home *** CD-ROM | disk | FTP | other *** search
/ Chip Hitware 6 / Chip_Hitware_Vol_06.iso / chiphit6 / _virus / suspic / sdisk.doc < prev    next >
Text File  |  1996-07-10  |  24KB  |  464 lines
  1.  
  2. ┌───────────────────────────────────────────────────────────────────────────┐
  3. │                                                                           │
  4. │                         -   S   D   I   S   K   -                         │
  5. │                                                                           │
  6. │                     F E S T P L A T T E N S C H U T Z                     │
  7. │                                                                           │
  8. │                                                                           │
  9. │               Teil des Antiviren-Programmpakets SUSPICIOUS                │
  10. │                                                                           │
  11. │                         (c) 1996 Stefan Kurtzhals                         │
  12. │                                                                           │
  13. └───────────────────────────────────────────────────────────────────────────┘
  14.  
  15.  
  16. [ Systemvoraussetzungen ]────────────────────────────────────────────────────
  17.  
  18.     ■ 80286 oder 100% kompatibel
  19.     ■ MS-DOS 5.0-7.0 oder 100% kompatibel
  20.     ■ Festplatte, kompatibel zum PortLevel-Zugriff (AT-BUS, CHS, XCHS, LBA)
  21.  
  22.     Die speziellen Antistealth-Zugriffsmethoden sind nicht in der DOS-
  23.     Emulation von OS/2 und Windows möglich! Ein Aufruf von SDISK in diesen
  24.     Emulationen ist nicht sinnvoll, da evtl. aktive Stealthviren nicht
  25.     erkannt werden können.
  26.  
  27.  
  28. [ Einleitung ]───────────────────────────────────────────────────────────────
  29.  
  30.     Bei jedem Neustart des Rechners wird als erstes modifizierbares Programm
  31.     der Partitionssektor geladen und das dort enthaltene Startprogramm ausge-
  32.     führt. Dieses Programm prüft anhand der Partitionstabelle (MBR), welche
  33.     Partition aktiv ist, und lädt den Bootsektor dieser Partition. Erst da-
  34.     nach wird DOS geladen und ausgeführt. Diese zwei Sektoren, Partitions-
  35.     und Bootsektor, sind also für das Funktionieren des Systems äußerst
  36.     wichtig und sind dazu die Stelle, an der ein Virus als erstes noch vor
  37.     allen anderen Antiviren-Programmen aktiv werden könnte. Deshalb sind
  38.     diese beiden Sektoren ein häufiges Ziel vieler Viren, entweder zum Infi-
  39.     zieren (Partitions- oder Multipartiteviren) oder als Ziel der destruk-
  40.     tiven Funktion (Trojanisches Pferd oder destruktiver Virus). SDISK legt
  41.     Kopien des Partitions- und Bootsektors an, um später Veränderungen er-
  42.     kennen und wieder rückgängig machen zu können. Da Sektorviren bereits
  43.     beim Booten noch vor DOS aktiv werden, ist es nicht sehr einfach, einen
  44.     aktiven Bootsektorvirus mit Tarnkappenfunktion zu umgehen. SDISK benutzt
  45.     hierfür zwei Methoden:
  46.  
  47.       ■ Direkten Port-Level-Zugriff (CHS, XCHS, LBA)
  48.       ■ Direkter Einsprung in die BIOS-Disk-Interruptroutine
  49.  
  50.     Die erste Methode ist nur kompatibel zu IDE bzw. EIDE-Festplatten, die
  51.     sich an den WD-Standard halten und funktioniert nicht mit SCSI. Port-
  52.     Level-Zugriff auf neuere EIDE-Platten mit XCHS-Modus ist ebenfalls mög-
  53.     lich. Der Port-Level-Zugriff ist die effektivste Art des Zugriffs,
  54.     da 99% der Viren nur INT 13 benutzen, um Sektorzugriffe zu kontrollieren.
  55.     Bis jetzt sind nur zwei Viren bekannt, die auch Port-Level-Zugriff kon-
  56.     trollieren können; diese Methode (INT 76h) ist aber bei SDISK wirkungs-
  57.     los. Die zweite Methode, der direkte BIOS-Zugriff, ist kompatibler als
  58.     der Port-Level-Zugriff und funktioniert auch mit SCSI-Controllern. Aller-
  59.     dings muß das BIOS einen Einsprung haben, den SDISK erkennen kann. QEMM
  60.     im Stealth-Modus wird erkannt und steigert sogar die Wahrscheinlichkeit,
  61.     daß der direkte BIOS-Zugriff von SDISK funktioniert.
  62.  
  63.     Auf jeden Fall prüft SDISK ausführlich, ob der jeweilige Zugriffs-Modus
  64.     auch korrekt funktioniert. Stellt SDISK ein Kompatibilitätsproblem fest,
  65.     wird entweder der jeweilige Modus nicht genutzt oder eine Warnung ausge-
  66.     geben. Evtl. kann es notwendig sein, daß SDISK mit dem Parameter /NOPORT
  67.     oder /NOAS gestartet werden muß. Informationen darüber, welchen Modus
  68.     SDISK benutzt, erhält man bei der Angabe des Parameters /INFO.
  69.  
  70.  
  71. [ Installation und Benutzung ]───────────────────────────────────────────────
  72.  
  73.     SDISK sollte in der CONFIG.SYS installiert werden; da es ein normales
  74.     Programm und kein TSR ist, belegt es keinen Speicher. Folgende Zeile
  75.     sollte am Ende der CONFIG.SYS, aber vor allen anderen SUSPICIOUS-
  76.     Programmen wie SCRC oder SVS, eingefügt werden:
  77.  
  78.  
  79.        "INSTALL=X:\PFAD\SDISK.EXE {/parameter}"
  80.  
  81.  
  82.     INSTALLHIGH ist nicht notwendig, die Parameter sind optional. Wichtig ist
  83.     die Angabe von '.EXE', da sonst der Befehl nicht ausgeführt wird.
  84.  
  85.     Beim ersten Start wird SDISK melden, daß noch keine Kopie der Sektoren
  86.     angelegt wurde. Wenn SDISK die Dateien DISKDATA.SVS, ZEROTRK.SVS und
  87.     ODMTRK.SVS (nur bei Verwendung des Ontrack Diskmanagers vorhanden)
  88.     erzeugt hat, sollten Sie diese Dateien zusammen mit SDISK.EXE auf eine
  89.     startfähige DOS-Systemdiskette kopieren. Wenn Sie später die Partition
  90.     verändern und die Dateien von SDISK aktualisieren, sollte auf jeden Fall
  91.     auch die Rettungsdiskette aktualisiert werden!
  92.  
  93.     Bei jedem Neustart wird SDISK jetzt das System überprüfen und Sie darauf
  94.     hinweisen, falls der Partitions- oder Bootsektor verändert wurde. SDISK
  95.     zeigt in diesem Fall an, welche Sektoren verändert wurden und bietet die
  96.     Option, die Veränderung rückgängig zu machen. Desweiteren prüft SDISK,
  97.     wie der Inhalt der Sektoren verändert wurde und benutzt dazu eine
  98.     Heuristik, um verdächtige Veränderungen zu erkennen.
  99.  
  100.     Hat SDISK bei der Initialisierung Probleme, müssen evtl. Parameter wie
  101.     "/NOPORT" oder "/NOAS" angegeben werden. SDISK sollte im Regelfall
  102.     selbständig erkennen, ob der Port- und BIOS-Zugriff auf diesem System
  103.     nicht möglich ist; eine hundertprozentige Erkennung ist bei der Vielfalt
  104.     an verschiedenen Festplatten-Controllern und Bus-Systemen nicht möglich.
  105.  
  106.     Desweiteren können Sie ihre Partition mit SDISK 'immunisieren'. Dabei
  107.     wird die aktuelle Partition ausgelesen und der existierende Programmcode
  108.     mit einem speziellen Antivirus-Startsektor überschrieben. Dieser meldet
  109.     bei einem Systemstart sofort, wenn ein Virus aktiv ist.
  110.     (Natürlich muß nach der Immunisierung die Datei von SDISK aktualisiert
  111.      werden, falls Sie SDISK vor der Immunisierung installiert hatten.)
  112.  
  113.        "SDISK /IMMUNIZE=HD0"
  114.  
  115.     Hinweis zu Windows 95:
  116.     ~~~~~~~~~~~~~~~~~~~~~~
  117.     SDISK sollte nicht in der DOS-Box gestartet werden, da hier kein Anti-
  118.     Stealth-Zugriff möglich ist. Allerdings kann SDISK normal auf die
  119.     Festplatte zugreifen, wenn es (wie üblich) per INSTALL=... in der
  120.     CONFIG.SYS installiert wird, da hier ja Windows95 noch nicht aktiv ist.
  121.     SDISK ist in der Lage, den 32-Bit-Zugriff von Windows95 auszunutzen
  122.     und in der DOS-Box Veränderungen an der Partition vorzunehmen.
  123.  
  124.  
  125. [ Die Startdiskette ]────────────────────────────────────────────────────────
  126.  
  127.     Sie sollten unbedingt eine Startdiskette anlegen, die die notwendigen
  128.     Programme und Daten enthält, um im Fall der Fälle gut gerüstet zu sein.
  129.     Wenn nämlich die Partition oder der Bootsektor erst einmal zerstört oder
  130.     infiziert sind, kann es vorkommen, daß Sie nicht mehr von der Festplatte
  131.     starten oder überhaupt nicht mehr auf die Platte zugreifen können.
  132.     Sie müssen darauf achten, daß diese Startdiskette virenfrei ist und immer
  133.     schreibgeschützt bleibt. Außerdem muß sie die gleiche DOS-Version ent-
  134.     halten, die Sie auch auf ihrer Festplatte benutzen.
  135.  
  136.     Wenn Sie die Partitionierung ihrer Festplatte geändert haben, müssen Sie
  137.     die aktualisierten Dateien DISKDATA.SVS und ZEROTRK.SVS direkt auf die
  138.     Startdiskette bzw. eine gesonderte Datendiskette kopieren!
  139.  
  140.     Sie erstellen eine solche Startdiskette mit:
  141.  
  142.       "SYS C: A:"
  143.  
  144.     oder
  145.  
  146.       "FORMAT A: /S"
  147.  
  148.     Neben den Systemdateien sollten folgende Dateien ebenfalls auf dieser
  149.     Diskette vorhanden sein:
  150.  
  151.       FDISK
  152.       SYS
  153.       FORMAT
  154.       KEY*.*  (für die deutsche Tastaturbelegung: 'KEYB GR')
  155.  
  156.       SDISK.EXE
  157.       DISKDATA.SVS
  158.       ZEROTRK.SVS
  159.       ODMTRK.SVS (nur bei Verwendung des Ontrack Diskmanagers vorhanden)
  160.  
  161.      SDISK.EXE sollte eher auf eine gesonderte Datendiskette gespeichert
  162.      werden, mit einer sauberen Notfall-Kopie auf der Startdiskette -
  163.      und - falls vorhanden:
  164.  
  165.       NORTON DISK DOCTOR / DISKFIX / SCANDISK o.ä.
  166.       DISKEDIT
  167.  
  168.  
  169. [ SDISK mit aktivem Virus im Speicher ]──────────────────────────────────────
  170.  
  171.     Meldet SDISK direkt bei der Initalisierung oder im späteren Betrieb einen
  172.     aktiven Stealthvirus, sollten Sie sofort mit MEMCHK prüfen, ob wirklich
  173.     ein Virus im Speicher aktiv ist. Manche Festplatten mit großer Kapazität
  174.     benötigen spezielle Treiber, um DOS einen korrekten Zugriff auf die ge-
  175.     samte Festplatte zu ermöglichen. Diese Treiber arbeiten oft genau wie ein
  176.     Virus und sind nicht ohne weiteres davon zu unterscheiden. SDISK sollte
  177.     in der Lage sein, solche Treiber zu erkennen (getestet mit EZ-Drive und
  178.     dem Ontrack Diskmanager).
  179.     Leider ist ein vollständiger Schutz gegen Stealthviren auf solchen
  180.     Systemen nicht möglich; in der Regel kollidieren echte Viren mit diesen
  181.     Treibern und bringen das System zum Absturz. Eine Reinigung hat dann oft
  182.     zur Folge, daß der Treiber entfernt und die Partition unerreichbar wird.
  183.     Deshalb speichert SDISK neben den Partitions- und Bootsektoren die ersten
  184.     (maximal) 63 Sektoren der Festplatte in der Datei ZEROTRK.SVS. Diese
  185.     ersten Sektoren der Festplatte enthalten auch den Programmcode der
  186.     Festplatten-Treiber und SDISK kann bei Bedarf diese Sektoren wieder-
  187.     herstellen ("/ZEROTRACK:RESTORE").
  188.  
  189.     Ist nun wirklich ein Virus wie z.B. <Partity_Boot.B> im Speicher, meldet
  190.     SDISK einen aktiven Stealthvirus: dem System wird ein angeblich sauberer
  191.     Partitions- bzw. Bootsektor vorgetäuscht. SDISK kann mit dem Port-Level
  192.     und BIOS-Zugriff fast alle Sektorviren umgehen und bietet die Option an,
  193.     die vom Virus gelieferte Partition zurückzuschreiben, was effektiv eine
  194.     Entfernung des Virus bedeutet. Sollten Sie bereits die Datei DISKDATA.SVS
  195.     angelegt haben, sollten Sie diese zurückspielen und nicht auf die vom
  196.     Virus gelieferten Daten vertrauen. Viren sind nicht gerade bekannt für
  197.     ihre Zuverlässigkeit. Kann man aber mit dem System weiterhin normal
  198.     arbeiten, kann man davon ausgehen, daß der Virus funktioniert; eine
  199.     fehlerhafte Stealthroutine hätte zur Folge, daß die Festplatte nicht
  200.     mehr erreichbar wäre. Zur Sicherheit überprüft SDISK die vom Virus
  201.     gelieferten Partitionsangaben nach: stimmen diese nicht mit den real
  202.     vorhandenen Bootsektoren überein oder enthält der MBR ungültige Einträge
  203.     (wie z.B. beim <Monkey.B>-Virus) meldet SDISK dies.
  204.  
  205.     Hinweis: Nach erfolgter Reinigung mit aktivem Virus müssen Sie sofort das
  206.              System ausschalten, um den Virus im Speicher zu deaktivieren!
  207.              Nicht mit <STRG-ALT-ENTF> neustarten, einige Viren bleiben nach
  208.              dem Software-Reset aktiv im Speicher! Der Rechner sollte
  209.              komplett ausgeschaltet werden.
  210.  
  211.     Hat der Virus keine Stealthfunktion und kann er nicht direkt von SDISK
  212.     umgangen werden, kann der Virus mit einiger Wahrscheinlichkeit mit der
  213.     Immunisierungsfunktion von SDISK ("SDISK /IMMUNIZE=HD0") entfernt werden
  214.     (die aber nur Bootviren im Partitionssektor entfernt).
  215.  
  216.  
  217. [ Reinigung ohne vorher angelegte Kopien ]───────────────────────────────────
  218.  
  219.     Besonders einfach ist das Entfernen eines aktiven Virus, wenn dieser eine
  220.     sogenannte Tarnkappen-Funktion (Stealth) hat. Solche Viren täuschen dem
  221.     Anwender ein völlig unverändertes und sauberes System vor. SDISK nutzt
  222.     das aus und entfernt den Virus einfach, indem die vom Virus gelieferte,
  223.     saubere Kopie der Partition am Virus vorbei zurückgeschrieben wird.
  224.     Nach dem Zurückschreiben müssen Sie unbedingt -sofort- den Rechner aus-
  225.     schalten, um den Virus im Speicher zu deaktivieren!
  226.     SDISK überprüft die vom Virus gelieferten Angaben auf ihre Korrektheit,
  227.     bei ungültigen Sektoren zeigt SDISK eine Warnung an, daß die Vorlagen
  228.     nicht für die Reinigung benutzt werden sollten.
  229.  
  230.     Hat der Virus keine Stealthfunktion, benutzt SDISK eine andere Methode,
  231.     den Viruscode zu entfernen. Diese Methode funktioniert ähnlich wie der
  232.     undokumentierte DOS-Befehl "FDISK /mbr": der aktuelle Partitionssektor
  233.     wird gelesen, die Größenangaben der Partition usw. ausgewertet und dann
  234.     ein sauberer Partitionssektor mit den ermittelten Daten zurückge-
  235.     schrieben. Diese Methode funktioniert deshalb, weil Viren meistens nur
  236.     den Programmcode des Partitionssektors ändern, aber nicht die Angaben
  237.     über Größe oder Position der Partition und logischen Laufwerke.
  238.  
  239.     Aufruf der Immunisierungs- und Reinigungsfunktion:
  240.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  241.  
  242.       "SDISK /IMMUNIZE=Laufwerk"
  243.  
  244.     wobei 'Laufwerk' den Angaben "FD0", "FD1" und "HD0" bis "HD7" entspricht.
  245.     (FD = Diskettenlaufwerk, HD = Festplatte)
  246.  
  247.     Die Reinigung des Bootsektor kann problemlos mit dem DOS-Befehl
  248.  
  249.       "SYS A: C:"
  250.  
  251.     von ihrer Startdiskette aus das System erfolgen.
  252.  
  253.     Mit dem Immunisierungs-Befehl können neben Partition auch Bootsektoren
  254.     von Disketten gereinigt werden.
  255.  
  256.  
  257. [ Neuberechnung der Partitionstabelle ]──────────────────────────────────────
  258.  
  259.     Für den Fall, daß ein Virus wie etwa <Monkey.B> oder <Neuroquila> eine
  260.     ungültige Partitionstabelle während der Infektion eingesetzt hat, kann
  261.     SDISK mit der RESCAN-Funktion eine völlig neue Partitionstabelle anhand
  262.     der noch vorhandenen Bootsektoren berechnen. Dazu durchsucht SDISK die
  263.     gesamte Festplatte nach Bootsektoren, überprüft diese auf korrekte
  264.     Größenangaben und berechnet aus diesen Angaben eine neue Partitions-
  265.     tabelle. Desweiteren durchsucht SDISK kritische Bereiche der Festplatte
  266.     nach Kopien des Partitionssektors, wie sie in der Regel von Bootviren
  267.     in diesen Bereichen oft angelegt werden. Auch diese Sektoren werden auf
  268.     ihre Korrektheit hin überprüft und nur verwendet, falls die Partitionen
  269.     wirklich vorhanden sind. Nach Beendigung der Suche zeigt SDISK ein
  270.     Auswahlmenü an, in dem die Anzahl der gefundenen Kopien, das Resultat
  271.     der MBR-Neuberechnung und eine Partitionsübersicht angezeigt wird.
  272.     Der Anwender kann jetzt durch alle gefundenen Partitionen blättern und
  273.     selber entscheiden, welche Partitionssektoren er übernehmen möchte.
  274.  
  275.  
  276. [ Immunisierung von Startsektoren ]──────────────────────────────────────────
  277.  
  278.     SDISK stellt einen besonderen Antivirus-Partitions- bzw. Bootsektor zur
  279.     Verfügung, der bei jedem Neustart kurz das System auf aktive Viren prüft.
  280.     Ist ein Virus aktiv, meldet der Sektor veränderte Interrupts, z.B.
  281.     INT 13h oder INT 10h oder einen veränderten Bootsektor. In diesem Fall
  282.     sollten Sie den Rechner sofort ausschalten, von einer sauberen Diskette
  283.     booten und das System auf Virenbefall überprüfen. Der Bootvorgang kann
  284.     jedoch auch mit <ESC> fortgesetzt werden, was allerdings nicht empfohlen
  285.     wird.
  286.     Die Immunisierungsfunktion ist einmal für die Partition von Festplatten
  287.     und für Bootsektoren von Disketten verfügbar, wo sie gleichzeitig als
  288.     Reinigungsfunktion dient.
  289.  
  290.     Der Immunisierungsvorgang ist nicht destruktiv!
  291.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  292.     Sie können jederzeit ihre Partition oder Disketten immunisieren, ohne
  293.     Datenverlust befürchten zu müssen. Die Immunisierungsfunktion arbeitet
  294.     ähnlich wie "FDISK /mbr", nur daß anstatt eines Standard-DOS-MBRs ein
  295.     spezieller Antivirus-Code benutzt wird.
  296.  
  297.     Wichtig: Startdisketten können nicht immunisiert werden! Wird von einer
  298.     immunisierten Diskette gebootet, startet das System sofort von der
  299.     Festplatte. Von immunisierten Startdisketten kann nicht mehr gebootet
  300.     werden.
  301.  
  302.     Aufruf der Immunisierungsfunktion:
  303.     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  304.  
  305.       "SDISK /IMMUNIZE=Laufwerk"
  306.  
  307.     wobei 'Laufwerk' den Angaben "FD0", "FD1" und "HD0" bis "HD7" entspricht.
  308.     (FD = Diskettenlaufwerk, HD = Festplatte)
  309.  
  310.     Die Immunisierung ist kompatibel zum Bootmanager von OS/2.
  311.  
  312.     Bei jedem Neustart des Systems zeigt der immunisierte Startsektor die
  313.     Meldung:
  314.  
  315.     "SUSPICIOUS AV-MBR 1.45" bzw. "SUSPICIOUS AV-BOOT 1.45"
  316.  
  317.     Wird kein weiterer Text angezeigt, wurde kein Virus erkannt und der
  318.     Systemstart wird normal fortgesetzt. Wird jedoch ein Virus gefunden,
  319.     erscheinen folgende Meldungen:
  320.  
  321.     "Bootsektor!"  - Der Bootsektor der Festplatte wurde verändert. Eine
  322.                      Reinigung ist mit SDISK oder SYS A: C: möglich.
  323.  
  324.     "INT nn!"      - Der gemeldete Interrupt wurde verändert und zeigt
  325.                      auf einen verdächtigen Code-Bereich.
  326.  
  327.     "Partition!"   - Der Disketten-AV-Bootsektor konnte die Partition der
  328.                      Festplatte nicht finden. Dies ist keine Viruswarnung,
  329.                      sondern ein Hinweis auf ein Kompatibilitätsproblem!
  330.  
  331.     Hinweise:
  332.     - In der jetzigen Version kann der Antivirus-Sektor von SDISK nur
  333.       aktive Viren erkennen, aber nicht entfernen.
  334.     - Der Interrupt-Test kann evtl. Probleme mit der Shadow-RAM-Option
  335.       bei einigen BIOS-Versionen haben.
  336.     - Zeigt der AV-MBR eine Warnung an, kann der Bootvorgang mit <ESC>
  337.       fortgesetzt werden.
  338.       
  339.  
  340. [ SDISK und andere Betriebssysteme als DOS ]─────────────────────────────────
  341.  
  342.     SDISK wurde speziell für DOS-Systeme entwickelt, funktioniert aber auch
  343.     mit Partitionen von anderen Betriebssystemen wie z.B. OS/2. Die
  344.     Reinigungs- und Immunisierungsfunktion ist kompatibel zum OS/2-Boot-
  345.     manager. Im Gegensatz zu einigen anderen Antiviren-Programmen prüft SDISK
  346.     den aktiven Bootsektor, was besonders in Hinsicht auf OS/2 Bedeutung hat.
  347.     Ist Ihr OS/2-System z.B. mit dem <Form.A>-Virus infiziert, werden einige
  348.     bekannte Antiviren-Programme keine Infektion melden, obwohl der Virus
  349.     dem Programm bekannt ist!
  350.     Sollten Sie Probleme mit ihrer Systemkonfiguration haben, können Sie dem
  351.     Autor ihren Partitionssektor, Bootsektor und eine Beschreibung der Sys-
  352.     temkonfiguration schicken, damit SDISK angepaßt werden kann.
  353.  
  354.     Generell sollte SDISK aber nicht direkt unter OS/2, Windows oder anderen
  355.     Betriebssystemen als DOS aufgerufen werden! Die erweiterten Zugriffs-
  356.     Modi sind unter solchen Betriebssystemen nicht möglich, was die
  357.     Effektivität von SDISK mindert.
  358.  
  359.  
  360. [ SCSI, EIDE und spezielle Festplattencontroller ]───────────────────────────
  361.  
  362.     SDISK ist speziell für AT-BUS-Festplatten ausgelegt, da hier der Port-
  363.     Level-Zugriff möglich ist, mit dem aktive Stealthviren ohne Probleme
  364.     umgangen werden können. Auf SCSI- und einigen EIDE-Systemen ist diese
  365.     Art des Zugriffs nicht möglich. Hier bleibt noch der BIOS-Zugriff, der
  366.     kompatibler als der Port-Zugriff, aber auch etwas weniger effektiv gegen
  367.     Viren ist. Sollten beide Arten des Festplattenzugriffs nicht möglich
  368.     sein, kann SDISK keine aktiven Viren umgehen und meldet dies auch.
  369.     SDISK unterstützt in der jetzigen Version CHS, XCHS, LBA und ODM-LBA
  370.     Sektorübersetzungen.
  371.  
  372.  
  373. [ Die Parameter von SDISK ]──────────────────────────────────────────────────
  374.  
  375.     /IMMUNIZE=Laufwerk
  376.     ~~~~~~~~~~~~~~~~~~
  377.     SDISK überschreibt den Code der Partition oder den Bootsektor mit einem
  378.     speziellen Antivirus-Startsektor, übernimmt aber alle Größenangaben des
  379.     alten Partitions- bzw. Bootsektors. Mit der Immunisierung wird zum einem
  380.     ein Virenbefall beim Starten des Systems sofort gemeldet, zum anderen ist
  381.     mit diesem Parameter eine Reinigung von infizierten Disketten möglich.
  382.     Die Angabe von 'Laufwerk' entspricht den Angaben "FD0", "FD1" und "HD0"
  383.     bis "HD7" (FD = Diskettenlaufwerk, HD = Festplatte).
  384.  
  385.     "SDISK /IMMUNIZE=HD0" z.B. immunisiert also die erste Festplatte (C:).
  386.  
  387.     Hinweis:
  388.     Die Immunisierung geschieht, ohne daß die aktuellen Daten gelöscht
  389.     werden. Nur der (infizierte) Programmcode wird anhand intern ge-
  390.     speicherter Vorlagen ersetzt.
  391.  
  392.     Die Immunisierung ist nicht möglich, wenn das System ständig den Boot-
  393.     sektor verändert. Allerdings ist die Immunisierung kompatibel zu dem
  394.     OS/2-Bootmanager und zu der OS/2-Dualbootfunktion.
  395.  
  396.     /RESCAN
  397.     ~~~~~~~
  398.     SDISK berechnet eine neue Partitionstabelle und fügt diese zusammen
  399.     mit dem SDISK-MBR-Partitionscode in den Partitionssektor ein. Damit
  400.     können Bootviren wie etwa <Neuroquila> oder <Monkey.B> entfernt werden,
  401.     obwohl diese eine ungültige Partitionstabelle verwenden. Desweiteren
  402.     sucht SDISK im RESCAN-Modus nach Kopien des Partitionssektors, wie sie
  403.     in den meisten Fällen von Viren innerhalb der ersten Sektoren der
  404.     Festplatte angelegt werden.
  405.  
  406.     Der RESCAN-Modus ist speziell für die Reinigung von Systemen gedacht,
  407.     in denen von SDISK noch keine Kopie der Partionen (DISKDATA.SVS)
  408.     vorhanden und eine Reingung über die Tarnkappeneigenschaft des Virus oder
  409.     über die Immunisierungsfunktion von SDISK nicht möglich ist.
  410.  
  411.     Hinweis: Die bei /RESCAN angegebenen Werte stimmen nicht mit den Größen-
  412.     angaben im BIOS überein! DOS benutzt eine etwas andere Translation bei
  413.     der Vergabe von Sektoren, Köpfen und Zylindern.
  414.  
  415.     /ZEROTRACK:BACKUP
  416.     ~~~~~~~~~~~~~~~~~
  417.     SDISK legt eine Kopie der ersten Sektoren der Festplatte an, da hier
  418.     in manchen Systemen wichtige Daten gespeichert werden. Vor allem
  419.     spezielle Festplatten-Treiber wie EZ-Drive benutzen diese Sektoren,
  420.     um ihren Programmcode auszulagern. Mit dem Parameter /ZEROTRACK:BACKUP
  421.     legt SDISK eine neue Kopie dieser Sektoren in der Datei ZEROTRK.SVS
  422.     an. Wird SDISK das erste Mal aufgerufen, wird diese Datei automatisch
  423.     erzeugt.
  424.  
  425.     /ZEROTRACK:RESTORE
  426.     ~~~~~~~~~~~~~~~~~~
  427.     SDISK stellt die in ZEROTRK.SVS gespeicherten Sektoren wieder her.
  428.  
  429.     /ZEROTRACK:COMPARE
  430.     ~~~~~~~~~~~~~~~~~~
  431.     SDISK vergleicht die Kopien in ZEROTRK.SVS mit den aktuell auf der
  432.     Festplatten vorhandenen Sektoren.
  433.  
  434.     /NOAS
  435.     ~~~~~
  436.     Dieser Parameter schaltet den gesamten Antistealth-Zugriff von SDISK ab
  437.     und muß z.B. bei Kompatibilitätsproblemen angegeben werden. Unter Multi-
  438.     tasking-Betriebssystemen wie Windows oder OS/2 ist ebenfalls kein Anti-
  439.     Stealth möglich. Eine direkte Benutzung von SDISK unter solchen Betriebs-
  440.     systemen wird nicht empfohlen.
  441.  
  442.     /NOPORT
  443.     ~~~~~~~
  444.     Schaltet nur den Port-Level-Zugriff aus. Dieser Parameter kann auf
  445.     Systemen notwendig sein, die spezielle Zugriffsarten auf Low-Level-Ebene
  446.     benutzen, z.B. XCHS- oder LBA-Modus bei EIDE-Platten.
  447.  
  448.     /NOVERIFY
  449.     ~~~~~~~~~
  450.     SDISK übergeht bei Angabe dieses Parameters die Verifikation des Port-
  451.     Zugriffs. Diese kann auf einigen exotischen Systemen zu Problemen führen.
  452.     Außerdem beschleunigt sich mit der Angabe von /NOVERIFY die Ausführung
  453.     von SDISK. Wenn Sie also mit "SDISK /INFO" festgestellt haben, daß der
  454.     Portzugriff erfolgreich erkannt und getestet wurde, können Sie in Zukunft
  455.     den Parameter '/NOVERIFY' angeben, um die Ausführung SDISK zu be-
  456.     schleunigen.
  457.  
  458.     /INFO
  459.     ~~~~~
  460.     Beim Initialisieren des Festplattenzugriffs zeigt SDISK normalerweise
  461.     eine Informationsseite an, hält aber nach der Ausgabe nicht an. Mit
  462.     diesem Parameter kann diese Info-Seite betrachtet werden.
  463.  
  464.