, FAT-Schreib-Zugriffe, die nicht von
DOS kommen, zu erkennen und Sie in so einem Fall zu warnen.
Normalerweise kommt so etwas nicht vor, aber manchmal eben doch. Es
gibt einige Programme, die "Hintertüren" benutzen und an DOS vorbei
die FAT ändern. Sie erhalten in so einem Fall vielleicht andauernd
Warnungen und ärgern sich über NEMESIS anstatt über das
Hintertür-Programm.
Deshalb haben wir die meisten Funktionen aus- und einschaltbar
gemacht.
SMARTDRV von Microsoft ist so ein Hintertür-Programm. Das ist auch der
Grund, weshalb Sie KEINEN FAT-SCHUTZ mit SMARTDRV haben !
====================================================================
DIE WARNUNGEN DER UNTEREN EBENE IM EINZELNEN
====================================================================
---------------------------------------------------------------------
" NEMESIS : Versuch, direkt in die FAT zu schreiben !!"
" Es ist sicher keine normale Aktivität, denn die DOS-Aufrufe wurden
umgangen"
" Es gibt mehrere Erklärungen :"
" 1. Sie reorganisieren gerade Ihre File-Struktur (compress,
speeddisk)"
" 2. das momentane Programm geht unkonventionelle Wege (umgeht DOS)"
" 3. Sie benutzen ein Cache-Programm mit verzögertem Schreiben"
" 4. Sie benutzen DOS 4.01"
" 5. Oder : ein Virus will Ihre FAT zerstören !"
" Abzubrechen ist SEHR gefährlich, also überlegen Sie genau, was Sie
eingeben"
---------------------------------------------------------------------
Wenn Ihre Programme "schmutzige Tricks" benutzen, werden Sie eine
solche Warnung erhalten. Wie aber unterscheiden Sie einen Fehlalarm
von einer wirklich gefährlichen Situation ? Das ist wirklich nicht
so einfach.
Vielleicht wird es am Besten sein, sie lassen den Schreibzugriff zu
(Es ist sowieso gefährlich, es zu verbieten. Sie sollten gute Gründe
haben, wenn Sie das tun ! Wenn die FAT nicht mehr stimmt, sind Ihre
Dateien so gut wie zerstört), verlassen das momentane Programm danach
so schnell wie möglich und lassen CHKDSK alle Partitionen
kontrollieren. Wenn alles in Ordnung ist, und Sie das Programm, das
die Warnung verursacht, öfters benutzen, dann sollten Sie vielleicht
NEMESIS mit dem Befehl FAT=AUS starten. Wenn Sie aber durch CHKDSK auf
"querverbundene Dateibloecke" oder "verlorene Dateibloecke" oder
sonstige unangenehme Dinge aufmerksam werden, ist meist etwas
schiefgelaufen. Meine Erfahrung sagt, daß es eine gute Idee ist,
MIRROR in die AUTOEXEC.BAT aufzunehmen. Wenn Ihre FAT einmal zerstört
wird, können Sie alle Daten restaurieren, indem Sie die MIRROR-Datei
wieder zurückschreiben.
Mögliche andere Gründe für Fehlalarme :
- Sie benutzen ein CACHE-Programm mit verzögertem Schreiben.
Falls das der Fall ist, starten Sie NEMESIS mit NOFAT.
- Sie haben COMPRESS oder SPEEDISK o.ä. gestartet, und Ihre Dateien
werden "umsortiert". In diesem Fall geben Sie "E"rlauben oder
"L"ernen ein, und alles ist in Ordnung. Besser ist es aber, vor dem
Einsatz von SPEEDISK oder COMPRESS NEMESIS zu entfernen und zunächst
neu zu booten !
---------------------------------------------------------------------
"NEMESIS : Versuch, DIREKT auf einen geschützten Sektor zu schreiben"
"Mögliche Erklärungen : "
" 1. NEMESIS kam durcheinander, da Sie Ihre File-Struktur stark
verändert (z.B. geschützte Files gelöscht, kopiert, verschoben)
haben. Es sollte mit solchen Situtionen fertigwerden, aber ... "
" 2. Ihr Rechner ist mit einem neuen Virus infiziert, der versucht, "
" NEMESIS zu umgehen (eher unwahrscheinlich) ..."
" Geschrieben werden sollen Daten ab " <eine Zahl folgt>
---------------------------------------------------------------------
Diese Meldung sollten Sie niemals zu sehen bekommen ! Sie bedeutet,
daß DOS umgangen wurde und irgendein Programm versucht, Dateien direkt
zu manipulieren !
Mögliche Gründe :
- Sie haben SPEEDISK oder COMPRESS laufen.
- Sie arbeiten mit einem Sektor-Editor (NU.EXE, PCTOOLS etc.)
- Sie haben den Befehl TBSCAN=EIN eingegeben und CALIBRATE gestartet.
- Sie haben sich ein Tunnel-Virus eingefangen, das versucht, Dateien
zu direkt infizieren.
- Die interne Daten von NEMESIS stimmen nicht mehr, da Sie sehr starke
Änderungen in Ihrer Dateistruktur vorgenommen haben. Das sollte zwar
kein Problem sein, aber es ist nicht unmöglich.
--------------------------------------------------------------------
"Versuch, den Verzeichnis-Eintrag der Datei <dateiname> direkt zu
verändern"
--------------------------------------------------------------------
Dies ist die erste Zeile einer Meldung, die anzeigt, daß DIREKT ein
Verzeichnis-Eintrag verändert werden soll.
Die Art der Änderung wird in der zweiten Zeile angezeigt :
--------------------------------------------------------------------
" Art der Änderung : !! Zerstörung des Verzeichnisses !! "
--------------------------------------------------------------------
Wenn das erste Zeichen eines Verzeichnis-Eintrags auf 0 (Byte 0)
gesetzt wird, ist für DOS das Verzeichnis hier zu Ende. Alle
eventuelle folgenden Einträge werden nicht mehr gelesen. Das
Verzeichnis ist damit zerstört.
Lassen Sie es nur zu, wenn Sie ein Verzeichnis löschen wollen.
--------------------------------------------------------------------
" Art der Änderung : LÖSCHEN /"
" Art der Änderung : NAME / "
" Art der Änderung : GRÖSSE /"
" Art der Änderung : DATUM/ZEIT /"
--------------------------------------------------------------------
Das erklärt sich von selbst.
Die Änderung von Datum/Uhrzeit wird NEMESIS immer zulassen. Es kann
sein, daß ein Virus aktiv ist, der auf diese Weise Dateien als "schon
infiziert" markiert. Die Dateien werden dann vor dem Virus geschützt
sein. Auch wenn kein Virus aktiv ist, ist das Ändern dieser Daten
unproblematisch.
--------------------------------------------------------------------
" Art der Änderung : CLUSTER /"
" Art der Änderung : SONDERBEREICH /"
--------------------------------------------------------------------
Eine Warnung, die Sie NIE zu sehen bekommen sollten !
Mögliche Ursachen :
------------------
- Siehe oben : Sie haben ein Programm ähnlich COMPRESS oder SPEEDISK
gestartet.
- Sie haben sich ein Filesystem-Virus eingefangen (z.B. eines der
DIR-Viren), das zur Infektion lediglich die Adresse des ersten
Clusters einer Datei verändern muß.
Mein Rat : Notieren Sie sich die beiden Zahlen und erlauben Sie die
Veränderung einmal (Geben Sie "J" ein). Wenn die Warnung wieder kommt,
dann vergleichen Sie die neuen Zahlen mit den alten. Wenn die jeweils
zweite Zahl immer gleich ist (also der neue Cluster gleichbleibt),
dann haben Sie (fast) mit Sicherheit ein solches Virus. Wenn die Zahlen
aber immer voneinander abweichen, hat NEMESIS möglicherweise einen
Fehler.
Noch eine Bemerkung zur obigen Warnung : Wenn Sie NEMESIS testen und
dabei auch mal einen Cluster-Eintrag ändern, NEMESIS dann anweisen, es
nicht zuzulassen, kann es scheinen, als habe NEMESIS versagt.
Booten Sie und sehen Sie danach nochmal nach. Es wurde nichts
verändert, aber DOS braucht lange, um seine BUFFER zu aktualisieren.
----------------------------------------------------------------------
Wenn Sie BEIDE Warnungen erhalten (Erster Cluster UND reservierte
Daten) dann ist Ihr Rechner sehr wahrscheinlich mit einem
Filesystem-Virus verseucht.
Dann sollten Sie sofort den RESET-Knopf drücken und von einer
originalen, schreibgeschützten Systemdiskette booten.
Starten Sie CHKDSK von der System-Diskette.
Wenn eine große Anzahl von Dateien "querverbunden" sind und die
angezeigte Zahl meist dieselbe ist, dann können Sie auch davon
ausgehen, daß Sie ein Filesystem-Virus haben.
----------------------------------------------------------------------
Nach einer der obigen Warnungen wird, wenn Sie den Schreibzugriff
nicht erlauben, meist der Text
"Fehler beim Scheiben auf Laufwerk X:
(A)bbrechen, (W)iederholen, (I)gnorieren, (U)ebergehen " erscheinen.
Das ist vollkommen in Ordnung, NEMESIS hat DOS belogen und behauptet,
daß Ihre Festplatte defekt ist. Geben Sie "A" für Abbrechen ein.
----------------------------------------------------------------------
Zu Ihrer Information und als Entscheidungshilfe wird auch angezeigt,
wie der Verzeichnis-Eintrag im Moment aussieht, und wie er nach der
Änderung aussehen würde. Als Beispiel zeigen wir, was angezeigt würde,
wenn Sie NEMESIS.COM mit NU.EXE o.ä. umbenennen würden :
------------------------------------------------------------------------------
Versuch, den Verzeichnis-Eintrag der Datei NEMESIS.COM direkt zu verändern
Art der Änderung : NAME / CLUSTER /
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Aktueller Eintrag Neuer Eintrag
Name : NEMESIS.COM NEMESIS.BOM <die namens-felder>
Attr : Arc Arc <das attribut>
Time : 11.03.42 11.03.42 <datei-uhrzeit>
Date : 11.03.1993 11.03.1993 <datei-datum>
Clus : 4711 4712 <erster cluster>
Size : 45678 45678 <datei-länge>
Res. : 0000:0000:0000:0000:0000 0000:0000:0000:0000:0000 <reserviert>
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Anforderung kommt von C:\NORTON\NU.EXE
Adresse 1234:5678
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
Wie soll NEMESIS reagieren ?
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
<J>a : zulassen
<N>ein : nicht zulassen
<V>erbieten : "nein", bis zum Programmende
<E>rlauben : "ja" bis zum Programmende
<A>bbrechen : Beendet das momentane Programm sofort
<I>mmer : Lernen und Adresse merken
░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░░
------------------------------------------------------------------------------
====================================================================
Meldungen von NEMESIS , bevor NEMESIS.BIN geladen wurde
====================================================================
" Performing selftest, please wait"
" Performing pre-infection-test, please wait"
" Pre-infection-test skipped : running from floppydisk"
" pre-infection-test skipped : NEMESIS already resident"
" Pre-infection-test skipped : running from network"
Wenn Sie NEMESIS von Diskette starten, wird kein Infektions-Test
durchgeführt. Es dauert einfach zu lange und kann Ärger geben. Starten
Sie NEMESIS von der Festplatte. Wenn Sie bei einer Infektion von einer
sauberen Diskette gebootet haben, können Sie NEMESIS.COM auf die
Festplatte kopieren und dort starten.
Wenn Sie NEMESIS von einer NOVELL-Platte starten, kann es auch
Probleme mit dem Infektions-Test geben, deshalb wird auch dann kein
solcher Test ausgeführt.
" NEMESIS IS DAMAGED OR INFECTED. ABORTED !"
Das bedeutet, daß NEMESIS auf irgendeine Art verändert wurde.
Falls Sie NEMESIS nicht gepackt haben (z.B. mit LZEXE), dann gilt :
Ersetzen Sie NEMESIS.COM, die defekte Datei wird nie wieder
funktionieren. NEMESIS darf nur mit PKLITE gepackt werden, andere
Packer erkennt es nicht.
" could not change to NEMESIS-drive "
Vielleicht ist das Laufwerk, von dem Sie NEMESIS gestartet haben, mit
JOIN zugewiesen ? Es sollte zwar kein Problem mehr sein, aber wenn
doch : teilen Sie es uns bitte mit.
" NEMESIS : Could not perform selftest."
Haben Sie NEMESIS von einer CD-ROM gestartet ? Oder von einer
Server-Platte ? Jedenfalls konnte NEMESIS aus irgendeinem Grund nicht
den ersten Sektor von NEMESIS.COM auf der Festplatte lesen.
" could not read tempfile for pre-infection-test"
Wie oben schon kurz erwähnt, erzeugt NEMESIS zwei Programm-Dateien,
startet sie, kontrolliert sie danach, und löscht sie wieder.
Aus irgendeinem Grund konnte zumindest eine der beiden nicht wieder
gelesen werden. Eine Datei mit unaussprechlichem Namen und der Endung
COM oder EXE, genau 2048 Byte lang, wird dann im Hauptverzeichnis des
NEMESIS-Laufwerks liegenbleiben. Löschen Sie sie "per Hand".
" wrong version of NEMESIS in memory. ABORTED !"
Seit Version 1.10 überprüft NEMESIS auch die VERSION des jeweils
residenten NEMESIS.
LÖSCHEN SIE DIE ALTEN VERSIONEN VON NEMESIS !
" NEMESIS : cannot install. No free number for multiplex routine."
NEMESIS braucht eine freie Nummer im Interrupt 2F, um Daten zwischen
dem residenten NEMESIS und dem jeweils grade gestarteten NEMESIS
austauschen zu können. Aber alle Nummern sind schon vergeben.
Entfernen Sie eines der vorher gestarteten Programme. Wenn Sie KEINE
oder nur SEHR WENIGE residente Programme geladen haben, kann das auch
auf einen Virus hindeuten, der verhindern will, daß NEMESIS Sie
schützt.
" NEMESIS : ALT-key pressed. Abort installation ? <y/n>"
Wenn Sie unmittelbar nach dem Start von NEMESIS die ALT-Taste gedrückt
halten, erscheint obiger Text. Geben Sie "y" ein, wenn NEMESIS
abbrechen soll. Das ist besonders nützlich, wenn Sie NEMESIS in die
AUTOEXEC.BAT aufnehmen wollen, und noch nicht "die richtige
Reihenfolge" wissen. Setzen Sie NEMESIS *hinter* KEYB.EXE, da KEYB.EXE
speicherresident ist, NEMESIS sie also um Erlaubnis fragen wird, aber
keine Antwort erhalten kann, da KEYB.EXE zu diesem Zeitpunkt noch
keine Tasten weitergibt.
" Unknown DR-DOS version. Aborted."
" Unknown DOS or wrong version. "
" NEMESIS needs at least DOS 3.3 to run. Aborted."
NEMESIS wurde mit PC-DOS 3.30, MS-DOS 5.0, DR-DOS 5.0 und DR-DOS 6.0
getestet. Wenn es eine unbekannte DOS-Version erkennt, bricht es ab.
" DR-DOS with multitasker "
" Run NEMESIS only in singletask !"
NEMESIS kann nicht unter TASKMAX (oder einer anderen Multi-Shell)
gestartet werden.
" Do not use LOADHIGH with NEMESIS !"
" It's not necessary but can cause problems."
" NEMESIS will load itself high, if ever possible."
Sie haben versucht, NEMESIS hochzuladen. Geben Sie es auf, NEMESIS
kann sich selbst hochladen und macht das besser als LOADHIGH.
" Don't run NEMESIS with SIDEKICK. Aborted."
SIDEKICK holt sich den Tastatur-Interrupt und gibt ihn nicht wieder
her. Wenn NEMESIS sie warnen will, und auf eine Taste von Ihnen wartet,
wird es nie eine Antwort von Ihnen erhalten.
Lesen Sie die Bemerkung über SIDEKICK im Anhang.
" NEMESIS cannot run within D'Bridge. Aborted."
Sie haben versucht, NEMESIS zu starten, während Sie aus D'Bridge
gedroppt sind. NEMESIS ist ein speicherresidentes Programm, das nicht
in einer SHELL gestartet werden sollte.
" NEMESIS does not run with OS/2 yet.."
Sie haben NEMESIS unter OS/2 gestartet. Bevor NEMESIS sich "aufhängt"
(oder sogar OS/2 selbst), bricht es lieber ab.
" Loading messages from NEMESIS.BIN "
Die Datei mit den Ausgabe-Texten wird gelesen.
" NEMESIS : message-file NEMESIS .BIN not valid / not found. Aborted"
NEMESIS.BIN ist zerstört, oder liegt nicht im selben Pfad wie
NEMESIS.COM.
Wenn es zerstört ist, dann löschen Sie es. Kopieren Sie ein anderes
NEMESIS.BIN (aus dem NEMESIS-Archiv) in den Pfad.
====================================================================
Meldungen von NEMESIS nachdem NEMESIS.BIN geladen ist
====================================================================
Ab diesem Zeitpunkt sind alle Meldungen in deutscher Sprache
verfügbar, mit Ausnahme von DOS-Fehlermeldungen, die NEMESIS ausgeben
wird, wenn es einen DOS-Fehler erkennt.
Wenn NEMESIS immer noch ausschließlich englische Texte ausgibt, dann
kopieren Sie jetzt DEUTSCH.BIN über NEMESIS.BIN (zum Beispiel mit dem
Befehl COPY DEUTSCH.BIN NEMESIS.BIN) und entfernen Sie NEMESIS.
Starten Sie es danach nochmal.
----------------------------------------------------------------------
"Zu wenig freier Speicher für Re-Scan."
Sie haben NEMESIS mit dem Befehl "NEU" gestartet, aber nicht genug
freien Speicher, um den Re-Scan auch durchzuführen.
Geben Sie EXIT ein, um die momentane SHELL zu verlassen...
----------------------------------------------------------------------
" FAT-LEVEL-SCHUTZ IST JETZT ABGESCHALTET !
SIE SOLLTEN SO BALD WIE MÖGLICH BOOTEN UND NEMESIS NEU STARTEN"
Sie haben NEMESIS mit dem Befehl "NEU" gestartet und nicht genug
freien Speicher um den Re-Scan durchzuführen. Das wurde nicht
rechtzeitig erkannt, bevor der Re-Scan begonnen hat. Starten Sie
NEMESIS nochmal mit "NEU", nachdem Sie Speicher freigemacht haben
(Geben Sie EXIT ein).
----------------------------------------------------------------------
Bevor NEMESIS beginnt, Ihre Laufwerke nach geschützten Dateien zu
durchsuchen , sucht es zunächst nach STACKER-Laufwerken. Folgende
Textzeile wird solange ausgegeben :
" Suche komprimierte Laufwerke (Stacker,SSTOR usw)"
Wenn Sie diese Textzeile länger als eine 10-tel Sekunde sehen können,
haben Sie möglicherweise ein Netzwerk mit Absolut-Sektor-Modus
installiert (z.B. Kirschbaum-Link).
Warten Sie beruhigt, alles ist in Ordnung. Wenn es aber länger als
eine Minute dauert, ist etwas "faul".
Während des Suchvorgangs werden Sie vielleicht folgende Text-Zeilen
sehen :
" Es ist kein Sektor-Schutz möglich auf Laufwerk "<laufwerksbuchstabe>
" Grund : Laufwerk steht unter Kontrolle von "
in der nächsten Zeile steht dann entweder
" SUBST/ASSIGN/JOIN/Netzwerk oder ähnlichem."
oder
" SSTOR."
Lesen Sie die Notiz über STACKER/SSTOR im Anhang. Wenn Sie aber die
SUBST-Zeile sehen und KEIN NETZWERK installiert haben, wäre ich,
Robert Hörner, an Informationen zu Ihrem DOS interessiert...
----------------------------------------------------------------------
" Zuviel Partitionen auf der Festplatte !!! "
Dieser Text kann nie erscheinen, aber... Sie hätten dann mehr als 26
Laufwerke, oder, mit anderen Worten, NEMESIS hätte einen Fehler.
Bitte informieren Sie uns.
----------------------------------------------------------------------
" Keine Festplatte gefunden."
Sie haben entweder wirklich keine Festplatte oder NEMSIS konnte sie
nicht finden. Sie haben keinen Sektor-Schutz, mit Ausnahme der
Boot-Sektoren von Disketten.
----------------------------------------------------------------------
" Fehler beim Schreiben in EMS."
" NEMESIS installiert sich im normalen Speicher."
Das bedeutet, daß NEMESIS nicht direkt in den EMS-Speicher schreiben
konnte (mit anderen Worten : Das RAM dort verhält sich wie ROM).
Das kommt bei einigen älteren NEAT-Boards vor und mit EMM386.SYS
von Microsoft.
Versuchen Sie es mit dem Befehl "NEMESIS EMS".
Wenn es funktioniert, dann schreiben Sie ihn in NEMESIS.CFG.
----------------------------------------------------------------------
" Nicht genügend EMS-Speicher oder EMS-Handles für den Sektor-Schutz!"
" Die gewöhnlichen Viren werden aber trotzdem erkannt !"
Ihr EMS-Speicher ist zu klein. NEMESIS kann keine Sektoren schützen.
----------------------------------------------------------------------
" PROBLEM : NEMESIS kann bei Ihnen keine Sektoren im upper memory
lesen !"
" Fordere Speicher im unteren Bereich an."
Ein Teil von NEMESIS wird im hohen Speicherbereich arbeiten, aber
dorthin können keine Sektoren gelesen werden. Deshalb werden 512 Byte
von NEMESIS im normalen Speicher verbleiben. Anderenfalls könnte
NEMESIS Ihre Verzeichnisse nicht schützen. Das Problem tritt
anscheined nur bei Busmaster-DMA-Controllern (wie Adaptec) auf.
----------------------------------------------------------------------
" NEMESIS : SERIOUS FAILURE OF YOUR EMS-MANAGER !"
" YOU SHOULD REBOOT ** AT ONCE ** !"
" THERE IS A REAL DANGER TO LOOSE DATA !"
" THIS IS NO JOKE !"
NEMESIS kann nach einem Re-Scan ( BEFEHL "NEU" ) die neuen Daten nicht
übergeben. Die liegt an einem ernsten Fehler in Ihrer EMS-Software.
Booten Sie !
====================================================================
Meldungen, wenn NEMESIS im Hintergrund arbeitet
====================================================================
"NEMESIS : TRACER REJECTED"
NEMESIS läßt es nicht zu, daß es im Einzelschritt-Verfahren
durchlaufen wird. Das ist eine typische Viren-Methode. Ein Programm
(bzw. das Virus, das daran hängt) wird sofort abgebrochen.
Lesen Sie auch die Notiz über VIRSTOP.EXE.
----------------------------------------------------------------------
"NEMESIS : EMS-FAILURE"
NEMESIS hat einen ernsten Fehler in Ihrer EMS-Software festgestellt.
Der CODE von NEMESIS, der im EMS liegt, kann nicht wieder hergestellt
werden. Sie müssen booten. Wenn das Problem wieder auftaucht, dann
starten Sie NEMESIS mit dem Befehl "NOEMS".
----------------------------------------------------------------------
"Fehler beim updaten der EMS-Daten"
Dieser Text erscheint, wenn NEMESIS versucht, seine interne Daten
aktuell zu halten, aber durch irgendeinen Fehler scheitert.
Wenn Sie dazu noch wirre Meldungen erhalten und der angegebene
Dateiname nicht stimmt , dann ist Ihre EMS-Software nicht 100 Prozent
kompatibel zu EMS 4.0. Kaufen Sie eine andere EMS-Software und
starten Sie NEMESIS solange nur noch mit NOFAT.
----------------------------------------------------------------------
"Fehler beim Lesen der Festplatte " <nummer>
Dieser Text erscheint, wenn NEMESIS versucht, einen Sektor von der
Festplatte zu lesen, dabei aber scheitert. Wenn dieser Fehler
auftritt, dann haben Sie entweder eine defekte Festplatte oder NEMESIS
hat ein DMA-Problem nicht erkannt. Versuchen Sie es mit NEMESIS LOW.
----------------------------------------------------------------------
" NEMESIS : Mein Code wurde verändert !"
" Ihre Laufwerke sind jetzt schreibgeschützt."
Dieser Text erscheint NUR, wenn NEMESIS tatsächlich im Speicher
verändert wurde. Es ist sehr wahrscheinlich, daß Sie ein Virus haben !
----------------------------------------------------------------------
" Versuch, eine Festplatte zu formatieren, wurde zurückgewiesen."
Diese Warnung erscheint, wenn DOS über den Format-Befehl nicht
informiert war. Der Format-Befehl wird auf jeden Fall zurückgewiesen.
Das aufrufende Programm wird informiert, daß es versucht hat, eine
schlechte Spur zu formatieren. Sie können Ihre Festplatte nur
formatieren, wenn Sie NEMESIS entfernen.
----------------------------------------------------------------------
" *** WARNUNG *** "
" Versuch, direkt auf eine Festplatte zuzugreifen, wurde
zurückgewiesen. Das aktuelle Programm wurde abgebrochen !
Der Zugriff erfolgte von : <adresse wird angezeigt>
Einige Interupts wurden auf ihren alten Wert gesetzt. Alle
residenten Programme, die nach NEMESIS geladen wurden, ohne daß Sie
den neuen Zustand gesichert haben, können jetzt unwirksam sein. "
Sie erhalten diese drastische Warnung, wenn Sie TBSCAN -D starten und
mit CALIBRATE.
Sie erhalten Sie auch bei sehr vielen Viren.
Wenn sie Sie nicht sehen wollen, starten Sie NEMESIS mit TBSCAN=EIN.
Bedenken Sie aber, daß dann jedes Virus NEMESIS umgehen kann !
! Lesen Sie die Notiz über CALIBRATE im Anhang !
----------------------------------------------------------------------
"Anzahl der DOS-Buffer verändert von <alte zahl> zu <neue zahl>"
"Auswahl : <r>estaurieren, <s>ichern , <i>gnorieren "
Das ist unmöglich ohne ein Programm, das Ihnen MEHR Buffer gibt ohne
resident im Speicher zu bleiben, und möglichen Viren, die DOS-Buffer
belegen.
!! Wir hatten keine Möglichkeit, zu testen, ob das "restaurieren" auch
!! funktioniert. In der Theorie klappt es....
----------------------------------------------------------------------
"Speichergröße wurde verändert. Von <alter wert> zu <neuer wert>"
"Auswahl : : <r>estaurieren, <s>ichern , <i>gnorieren "
Das passiert nach dem Start von VIDRAM und einigen Viren, die, um sich
vor Überschreiben zu schützen, den verfügbaren Speicher verkleinern.
----------------------------------------------------------------------
" Speicherkontrollblock verändert : <xx> Byte werden resident sein !"
" Auswahl : <r>estaurieren, <s>ichern , <i>gnorieren "
Das geschieht mit VIDRAM, jedem anderen TSR und einigen Viren, die
versuchen, sich schlau zu verhalten (CASCADE, z.B.).
Es geschieht normalerweise NICHT, wenn Sie in eine DOS-Shell gegangen
sind und "EXIT" eingegeben haben.
----------------------------------------------------------------------
"Speicherkontrollblock zerstört"
Normalerweise müssen Sie jetzt Ihren Rechner neu starten, da
COMMAND.COM nicht geladen werden kann. NEMESIS gibt diesen Text aus,
wenn der letzte Speicherkontrollblock (eine DOS-interne Datenstruktur)
weder mit "M" noch mit "Z" beginnt und auch nur, wenn Sie
"R"estaurieren lassen wollten, nachdem der letzte
Speicherkontrollblock verändert worden war.
----------------------------------------------------------------------
" ACHTUNG ! "
" Speicherkontrollblock gibt fehlerhaften Wert für die "
" Speicherobergrenze an ! Möglicherweise ein Virus !"
" Daten ab <adresse> wurden abgespeichert !"
----------------------------------------------------------------------
" ACHTUNG ! "
" UMB-Speicherkontrollblock gibt fehlerhaften Wert für die "
" Speicherobergrenze an ! Möglicherweise ein Virus !"
" Daten ab <adresse> wurden abgespeichert !"
----------------------------------------------------------------------
Wenn NEMESIS feststellt, daß Sie nach einem normalen Programm-Ende
weniger Speicher als zuvor haben, schreibt es die Daten aus dem
"fehlenden" Teil des Speichers in die Datei NEMESIS.FIL.
Dies unterbleibt, wenn Sie NOSAVE angegeben haben. Es wird sowohl der
normale DOS-Speicher als auch das upper memory kontrolliert.
----------------------------------------------------------------------
" DOS-Startcode wurde verändert !"
" Auswahl : <r>estaurieren, <s>ichern , <i>gnorieren "
NEMESIS kennt normalerweise die ersten paar Byte von DOS.
Sie verändern sich niemals, solange der Rechner eingeschaltet ist.
Allerdings gibt es ein paar Tarnkappen-Viren, die diese Bytes
verändern.
----------------------------------------------------------------------
" Anzahl der DOS-Stacks ist verändert"
" Auswahl : <r>estaurieren, <s>ichern , <i>gnorieren "
Ohne ein spezielles Programm, das Ihnen MEHR Stacks gibt, ist das
unmöglich. Wenn Sie WENIGER Stacks haben, dann haben Sie ein Virus.
----------------------------------------------------------------------
"Größe der DOS-Stacks verändert. Kann nicht restauriert werden."
Nehmen Sie es einfach zur Kenntnis. Es kann ein Virus sein. Es kann
normal sein. Wahrscheinlich ist es ein Virus.
----------------------------------------------------------------------
"<anzahl> DOS-Stacks blockiert."
" Auswahl : : <r>estaurieren, <s>ichern , <i>gnorieren "
Das ist wahrscheinlich normal. Lassen Sie NEMESIS die blockierten
Stacks freigeben. Wenn dies Meldung oft erscheint, könnte (!) es ein
Virus sein. Es kann aber auch ganz ohne ein Virus öfters vorkommen.
Wenn Ihr Rechner aber "stehenbleibt", nachdem NEMESIS die Stacks
freigegeben hat, dann hat entweder NEMESIS einen Fehler, oder Sie
haben ein Virus.
----------------------------------------------------------------------
" Versuch des DIREKTEN formatierens einer Spur in Laufwerk X:"
" Versuch des DIREKTEN schreibens einer Spur in Laufwerk X:"
Wenn Sie dieses Laufwerk formatieren wollten, dann erlauben Sie es,
sonst nicht.
----------------------------------------------------------------------
" Versuch den Bootsektor in Laufwerk x: zu verändern !"
" Versuch den Partitionssektor in Laufwerk x: zu verändern !"
Dieser Text erscheint, wenn der Partitionssektor von Laufwerk C: oder
der Bootsektor von Laufwerk A: oder B: oder C: geändert werden soll.
Er erscheint auch, wenn Sie das Formatieren dieses Laufwerks erlaubt
haben. Wenn Sie "ohne Grund" eine solche Warnung erhalten, dann ist
was faul.
----------------------------------------------------------------------
" Versuch, eine geschützte Datei zu erzeugen : <dateiname>
" Versuch, eine geschützte Datei zu verändern : <dateiname>
" Versuch, eine geschützte Datei umzubenennen : <dateiname>
" Versuch, eine geschützte Datei zu löschen : <dateiname>
" Versuch, eine geschützte Datei zu ersetzen : <dateiname>
Die Entscheidung liegt bei Ihnen.
----------------------------------------------------------------------
" Programm benutzt eine DOS-interne Zugriffsnummer : " <zahl>
DOS benutzt 5 Zugriffsnummern ("handles") für interne Zwecke.
Es ist völlig ungewöhnlich, daß ein Programm mit einer solchen
Zugriffsnummer arbeitet, um eine Datei zu verändern.
Antworten Sie mit "V" wie Verbieten.
----------------------------------------------------------------------
" Residente NEMESIS : Ungültiger Versuch, mich zu verändern !"
Dieser Text wird nur angezeigt, wenn ein anderes Programm (also nicht
NEMESIS.COM selber) versucht, den Status des speicherresidenten
NEMESIS zu verändern. Es handelt sich wahrscheinlich um ein nicht
genügend getestetes Virus. Wenn NEMESIS.COM verändert wurde, und dabei
auch sein Selbst-Test entfernt wurde, kann diese Meldung auch
erscheinen. LÖSCHEN Sie dieses NEMESIS.COM.
----------------------------------------------------------------------
" Versuch, Uhrzeit der Datei auf Sekunde größer 59 zu setzen."
" Das ist eine typische Virus-Aktivität !"
" NEMESIS wird es zulassen, da die Datei dadurch "immunisiert" wird."
Manche Viren markieren von ihnen infizierte Dateien damit, daß sie
die Sekunde der letzten Änderung auf einen Wert größer als 59 setzen.
(Wenn Sie DIR eingeben, wird die Sekunde nicht angezeigt).
Damit wollen Sie verhindern, daß ein Programm mehrmals von ihnen
infiziert wird. NEMESIS wird deshalb zulassen, daß die Zeit verändert
wird, SIE sollten aber nicht zulassen, daß die Datei selber verändert
wird.
----------------------------------------------------------------------
" RESIDENTE NEMESIS : EDDIE-2 (DARK AVENGER VIRUS) IST AKTIV ! "
NEMESIS hat einen DOS-Aufruf festgestellt, den auch der besonders
gefährliche "Dark Avenger"-Virus ausführt.
Wenn Sie nicht unmittelbar davor ein Anti-Virus-Programm gestartet
haben, daß diesen Aufruf ebenfalls durchführt (NEMESIS führt diesen
Aufruf durch, um die Anwesenheit von Dark-Avenger im Speicher
festzustellen, allerdings nur, wenn es nicht erkennt, daß NEMESIS
schon resident im Speicher ist), dann gilt :
"ES BRENNT " !
Schalten Sie ab ! Booten Sie von einer virenfreien, schreibgeschützten
Original-Betriebssystem-Diskette ! Starten Sie kein Programm auf Ihrer
Festplatte, sondern starten Sie einen Virenscanner und / oder NEMESIS
von Diskette !
Dieses Virus ist wirklich sehr gefährlich für Ihre Daten !
BEACHTEN SIE :
--------------
Wenn Sie eine sehr alte Version von NEMESIS starten, während eine neue
Version von NEMESIS im Speicher ist, oder wenn Sie eine alte Version
von NEMESIS im Speicher haben, während sie die neue Version starten,
kann es ebenfalls passieren, daß Sie diese Warnung erhalten.
!! Löschen Sie die alten Versionen von NEMESIS !
Sie enthalten nicht nur viel mehr Fehler, als die neuen Versionen,
sondern sind auch nicht verträglich mit den neuen Versionen.
Benutzen Sie nur die neueste Version von NEMESIS !
----------------------------------------------------------------------
" NEMESIS läuft nicht mit D'Bridge 1.50 "
" NEMESIS läuft nicht mit Windows (tm). "
" NEMESIS läuft nicht mit TASKMAX (DR-DOS)."
" NEMESIS läuft nicht mit DOSSHELL."
" NEMESIS läuft nicht mit DESQview."
" NEMESIS läuft nicht mit alten NEMESIS-Versionen."
Sie haben eines dieser Programme gestartet und NEMESIS teilt Ihnen
mit, daß SIe sich entscheiden müssen : entweder NEMESIS oder dieses
Programm, beides zusammen funktioniert nicht.
----------------------------------------------------------------------
" Sie können NEMESIS nicht in einer windows-task starten."
" Sie können NEMESIS nicht in einer DOSSHELL-task starten."
" Sie können NEMESIS nicht in einer DESQview-task starten."
Sie haben versucht, NEMESIS als Task zu starten. Das ist nicht
möglich.
----------------------------------------------------------------------
" Programm ruft DOS mit ungültiger Funktion. Abbrechen ? <J>a <N>ein"
Sie haben NEMESIS den Befehl "NOINVALID" gegeben. Viele Programme
rufen DOS mit ungültigen Funktionen, ohne deshalb Viren zu sein.
Wenn Sie sicher sind, daß "dieses Programm" das noch nie getan hat,
dann brechen Sie ab, ansonsten lassen Sie es weitermachen. Beim
Programmende wird NEMESIS sowieso alles noch einmal genau ansehen.
----------------------------------------------------------------------
" NEMESIS : ICH ERHIELT EINEN AUFRUF, DER MÖGLICHERWEISE VON
EINEM VIRUS STAMMT "
Sie haben NEMESIS den Befehl "NOINVALID" gegeben. Viele Programme
rufen DOS mit ungültigen Funktionen, ohne deshalb Viren zu sein.
Manche Antivirus-Programme (NEMESIS selbst, zum Beispiel) rufen DOS
mit solchen (ungültigen) Funktionen auf, um Viren zu entdecken.
Folgende Viren können erkannt werden, wenn Sie NEMESIS den Befehl
"NOINVALID" geben :
Eddie-2 (dark avenger) virus (auf dieses Virus wird immer geachtet),
Tequila virus, Dir-virus, G-virus, Shake virus, Invader virus,
699-virus, Plastique virus, Lozinsky virus, 789-virus,
Terror virus, Diamond-a virus, Diamond-b virus, Dbase virus,
Flip virus, Ontario virus, Cascade (170x) virus, Tremor-virus (UMB-1)
Ein besonderer Aufruf wird von FluShot und VirEx, zwei sehr guten
Viren-Scannern, durchgeführt (allerdings eben auch von vielen Viren) :
----------------------------------------------------------------------
NEMESIS übernimmt den Bildschirm und fragt Sie :
"Sie haben FluShot oder VirEx laufen, nicht wahr ? (j/n)"
Wenn Sie "N" eingeben, wird folgener Text angezeigt:
"Dann ist Ihr Rechner wahrscheinlich mit dem 'PSQR/1720'- virus
infiziert"
Nehmen Sie die Angabe DIESES Namens nicht so genau. Es gibt
mittlerweile sehr viele Viren, die diesen Aufruf machen, einfach um
festzustellen, ob Flushot oder Virex aktiv sind. In diesem Fall
stellen sie sich "harmlos".
----------------------------------------------------------------------
" NEMESIS kann die 'richtige' Antwort geben, damit das Virus sich
nicht installiert, aber Sie müssen selbst entscheiden.
Geben Sie "J" ein für "gib richtige Antwort", sonst "N" "
Die jeweils "richtige" Antwort ist diejenige, bei der das Virus
"glaubt", es müsse nicht "noch einmal" im Speicher bleiben, da es
annehmen muss, es sein schon im Speicher. Im Ergebnis wird das
infizierte Programm ausgeführt, das Virus aber bleibt inaktiv (und Sie
können es mit CLEAN oder TBCLEAN (besser!) versuchen).
----------------------------------------------------------------------
" Programm normal beendet, Teile des Systems sind aber verändert !"
Das letzte Programm wurde beendet, ohne im Speicher zu bleiben, aber
einige Daten in Ihrem Rechner wurden verändert zurückgelassen.
NEMESIS sucht nach Veränderungen bei
- Interrupts, die für Viren von Interesse sein könnten
- Speichergröße, sowohl im normalen Speicher als auch im upper memory
- Speicherkontrollblöcken (auch UMB-Blöcke)
- DOS-Stacks (Anzahl und Größe der Stacks)
- DOS-Buffern (Anzahl der Buffer)
- DOS-Code
- Geräte-Treiber-Kette
- Disketten-Treiber-Kette
Fast in jedem Fall kann der alte Zustand wiederhergestellt werden,
allerdings gibt es Ausnahmen. Nur zwei Beispiele :
Das zuletzt beendete Programm wurde als OVERLAY geladen und die
ladende "SHELL" ist noch aktiv. ( Beispiel : D'Bridges DB.EXE ist die
SHELL und DB.???, selbst EXE-Dateien, sind die Overlays).
Bedenken Sie, daß NEMESIS seine Daten nicht "pro Programm" sondern
"pro Rechner" sammelt. Deshalb kann der Zustand auch nicht
"automatisch" restauriert werden.
Lassen Sie gesunden Menschenverstand walten.
Unter 4DOS kann der Interrupt 2F nicht restauriert werden, da sonst
4DOS beendet würde.
----------------------------------------------------------------------
" ACHTUNG ! Daten im Schreibpuffer wurden verändert ! "
" Sie sollten unbedingt abbrechen "
Diese Warnung bekommen Sie, wenn NEMESIS bemerkt, daß die Daten, die
ein Programm schreiben will, noch vor dem Schreiben verändert wurden,
auch wenn die Reihenfolge, in der etwas geschrieben werden soll,
nachträglich verändert wird. Gerade das letztere kann aber "normal"
sein, etwa wenn ein CACHE-Programm den Schreibzugriff optimiert hat.
Speziell erwähnt sei hier SMARTDRV, ein Cache von Microsoft.
Es schreibt, wie und wann es will und sortiert die Daten nach Bedarf.
Leider wird dadurch der Aufwand für den Schutz Ihrer Daten sehr groß.
----------------------------------------------------------------------
" WARNUNG ! SMARTDRV 4.0 und NEMESIS gemeinsam im Speicher kann
Probleme geben"
Sie haben SMARTDRV.EXE gerade gestartet. Seien Sie sicher, daß Sie
Probleme mit SMARTDRV bekommen werden, mit oder ohne NEMESIS im
Speicher. Lesen Sie die Notiz über SMARTDRV im Anhang.
====================================================================
ERRORLEVELS von NEMESIS
====================================================================
Wenn NEMESIS beendet wird, gibt es verschiedene ERRORLEVELS zurück,
die in Batchdateien benutzt werden können. Ein ERRORLEVEL ungleich
Null bedeutet dabei, daß ein Fehler auftrat.
1 : falsches oder unbekanntes Betriebssystem.
2 : NEMESIS wurde mit LOADHI oder LOADHIGH hochgeladen.
3 : keine freie Nummer im Int 2Fh. Gesucht wird von 0c0 bis 0ff.
4 : NEMESIS.BIN nicht gefunden oder defekt.
5 : Falscher Befehl in der Kommandozeile oder in NEMESIS.CFG.
6 : Multishell (windows, desqview etc) festgestellt.
7 : Sie versuchten NEMESIS zu beenden, bevor es resident war.
8 : Das residente NEMESIS läßt sich jetzt nicht beenden.
9 : Fehler beim Lesen der Festplatte während der Suche nach
geschützten Dateien.
10 : DOS-Fehler während der Suche nach geschützten Dateien.
255 : NEMESIS ist defekt, zerstört, verändert oder infiziert.
====================================================================
ANHANG
====================================================================
1. Bekannte Fehlalarme
--------------------
a) 'Achtung ! Jemand versucht, direkt in die FAT zu schreiben."
- Der Schutz der FAT sollte problemlos mit DOS 3.3 und DOS 5.0
funktionieren. Mit DOS 4.01 können Fehlalarme auftreten.
Geben Sie dann den Befehl "FAT=AUS" an.
b) ' Versuch, eine geschützte Datei zu verändern : COMMAND.COM '
- Die Version 1.30 von D'Bridge (ein EMAIL-Programm) fummelt bei
jedem Start am Befehlsinterpreter (meist COMMAND.COM) herum.
2. Fehler, Eigenheiten, Notizen, Inkompatibilitäten :
--------------------------------------------------
INT 2F: Manche speicherresidenten Programme nehmen an der Kommunikation
über den Interrupt 2F teil, indem Sie zunächst den vorigen Handler
bedienen, dann selbst aktiv werden und zum Schluss die Kontrolle
wieder abgeben. Wenn ein solches Programm NACH NEMESIS geladen wird,
führt das dazu, daß NEMESIS keinerlei Befehle (wie zum Beispiel
"ENDE" oder "AUS" ) mehr annimmt, da es sehr genau untersucht, aus
welcher Code-Umgebung (also aus welchem Programm) ein solcher Befehl
kommt.
Das Problem kann mit jeder Software auftreten, die auf das
Funktionieren unter Windows zugeschnitten ist. Sie müssen dann
entweder dieses TSR entfernen oder neu Booten.
Diese strenge Kontrolle ist notwendig, andernfalls könnte jedes
Virus NEMESIS "AUS" schalten.
KEYB.EXE: Wenn Sie NEMESIS in Ihre AUTOEXEC.BAT aufnehmen, dann sollten Sie es
HINTER KEYB.EXE stellen.
Sonst wird folgendes passieren : KEYB.EXE ist ein TSR, NEMESIS wird
Sie also um Erlaubnis fragen, allerdings wird NEMESIS keine Taste
von Ihnen erhalten (KEYB.EXE von Microsoft hat die Tastatur
übernommen....).
SSTOR :
STACKER :
NOVELL : Werden erkannt und eine solche Partition wird nicht auf Sektor-Ebene
geschützt.
Unter NOVELL schaltet NEMESIS intern auch den Befehl "INIT" ab.
Wenn Sie SSTOR benutzen ,eine RAMDISK installiert haben, und dazu
noch einen Busmaster-DMA-Kontroller (Adaptec...) benutzen, sollten
Sie unbedingt SSTOR mit dem Befehl "/HIDMA" versehen. Ansonsten
bootet Ihr Rechner bei einem Zugriff auf die Ramdisk, falls NEMESIS
EMS für CODE benutzt.
ASSIGN,SUBST,JOIN:
NEMESIS ist in der Lage "im Vorbeigehen" die Befehle ASSIGN, SUBST,
JOIN aufzuheben. Dadurch wird es möglich, auch Partitionen, die
damit logisch umgelegt wurden, auf Sektor-Ebene zu schützen.
Das Verfahren wurde unter DOS 3.3, DOS 5.0, DR-DOS 5.0 und DR-DOS
6.0 getestet. Mit anderen DOS-Versionen wird es möglicherweise nicht
funktionieren, dann werden diese Partitionen wie STACKER-Laufwerke
behandelt (siehe oben).
Nachdem NEMESIS alle Dateien gefunden hat, wird der ursprüngliche
Zustand von JOIN, SUBST und ASSIGN wieder hergestellt.
CLUSTER/
SEKTOREN: Der Schutz auf Cluster-Ebene funktioniert nur mit einer Sektor-Größe
von 512 Byte.
CACHE : Wenn Sie einen Festplatten-Cache benutzen und verzögertes Schreiben
eingestellt ist, werden Sie sehr viele Fehlalarme erhalten. Der
Zusammenhang zwischen dem Befehl "Schreibe" und der "Ausführung"
"es wird geschrieben" geht bei verzögertem Schreiben verloren und
NEMESIS weiß nicht mehr, ob ob ein Zugriff erlaubt ist, oder nicht.
SCHALTEN SIE VERZÖGERTES SCHREIBEN AB, WENN SIE NEMESIS BENUTZEN !
SMARTDRV: Insbesondere mit SMARTDRV werden Sie sehr viele Fehlalarme der Art
"Versuch, direkt in die FAT zu schreiben" erhalten.
Deshalb schaltet NEMESIS auch auf FAT=AUS, wenn es SMARTDRV
entdeckt.
Warnung :
--------
Besonders SMARTDRV 4.0 ist ziemlich gefährlich, da es verzögertes
Schreiben als Voreinstellung benutzt. Um die größten Probleme zu
vermeiden lädt NEMESIS sich nicht ins EMS, wenn es SMARTDRV 4.0
entdeckt. Allerdings löst das nicht das Problem, daß SMARTDRV 4.0
keinerlei Zusammenarbeit mit anderen Programmen zeigt. Das bedeutet
konkret : nichts kann SMARTDRV dazu bringen, seine Daten in einem
kritischen Augenblick NICHT zu schreiben. Wenn NEMESIS gerade dabei
ist, einen Sektor zu lesen, kann es vorkommen, daß in genau
demselben Moment SMARTDRV versucht, andere Daten zu schreiben.
Dadurch kann es zu Datenverlust kommen, da NEMESIS seine internen
Daten nur je einmal pro Schreibzugriff besetzt (keine Re-Entrance).
Wir empfehlen deshalb DRINGEND SMARTDRV so zu konfigurieren, daß es
keine Schreibverzögerung benutzt !
Dann wird zusammen es mit NEMESIS auch keinerlei Probleme geben.
Bemerkung am Rande :
--------------------
Wenn Sie SMARTDRV 4.0 mit Schreibverzögerung benutzen und NEMESIS
eine Warnung bringt (z.B., weil ein Bootsektor oder eine geschützte
Datei verändert werden soll), können Sie entweder den Schreibzugriff
erlauben oder gleich booten.
Wenn Sie nämlich den Schreibzugriff untersagen, dann wird SMARTDRV
eine Meldung bringen : "Datenfehler, Wiederholen (W) ? ".
Sie können nicht "I"gnorieren oder "A"bbrechen !
Und damit es nicht ganz so einfach wird, müssen Sie auch nicht "W"
eingeben, sondern "R", für das englische "RETRY".
VIDRAM : Seit Version 0.99 sollten alle Probleme mit VIDRAM ausgeräumt sein.
GRAPHIC : Grafik-Programme können Probleme bekommen, wenn NEMESIS eine Warnung
bringt. Immerhin : zumindest die Daten des Grafik-Modus 12h
(Standart-VGA-Modus mit 640*480) werden vollständig gesichert und
wiederhergestellt.
SIDEKICK: von Borland
Wenn NEMESIS innerhalb SIDEKICK eine Warnung bringen will, ist es
unmöglich, eine Antwort-Taste zu erhalten, da SIDEKICK die Tasten zu
dieser Zeit nicht weitergibt. Im Ergebnis wartet NEMESIS auf eine
Taste, die es nie erhalten kann. Deshalb installiert sich NEMESIS
auch nicht, wenn SIDEKICK vorher geladen wurde, und es sorgt dafür,
daß SIDEKICK nicht geladen werden kann. Entfernen Sie NEMESIS, wenn
Sie SIDEKICK brauchen, entfernen Sie SIDEKICK, wenn Sie NEMESIS
brauchen.
F-Prot: VIRSTOP.EXE (Teil des F-PROT-Pakets) beginnt seine Installation
damit, daß es den Prozessor in den Einzelschritt-Modus versetzt und
versucht, eine Interuppt-Kette zu verfolgen, die auch durch NEMESIS
führt. NEMESIS läßt es nicht zu, daß es im Einzelschritt-Verfahren
durchlaufen wird. Das ist eine typische Viren-Methode. VIRSTOP wird
deshalb sofort abgebrochen. Wenn Sie VIRSTOP installieren wollen,
dann starten Sie es, BEVOR NEMESIS im Speicher ist. Es genügt nicht,
NEMESIS "AUS" zu schalten.
MULTITASKER: (und was alles so genannt wird...)
NEMESIS wurde ursprünglich als "normales" Programm geschrieben, das
eine Handvoll DOS-Aufrufe überwacht, ein Abbild der Sektorbelegung
mit den momentanen Schreib-Aktivitäten vergleicht und ansonsten
darauf achtet, daß der Rechnerzustand sich nicht wesentlich
verändert.
Wir hatten einigen Ärger mit den "Multitaskern" und NEMESIS wurde
an vielen Stellen geändert, um es damit verträglich zu machen.
Unser größtes Problem war zum Schluß, daß NEMESIS Änderungen in
Ihren Rechner durchführen muß, die alle "multitasker" (windows,
desqview, dosshell, taskmax) für alle Programme im Rechner gelten
lassen. Das bedeutet : auch wenn Sie NEMESIS in einem Fenster
starten, wirken sich die wichtigsten Eingriffe von NEMESIS immer auf
ALLE Fenster aus. Allerdings kann nur das eine NEMESIS in dem einen
Fenster auf die Änderungen auch reagieren.... In allen anderen
Fenstern führt das zum Absturz.
Deshalb funktioniert NEMESIS nicht mit solchen "Multitaskern".
Das gilt im Besonderen für
DOSSHELL (MS-DOS 5.00) :
TASKMAX (DR-DOS):
DESQVIEW:
WINDOWS : Wenn Sie eines dieser Programme starten wollen, müssen Sie NEMESIS
entfernen.
Wenn eines dieser Programme schon läuft, wird NEMESIS sich nicht
installieren.
VM/386: (Echter Multitasker)
NEMESIS funktioniert gut unter VM/386 (auch mit Code im EMS), aber
Sie sollten den Befehl "INIT" nicht anwenden.
BBS-SYSTEME:
Sysops sollten NEMESIS nicht auf dem Boxrechner laufen lassen.
Aber wenn Sie wollen, dann geben Sie UNBEDINGT "BATCH" als Befehl !
Tragen Sie ihn in NEMESIS.CFG ein.
Sie müssen dann NEMESIS beibringen, was "gute" Programme sind.
Starten Sie alle Programme, die normalerweise laufen, besonders die
PACKER ! Starten Sie sie "wie im wirklichen Leben". Lesen Sie, was
oben über das Lernen geschrieben wurde. Schalten Sie NEMESIS nur bei
Bedarf ein ! Stellen Sie sich vor, ein User schickt Ihnen um 2:00
ein COM-File und NEMESIS will wissen, ob es erzeugt werden darf.....
D'BRIDGE: NEMESIS funktioniert gut mit DB 1.30 und 1.39, aber überhaupt nicht
mit DB 1.50 und 1.51. Es handelt sich offensichtlich um ein Problem
im FOSSIL von DB.EXE. NEMESIS wird DB sagen, es sei schon geladen
und wird sich nicht installieren, wenn DB aktiv ist.
CALIBRATE:(Norton-Utilities)
CALIBRATE benutzt dieselbe Technik wie TBSCAN, um die Adresse des
Codes zu finden, der die Festplatten-Ein/Ausgaben behandelt.
Deshalb wird NEMESIS CALIBRATE auch abbrechen.
** SCHALTEN SIE NEMESIS NICHT AUF "TBSCAN=AUS" UM ! ***
Entfernen (!!) Sie NEMESIS, wenn Sie CALIBRATE laufen lassen
(müssen) und starten Sie Ihren Rechner zunächst neu !
Ansonsten kann es zu Datenverlust kommen !
ROMSCAN : Wir können Sie (noch) nicht gegen Viren wie "EDDIE" schützen, die
eine direkte Methode benutzen, um die Festplatten-Behandlungsroutine
zu finden. Wenn Sie aber QEMM mit "STEALTHED ROMS" benutzen, kann
auch "Eddie" (mit NEMESIS im Speicher) nichts mehr ausrichten,
sondern er wird sofort aus dem Speicher geworfen (das wird er
sowieso).
EMS.SYS : (gehört zu C&T-NEAT-Computern)
Dieses Hilfsprogramm erzeugt EMS-Speicher auf NEAT-Rechnern.
Durch einen Fehler ist es nicht möglich, daß NEMESIS sich in diesen
EMS-Speicher kopiert und von dort arbeitet. Deshalb schaltet NEMESIS
intern auf "NOEMS" um. Geben sie nicht den Befehl "EMS" an, wenn Sie
diesen Treiber benutzen. NEMESIS kann das EMS dann immerhin für
Daten benutzen.
Es gibt noch einen weiteren Fehler in EMM.SYS : Wenn NEMESIS seine
internen Daten aktualisiert und dazu aus DOS-Buffern liest, die im
upper memory liegen, gibt dieser Treiber immer eine Fehlermeldung
zurück. Wenn Sie keine DOS-Buffer im upper memory haben, funktioniert
alles, ansonsten starten Sie NEMESIS mit NOFAT.
EMM386.EXE:NEMESIS untersucht, ob es möglich ist, direkt in den EMS-Speicher
zu schreiben. Wenn es NICHT möglich ist, schaltet es um auf "NOEMS".
Wenn Sie EMM386 benutzen, können Sie das beheben, indem Sie den
Befehl "EMS" benutzen.
BUSMASTER-DMA-Controller: (wie z.B. der ADAPTEC SCSI-Controller 1542B).
Mit solchen Controllern ist es offenbar nicht möglich für NEMESIS,
direkt einen Sektor zu lesen, wenn NEMESIS sich ins upper
memory geladen hat. Das scheint ein Problem mit der DMA zu sein.
Wenn NEMESIS das Problem erkennt, wird es einen 512 Byte großen
Speicherbereich im unteren Speicher anfordern.
Weitere Probleme wird es nicht geben.
NETWORK mit Absolut-Sektor-Modus : (z.B. Kirschbaum-Link /ABS)
Wenn NEMESIS nach STACKER sucht, muß es einen INT 25h mit ungültigem
Argument durchführen. Mit Kirschbaum-Link /ABS kann es bis zu 5
Sekunden dauern, bis der Aufruf beendet wird (386, 20MHz, ArcNet).
Das ist "normal", keine Angst, ihr Rechner funktioniert noch.
LOADHI,LOADHIGH :
Seit Version 1.10 erlaubt NEMESIS keinen externen "LOADHIGH"-Befehl
mehr, um NEMESIS ins upper memory zu laden. Stattdessen erhalten Sie
einen Hinweis und NEMESIS bricht ab.
STACKS : Es ist vielleicht notwendig, die Zeile "STACKS=9,256" in die
CONFIG.SYS aufzunehmen, wenn Sie sehr viele residente Programme
geladen haben.
UNDELETE/UNFORMAT/QU.EXE usw.
Wenn Sie eine Datei LÖSCHEN und wieder mit UNDELETE oder einem
ähnlichen Programm zurückholen, wird es nicht mehr als "geschützte
Datei" auf der Sektor-Ebene behandelt. Die Daten von NEMESIS wurden
schon aktualisiert. Auf normaler Ebene ist es weiterhin geschützt.
Wenn Sie wieder den Sektor-Schutz für solche Daten haben möchten,
geben Sie "NEMESIS NEU" ein.
FONTS: Programme, die eigene Zeichensätze benutzen, werden "seltsam"
aussehen, nachdem NEMESIS eine Warnung gebracht hat.
RAMFREI: ein Utility, das es ermöglicht, speicherresidente Programme nach
Wunsch zu entfernen. Es hat die Angewohnheit, selbst den Speicher
"ordnen" zu wollen. Wenn NEMESIS ins upper memory geht und dann
resident bleibt, wobei es 0 Byte Speicher reserviert, scannt RAMFREI
sich auf der Suche nach NEMESIS zu Tode. NEMESIS LOW löst dieses
Problem.
DOS 5.0: Wenn Sie in der CONFIG.SYS "DOS=HIGH,UMB" stehen haben, bleiben ca
100 Byte unbenutzter (und unbenutzbarer) Speicher übrig, nachdem
NEMESIS sich ins upper memory geladen hat und resident gegangen ist.
NEMESIS fordert 0 Byte Speicher an, DOS gibt ihm 100.
Was soll man da machen ?
--------------------------------------------------------------------
====================================================================
Erklärung von benutzen Begriffen
====================================================================
UMB / upper memory
Wenn Ihr Rechner mit mehr als 640 KB Speicher ausgestattet ist, haben
Sie auch Speicher, auf den unter DOS normalerweise nicht zugegriffen
werden kann. DOS kann normalerweise nur Speicher bis 640 KB verwalten.
Seit DOS 5.0 (und unter DR-DOS schon länger, ansonsten mit spezieller
Software) ist es aber möglich, DOS anzuweisen, diesen Speicher, der
über eine höhere Adresse als z.B. die Grafik-Karte angesprochen wird
(deshalb "upper memory", also "hoher Speicherbereich"), für Programme
nutzbar zu machen.
Grafisch dargestellt sieht das in etwa so aus :
0 KB 640 KB 1 MB
┌──────────┬────────────────────────┬────────┬─────────────┬─────┐
│intern/DOS│ Anwender-Programme │Bild- │upper memory │BIOS │
│ │ "konvent. Speicher " │schirm │ │ │
└──────────┴────────────────────────┴────────┴─────────────┴─────┘
Im Bereich "intern/DOS" sind die Adressen für die
Unterbrechungsroutinen abgelegt (s.u.) und es befindet sich dort auch
das Betriebssystem selber.
Im Bereich "Anwenderprogramme" werden Ihre Programme ausgeführt.
Im Bereich "Bildschirm" werden die Daten für die Bildschirmausgabe
abgelegt.
Der Bereich "upper memory" ist normalerweise unbenutzt, obwohl er
128 KB (und mehr) groß ist.
Der Bereich "BIOS" enthält die Grundausstattung Ihres Rechners mit
Befehlen, die sich auf allgemeine Ein/Ausgaben beziehen.
Wenn Sie ein Programm mit "LOADHIGH" ins upper memory laden, muß von
vorneherein dort genügend Speicher vorhanden sein, damit das Programm
- hineinpasst
- Daten ablegen kann
- noch mehr Speicher anfordern kann.
Ein COM-Programm wie NEMESIS benötigt zunächst 64 KB freien Speicher.
Wenn im upper memory weniger zur Verfügung steht, funktioniert
LOADHIGH nicht und das Programm wird in den konventionellen Speicher
geladen.
Wenn aber gerade noch 64 KB zur Verfügung stehen, wird das Programm in
das upper memory geladen. Braucht das Programm dann aber mehr Speicher
(z.B. um Daten abzulegen), wird es nicht funktionieren.
NEMESIS benötigt beim Start zwar zunächst nur 64 KB, dann aber bis zu
128 KB und mehr.
NEMESIS läßt sich aus diesem Grund nicht mit "LOADHIGH" hochladen,
sondern erledigt das nach getaner Arbeit selbst. Dazu reichen 4000
Byte freier Speicher im upper memory aus (bei EMS) oder 48 KB (ohne
EMS oder mit "NOEMS").
INTERRUPT 21H
Unsere Rechner haben alle einen kleinen CHIP der Firma INTEL eingebaut,
ohne den Sie nicht funktionieren könnten. Diese CHIPS nennt man "Mikro-
Prozessor" oder "CPU". Besonders interessant an diesen CHIPS ist, daß
ihre normale Arbeit durch ein Ereignis unterbrochen werden werden kann
("interrupted", daher "interrupt"). Wenn das geschieht, sichern die
Chips die Adresse des nächsten Befehls, führen die "neue Arbeit" aus,
und fahren mit dem ursprünglich nächsten Befehl fort. Es sind genau
255 mögliche Unterbrechungen vorgesehen, deren Adressen (die Adresse
des Programms, daß die Unterbrechung bearbeitet) gleich am Anfang im
Speicher stehen. Die Unterbrechungen sind von 0 bis 255
durchnummeriert, oder im Hex-Zahlensystem : von 00 bis FF.
Der "interrupt 21h" wird von Programmen wie "WORD", "PCTOOLS" und
allen anderen benutzt, wenn sie auf Dateien irgendwelcher Art
zugreifen möchten. Fast alle Funktionen von DOS können durch Angabe
von "INT 21h" benutzt werden.
Da DOS jedem Programm Zugriff auf jede Datei gewährt, scheint damit
wohl klar zu sein, daß auch jedem Virus Zugriff auf jede Datei gewährt
wird. Deshalb muß NEMESIS (wie auch VSHIELD, VIRSTOP, TBSCANX und
andere residenten Virenschützer) die Aufrufe des INT 21h überwachen,
um festzustellen, was das grade aktive Programm "so alles treibt".
NEMESIS überwacht dabei solche Aufrufe, die sich mit dem Öffnen von
Dateien befassen, mit Schreibzugriffen jeder Art, mit dem Starten von
Programmen. So kann frühzeitig ein eventueller Schreibzugriff
abgefangen werden, so früh sogar, daß nicht einmal DOS davon erfährt,
wenn Sie den Zugriff untersagen.
INTERRUPT 13H
Was oben geschrieben wurde, gilt im übertragenen Sinn auch für den
Interrupt 13h, wobei allerdings der Interrupt 13h nicht ausgeführt
wird, um DATEIEN , sondern um SEKTOREN zu bearbeiten. Er ist
gewissermaßen die Schnittstelle zwischen DOS und der Festplatte.
Wenn ein Programm den INT 21h ausführt, gibt es z.B. den Namen einer
Datei an.
Wenn es den INT 13h ausführt, gibt es SEKTOR, KOPF und ZYLINDER an,
auf die zugegriffen werden soll. Es hat zunächst nichts mit Dateien zu
tun, außer daß ein solcher SEKTOR auf diesem ZYLINDER und bei diesem
KOPF natürlich zu einer Datei gehören kann.
Es gibt allerdings auch Sektoren , die nicht zu Dateien gehören. Der
Boot-Sektor und Partitionssektor sind zwei Beispiele. Die Sektoren der
FAT gehören wie die Verzeichnisse ebenfalls nicht zu Dateien.
FAT (file allocation table, Datei-Belegungs-Tabelle)
Wenn Sie "WIN" eingeben, teilen Sie Ihrem COMMAND.COM mit, daß er
Windows starten soll.
Wie macht er das ? Er schaut im aktuellen Verzeichnis nach einer Datei,
die "WIN.COM" heißt.
Nicht gefunden.
Dann schaut COMMAND.COM in jedes Verzeichnis, das in PATH= aufgeführt
ist, ob sich dort eine Datei "WIN.COM" befindet.
Gefunden.
Er führt einen "int 21h" aus und übergibt als Dateinamen den Pfad, in
dem "WIN.COM" liegt und den Namen "WIN.COM".
DOS startet nun WIN.COM.
Was macht DOS das ?
Es holt sich aus dem Verzeichnis-Eintrag von WIN.COM die Nummer
des ersten Clusters. Diese Nummer ist nicht sichtbar, wenn man "DIR"
eingibt.
DOS sucht diesen Cluster und liest in in den Speicher ein.
Dann schaut DOS in der FAT nach dem nächsten Cluster, und liest ihn
ein, und so fort, bis der letzte Cluster dieser Datei eingelesen
wurde. Dann führt DOS diese Datei, die nun im Speicher liegt, aus.
Die FAT enthält also die Nummer und Reihenfolge aller Cluster aller
Dateien die sich auf der Festplatte (oder Diskette) befinden !
Wenn die FAT zerstört ist, ist Ihre Festplatte vergleichbar mit einem
dicken Buch ohne Inhaltsverzeichnis, ohne Seitenzahlen, und mit
willkürlich vertauschten Seiten. Sie können auf keine Datei zugreifen,
deren FAT-Eintrag zerstört ist.
CLUSTER / SEKTOR
Ihre Festplatte ist in gewissem Sinne auch vergleichbar mit einer
Schallplatte : sie enthält Dateien (Lieder), kann aber nicht selber
singen. Wie eine Schallplatte ist sie in Spuren unterteilt (Rillen),
aus dem Ihr Computer (Plattenspieler) die Dateien lesen (die Songs
abspielen) kann. Damit ist der Vergleich aber auch schon beendet.
Da manche Dateien ziemlich kurz sind, hat man die Spuren in kleinere
Abschnitte eingeteilt, die Sektoren. Ein Sektor ist normalerweise
grade so groß, daß er 512 Zeichen (=Byte) Information aufnehmen kann.
Dadurch kann man z.B. 17 kurze Dateien auf einer Spur sichern, man muß
sich nur die Sektoren merken, auf die sie geschrieben wurden. Diese
Aufgabe erledigt DOS mit der FAT.
Nun tritt aber folgendes Problem auf :
Wenn jeder Sektor einer 100 Megabyte Festplatte eine eigene Nummer in
der FAT beanspruchen würde, müsste die FAT 100*1024*1024/512 Einträge
haben.
Das sind 204800 Einträge ! Eine große Zahl, und man würde 3 Byte
brauchen, um auch den letzten Sektor zu nummerieren, die FAT müsste
also 3*204800 Byte groß sein, das sind 600 K-Byte. (Und Sie haben
ZWEI FATs.).
Das wäre sicher nicht sehr sinnvoll, denken Sie nur daran, daß die
meisten Programme mehr als einen Sektor auf Ihrer Festplatte belegen.
Deshalb hat man sich folgendes ausgedacht :
Jeweils 4 Sektoren (auf großen Festplatten können es auch mehr sein)
werden zusammen als ein "Cluster", also als ein Verband von Sektoren,
behandelt. Sie werden immer gemeinsam beschrieben, gelesen, gelöscht.
Wenn wir das Beipiel von oben nehmen : Sie haben 204800 Sektoren. Dann
(wenn 4 Sektoren als ein Cluster behandelt werden), sind das 51200
Cluster. Um 51200 Cluster zu nummerieren, benötigt man nur 2 Byte, die
FAT muß also 2*51200 Byte lang sein, das sind 102400 Byte.
Sie haben also dadurch schon 2*(600-100) K-Byte Platz auf der
Festplatte gewonnen, ein Megabyte.
Ein überzeugendes Argument für Cluster, finden Sie nicht ?
Es gibt Viren (einige bulgarische), die zufällig irgendwelche Cluster
und Sektoren mit irgendwelchen Zufallsdaten überschreiben. Es spielt
dabei überhaupt keine Rolle, ob diese Cluster zu Dateien,
Verzeichnissen, oder überhaupt zu etwas gehören. Diese Viren benutzen
dazu nicht DOS ("int 21h"), da DOS nur auf Dateien zugreifen kann.
Um Ihre Dateien gegen solche Viren zu schützen, müssen die Cluster und
Sektoren der Dateien direkt geschützt werden.
Es gibt auch Viren, die man Filesystem-Viren nennt. Sie verändern
kein einziges Programm. Sie ersetzen "nur" die Zahl im
Verzeichnis-Eintrag, die DOS angibt, wo sich der erste Cluster einer
Datei befindet, durch die Nummer des Clusters, auf dem sich das Virus
befindet. Wenn also der erste Cluster von COMMAND.COM die Nummer 20
hat, dann 21,22 usw., und das Virus im Cluster 10204 sitzt, dann ändern
diese Viren den Eintrag des ersten Clusters von COMMAND.COM im
Verzeichnis-Eintrag auf 10204 um. Immer, wenn Sie COMMAND.COM starten,
wird damit zuerst das Virus von DOS geladen und ausgeführt. Dieses
Virus muß sich den "echten" ersten Cluster selbstverständlich irgendwo
merken. Wir kennen Viren, die den echten ersten Cluster in die
unbenutzten Felder des Verzeichnis-Eintrags schreiben. Wenn Sie jemals
eine Warnung von NEMESIS erhalten, die sich auf die "reservierten
Daten" eines Verzeichniseintrags beziehen, dann schalten Sie am Besten
sofort ab ! Wenn solche Viren sich bei Ihnen ausbreiten können, bleibt
Ihnen zuletzt nur, die Festplatte neu zu formatieren, da Sie die
Dateien nicht "CLEAN"en können OHNE das Virus im Speicher.
----------------------------------------------------------------------
SMARTDRV,WINDOWS ist (tm) von Microsoft
VIDRAM,QEMM,DesqVIEW ist (tm) von Quaterdeck
andere sind (c) und (tm) und (r) von anderen.
----------------------------------------------------------------------
BESONDEREN DANK an Ralf Brown und sein Team für die Interrupt-Liste !
----------------------------------------------------------------------
Diese Beschreibung kann ebenso wie die anderen Dateien von NEMESIS
jederzeit von uns geändert werden.
Es besteht keine Gewähr, daß sie vollständig und ausreichend ist.
----------------------------------------------------------------------
Viel Spaß ! Und lassen Sie ihre NEMESIS-Kopie bald registrieren !
Email-Adressen für Rückfragen :
Robert Hörner , Fido 2:241/7518
Christian Sy , Fido 2:241/7516.1
W-7500-Karlsruhe, BRD, Februar 1993, Robert Hörner & Christian Sy
----------------------------------------------------------------------
ENDE DES TEXTES
----------------------------------------------------------------------