home *** CD-ROM | disk | FTP | other *** search
/ PC Active 1995 March / PCA75.bin / demo / dos / tbav / appnotes.doc < prev    next >
Encoding:
Text File  |  1995-07-20  |  6.8 KB  |  136 lines
  1. AppNotes.Doc
  2. ============
  3.  
  4. TBAV is ontworpen om u een combinatie van goede resultaten, betrouw-
  5. baarheid en compatibiliteit te bieden. In de meeste gevallen zal TBAV
  6. direct, zonder een enkel probleem funtioneren. In combinatie met enkele
  7. speciale applicaties zouden zich, indien er geen maatregelen worden ge-
  8. nomen, problemen kunnen voordoen. Deze applicaties worden hieronder be
  9. schreven.
  10.  
  11. In dit bestand is de volgende informatie opgenomen:
  12.  
  13. 1)  De EZ-DRIVE driver
  14. 2)  Geheugen optimalisators (optimize, memmaker etc.)
  15. 3)  DOS Append
  16.  
  17.  
  18. 1) EZ-DRIVE
  19. ===========
  20.  
  21.     Probleem:
  22.         I heb een enhanced IDE harde schijf van 1 Gigabyte en er is
  23.         een (1) grote partitie aangemaakt. Nadat mijn systeem besmet
  24.         is geraakt door een bootsector virus is de schijf niet meer
  25.         te benaderen en niet meer schoon te maken.
  26.  
  27.     Uitleg:
  28.         De ROM BIOS van de meeste PC's ondersteunt geen grote
  29.         harde schijven (528 Mb en groter). Daarom is voor
  30.         IDE schijven een speciale driver geschreven. Deze enhanced
  31.         EZ-DRIVE driver bevindt zich in de eerste track op uw harde 
  32.         schijf. Het zorgt voor de benodigde vertalingen voor de BIOS 
  33.         om zo'n schijf te benaderen. Omdat de eerste track van een
  34.         harde schijf bedoeld is voor de partitie tabellen en de
  35.         master boot record, gebruikt de EZ-DRIVE driver vele stealth
  36.         capaciteiten om zichzelf te verstoppen in het geheugen.
  37.         Eenmaal in het geheugen zal de EZ-DRIVE driver ervoor zorgen
  38.         dat het operating system denkt dat de partitie tabellen en
  39.         de master boot record zich daadwerkelijk op eerste track van
  40.         de harde schijf bevinden. Eigenlijk gedraagt de EZ-DRIVE
  41.         driver zich als een eerste klas bootsector stealth virus!
  42.         Stelt u zich nu eens voor dat uw systeem besmet raakt met
  43.         een bootsector virus. Enkele dingen kunnen gebeuren:
  44.  
  45.         1) Een multipartite virus is in de PC gekropen nadat de
  46.         EZ-DRIVE driver was gestart. Het virus heeft dan een kopie van
  47.         de master boot record gemaakt (want de EZ-DRIVE driver heeft
  48.         deze aan het virus gegeven). Als nu de PC wordt herstart en het
  49.         virus wordt actief, dan zal het virus de gewone master boot
  50.         record uitvoeren. Het moet echter de EZ-DRIVE driver starten,
  51.         maar weet niet dat deze bestaat. Het systeem is nu gestart
  52.         zonder de benodigde BIOS vertalingen en de harde schijf is
  53.         niet meer te benaderen.
  54.         2) Het virus wordt actief na het booten van een diskette en
  55.         maakt een correcte kopie van de EZ-DRIVE driver. Het virus
  56.         plaatst zichzelf in de ruimte achter de master boot record,
  57.         welke meestal leeg is. Echter de EZ-DRIVE driver gebruikt
  58.         deze ruimte voor zijn eigen code. Wanneer het systeem start
  59.         probeert het virus de EZ-DRIVE driver te starten, maar deze is
  60.         gedeeltelijk overschreven. Het systeem loopt vast bij het booten.
  61.         3) Een virus kan ook z'n eigen bootsector loader hebben. Het
  62.         virus denkt dat de EZ-DRIVE driver de partitie tabellen bevat.
  63.         Het virus probeert dus de EZ-DRIVE driver als bootsector te
  64.         starten en een systeem crash is het gevolg.
  65.  
  66.         Een anti-virus programma maakt het nog een stukje erger. Af-
  67.         hankelijk van het anti-virus produkt en de versie van de EZ-
  68.         DRIVE driver, kan een anti-virus produkt een (1) van de volgende
  69.         dingen zien bij het lezen van de partitie tabellen:        
  70.         1) De originele master boot record.
  71.         2) De EZ-DRIVE driver.
  72.         3) Het virus.
  73.         Alles zal goed gaan bij het scannen van uw systeem op virussen,
  74.         maar de problemen komen wanneer u probeert het besmette systeem
  75.         schoon te maken.
  76.         
  77.     Hoe nu verder:
  78.         Boot van een schone diskette. Zorg ervoor dat de EZ-DRIVE driver
  79.         niet geladen wordt. De EZ-DRIVE driver zal nu gewoon op de eerste
  80.         track van uw harde schijf zitten. Maak nu met TbUtil een kopie
  81.         van deze partitie tabellen (met TbUtil store=a:\tbutil.dat). Als
  82.         dan een bootsector actief is geworden op uw PC kunt u met TbUtil
  83.         het virus veilig verwijderen (met TbUtil restore=a:\tbutil.dat).
  84.  
  85.         Een nog betere manier is het opdelen van de schijf in twee of
  86.         meer partities en geen gebruik te maken van EZ-DRIVE driver. Dit
  87.         geeft u nog meer voordelen als snellere schijf toegang, minder
  88.         schijfruimte verspilling (door de kleinere cluster size), en de 
  89.         mogelijkheid om programma's van data te scheiden om rampen te 
  90.         voorkomen.
  91.  
  92.  
  93. 2) GEHEUGEN OPTIMALISATORS
  94. ==========================
  95.  
  96.     Probleem:
  97.         Sommige geheugen optimalisators, zoals MemMax, MemMaker en 
  98.         Optimize zullen niet correct werken indien ze worden gebruikt
  99.         in combinatie met de residente TBAV utilities. De geheugenresi-
  100.         dente TBAV utilities kunnen zich gedragen als device drivers en
  101.         als normale executables, afhankelijk van de manier waarop ze 
  102.         worden geladen. Deze eigenschap is voor sommige 'optimizers' 
  103.         verwarrend. De TBAV utilities haken zichzelf in DOS, teneinde
  104.         een betere virusbescherming te garanderen. Zij kunnen, na te
  105.         zijn geladen ook niet meer in het geheugen worden verplaatst.
  106.         Elke poging om dit toch te doen zal de machine laten 'hangen'.
  107.     Oplossing:
  108.         Verwijder de TBAV utilities uit het AutoExec.Bat bestand en/of
  109.         Config.Sys bestand en start de geheugen optimalisator. Voeg 
  110.         daarna de TBAV utilities weer toe aan AutoExec.BAT en/of 
  111.         Config.Sys. Desgewenst kunt u de utilities 'hoog laden'.
  112.  
  113.  
  114. 3) DOS APPEND
  115. =============
  116.  
  117.     Probleem:
  118.         De /X schakelaar van het DOS APPEND commando is erg gevaarlijk!
  119.         Indien u een directory APPEND met de /X schakelaar en daarna
  120.         de bestanden *.BAK wilt verwijderen zullen, wanneer zich in de
  121.         huidige directory geen .BAK bestanden bevinden, de .BAK bestan-
  122.         den in de APPENDed directory worden verwijderd! APPEND is in 
  123.         staat programma's om de tuin te leiden door andere files te
  124.         benaderen dan het door de applicatie gevraagde file, indien zich
  125.         in de APPENDed directory een file met dezelfde naam bevindt.
  126.         Dit is ook het geval indien een van de TBAV utilities een 
  127.         Anti-Vir.Dat bestand moet consulteren. Het AntiVir.DAt bestand 
  128.         van een andere directory zou kunnen worden geconsulteerd in 
  129.         plaats van het bedoelde bestand.
  130.     Oplossing:
  131.         TbSetup en TbScan schakelen APPEND automatisch uit indien zij
  132.         detecteren dat het is geladen, maar de residente utilities doen
  133.         dit niet. Wij bevelen daarom aan om zorgvuldig te bepalen of u
  134.         de APPEND /X optie nodig heeft en indien dit het geval is deze
  135.         optie uit te schakelen zodra het kan.
  136.