home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / 40hex-6.arj / 40HEX-6.001 < prev    next >
Encoding:
Text File  |  1992-04-08  |  3.5 KB  |  75 lines
  1. 40Hex Number 6 Volume 2 Issue 2                                       File 001
  2.  
  3. -------------------------------------------------------------------------------
  4.                     Memory Resident Anti-Virus Detection
  5.                               and Removal
  6. -------------------------------------------------------------------------------
  7.  
  8. Here is a list of ways to see if anti-viral utils are present in memory.
  9. I got the list out of PC interupts, a book by Ralph Brown.  Here they are:
  10.  
  11. F.-DRIVER.SYS (Part of the F-Protect virus package by Fridrik Skulason.)
  12.               This program "grabs" the INT 21 monitoring code, if it was not
  13.               already taken by another program.
  14.               INT 21h, Function 4Bh, Sub Function EEh
  15.               AX must = 4BEEh at call, and call returns AX=1234h if F-Prot
  16.               sucessfully grabbed INT 21, and AX=2345h if the grab failed.
  17.  
  18. F-DLOCK.SYS  (A HD access restrictor, part of F-Protect Package)
  19.               Call INT 2Fh, Funct. 46h, SubFunct 53h
  20.               At call, AX must = 4653h, CX=0005h, BX= 0000h
  21.               If present in ram, AX will return FFFFh.  To uninstall, call
  22.               with AX & CX the same as above, but BX= 0001h.  AX, ES, & BX
  23.               will be destroyed.
  24.  
  25. F-LOCK.EXE  (Part of F-Protect package, looks for "suspicious" activity)
  26.             INT 2Fh, Funct 46h, SubFunct. 53h
  27.             To call:  AX = 4653h, CX=0002h, BX=0000h (installation check)
  28.                                             BX=0001h (uninstall)
  29.                                             BX=0002h (disable v1.08 & below)
  30.                                             BX=0003h (enable v1.08 & below)
  31.             Call returns AX=FFFFh if installed ( BX=0000h at call)
  32.             AX, BX, and ES destroyed, if uninstalled (BX=0001 at call)
  33.  
  34. F-POPUP.EXE (Pop up menu for F-Protect)
  35.           INT 2Fh, Funct. 46h, SubFunct. 53h
  36.           To call: AX=4653h, CX=0004h, BX= 0000h, 0001h or 0002h
  37.                                        (See above - BX same as F-Lock)
  38.           Returns: Same as F-LOCK.EXE
  39.  
  40. F-XCHK.EXE (Prevents execution of any progs which don't have self-checking
  41.             code added by F-XLOCK)
  42.            INT 2Fh, Funct. 46h, SubFunct 53h
  43.            To Call: Registers = same as F-Popup, except CX=0003h, and
  44.                     BX = 0000h (installation check) or 0001h (uninstall)
  45.            Returns: same as F-LOCK, above.
  46.  
  47. TBSCANX (Resident Virus scanning Util by Frans Veldman)
  48.         INT 2Fh, Function CAh, SubFunct 00h
  49.         Call: AX=CA01, BX=5442h ("TB")
  50.         Returns: AL=00h if not installed, AL=FFh if installed
  51.                  BX=7462h ("tb") if BX was 5442h during call
  52.  
  53.         INT 2Fh, Function CAh, Subfunction 02h (Set state of TBSCANX)
  54.         Call: AX=CA02h, BL = new state (00h=disabled, 01h=enabled)
  55.  
  56. VDEFEND (Part of PC-tools.  Works on v7.0)
  57.         INT 21h, Function FAh
  58.         To call: AH=FAh, DX=5945h, AL=subfunction (01h to uninstall)
  59.         returns: CF set on error, DI = 4559h (?)
  60.  
  61. DATAMON (PC Tools 7.0 file protection)
  62.         INT 2Fh, Funct 62h, Sub Funct 84h
  63.         Call: AX=6284h, BX=0000h (for installation check), CX=0000h
  64.         Returns: AX=resident code segment, BX & CX = 5555h
  65.  
  66. Flu Shot, or Virex PC
  67.         INT 21h
  68.         Call: AX=0ff0fh
  69.         Returns if either is installed: AX=101h
  70.  
  71. If anyone has any more Anti-Viral IDs, post 'em on Digital Warfare and I'll
  72. update this list.
  73.  
  74.                                        ---DecimatoR PHALCON/SKISM
  75.