home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Aminet 1 (Walnut Creek)
/
Aminet - June 1993 [Walnut Creek].iso
/
aminet
/
util
/
virus
/
vt252.lha
/
VTest2
/
Schutz
/
VT.Dokumente
/
VT.Nutz.Prg
< prev
next >
Wrap
Text File
|
1993-04-22
|
18KB
|
413 lines
erkannte Nutzprogramme:
=======================
Stand: 22.04.93
teilweise mit Kennung (N) versehen
- A1010-Com ;DosOpen ein Patch von Commodore um
Probleme mit LW A1010 und Pfad >128
bei KS2 zu beheben. usw.
Erzeugt mit setpatch 38.25 (11.3.92)
Ausgabe ab VT2.44 : SetPatch
- ACT-Killer ;BeginIo, KickTag, KickCheckSum, SumKickData
(Antivirenprogramm)
- alert.hook ;KickMem, KickTag, KickCheckSum
(NewAlert)
- ALF-HD ;KickTag, KickCheckSum, KickMem
(HD-Kontroller)
- AntiCicloVir ; Cool = $7E000
(AntiVirusPrg.Teil FF664)
;Nachtrag: ab V1.8 waehlbar
- ASPRO V0.5 ;fast alle Vektoren
(Ripper und Monitor) KS2.04: NEIN
- ATool ;fast alle Vektoren
(Utilities)
- Back-Check 2 von VirusCope erzeugt mit Parameter r
;KickMem, KickTag, KickCheckSum
- Berserker 5 (AntiVirenPrg.)
- BOIL-HD ;KickTag, KickCheckSum, KickMem
(HD-Kontroller)
- BootPatch V1.1 ;Cold
(soll mit KS1.3 1MB Chip nach RESET
ohne Speicherloeschen ermoeglichen)
auch als BB verfuegbar
KS2.04: GURU 4
Empfehlung : loeschen
- BootPic ;KickMem, KickTag, KickCheckSum
(ersetzt WB-Hand durch ein Bild
eigener Wahl) z.B. FF718
- Bootpreventor ;Cool, im Prg DoIo
Empfehlung: loeschen
- BootSelector ;KickMem, KickTag, KickCheckSum
- Cache-Disk ;BeginIo
Taskname: CacheDisk.device
- ChipMemPatch ;Cold Kickstart 7/8 92 S72
soll RESET mit 1MB Chip unter KS1.3 er-
moeglichen.
KS2.04: GURU
Empfehlung deshalb: nicht verwenden
- Cool ;KickMem, KickCheckSum
positiv: kann mit R wieder entfernt
werden
- D3.ResMod ;KickMem, KickTag, KickCheckSum
Derringer 30 TurboKarte
- Degrader ;Cold, KickTag, KickCheckSum
(Systemveraenderungen)
- DiskCache V2.0 ;BeginIo
- Enforcer ;z.B. ZeroPage
(Hallo Enforcer-Freunde)
;Hinweis: Enforcer schafft sich eine EIGENE
Vec-Page, die NICHT mit der schon vorhandenen
uebereinstimmt. Beweis: Starten Sie VT, merken
Sie sich Vec-Page-AnfangsAdr., verlassen Sie
VT, starten Sie Enforcer, starten Sie VT, die
Vec-Page-Adressen stimmen NICHT ueberein. So
kann Enforcer die Erkennung eines Virus-Prg.s,
das die Vec-Page nutzt, VERHINDERN !!!!!!!
Enforcer bildet die Vecpage immer neu aus
der ZeroPage, OHNE sich um eine bereits vor-
handene VecPage zu kuemmern. BIG-BUG !!!!!!
Nachtrag: V37.36 nimmt Ruecksicht auf eine
vorhandene VecPage
- ExBoot V0.2 ;nur 68000, ZeroPage (Hallo Enforcer-Freunde)
soll sicheren ReBoot erzwingen
- explode.lib V5.6.29 ;imploder loadseg
V5.9.59
V6.0.64 ;neuere Versionen auch newloadseg
- FaccII ;BeginIo
(FloppySpeeder)
- FastDir V1.13 ;lock, unlock, examine, exnext
(schneller list dir keys)
Positiv: kann mit remove entfernt werden
- fixvideo ;KickMem, KickTag, KickCheckSum
(verhindert NTSC-BOOT mit KS1.3)
- FVDR ;LoadSeg, NewLoadSeg usw.
(ueberwacht LoadSeg)
Hinweis 18.11.92: neuer process-name
Virus-Interceptor
Positiv: entfernt sich durch 2.Aufruf selbst
- GigaMem ;Alert, AllocMem, FreeMem usw.
(Virtuelles RAM)
Positiv: kann durch 2. Aufruf wieder
entfernt werden
Negativ: ist nicht in MemList zu finden
- Guardian V1.1/V1.2 ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- GuruBoot V1.0 ;ZeroPage (Hallo Enforcer-Freunde)
soll sicheren ReBoot erzwingen
- hackdisk.device ;soll trackdisk.device ersetzen z.B. FF803
braucht RamKick oder MakeRes, VT arbeitet
NICHT wenn dieses Teil im Speicher ist.
- HDMem ;virtueller Speicher FF740
;verbiegt viele Vektoren:
z.B.
dos.library Base: $002113c0
-$88 $0036c4fc
exec.library Base: $002007a0
-$6a $0036c4e0
-$a0 $0036c4a8
-$a6 $0036c474
-$ac $0036c48e
-$c4 $0036c3b4
-$118 $0036c440
-$11e $0036c45a
;negativ: nicht auszuschalten ohne RESET
- ICD-HD ;KickMem, KickTag, KickCheckSum
(HD-Kontroller)
- Icon nur KS2.04 DosOpen usw
- INTERRUPTOR V2.0 ;Kickmem, KickTag, KickCheckSum
(resetfester Monitor)
- LockIt ;verhindert Lesezugriffe auf Datei FF798
;VT meldet: Object in Use
;Test nur moeglich wenn Lock entfernt
;wird
- LoadSpy ;LoadSeg FF769
Empfehlung: NICHT verwenden
Begruendung: Schreibt HALO einfach nach
$70000 usw.
VT setzt nur loadseg zurueck
- LVD ueberwacht loadseg
Variante b: aendert auch KickTag
Hinweis: eine Prg.- Version
hat Probleme mit Overlay-
programmen z.B. dPaint III
- LVTS ;cool = $7D000
(Soundripper)
- MakeRes ;KickMem, KickTag, KickCheckSum
;soll Hackdisk (FF803)
;VT arbeitet NICHT, solange Hackdisk aktiv
;ist
- MemGuard 4 (Speicherueberwachung)
- MemLinkPatch ;Cold, KickMem, KickTag, KickCheckSum
; soll setpatch r ersetzen
- MemWatch (Speicherueberwachung)
- nepdrive ;KickMem, KickTag
(soll mit Zkick resetfeste RAMDisk er-
moeglichen)
- P-FixLib ; open, loadseg usw.
(fuer P-Compress)
- PatchLoadSeg ;loadseg
(Pieter van Leuven)
- PCL deluxe V1.10 ;Cold, Cool, SumKickData, Vec5
(Antivirenprogramm)
- Power-Utility 1+2 ;BeginIo, KickTag, KickMem, KickCheckSum
(MultiTool)
- PowerData ;packt und entpackt PP-Prg.e im Hintergrund
;FF801
;open, close, write, examine
DRINGENDE Empfehlung: vor Arbeit mit VT loeschen.
Die Vektoren werden AUCH von Viren verwendet !!!!!!!!
- PP-Patcher ;Fish 515 veraendert dos.lib
; open, close, write, examine
;solange PP-Patcher aktiv ist, erkennt VT
;PP-Data nicht, da diese beim Laden ja
;entpackt werden!!!!
- PPDRP 2.01 ;von CodX veraendert dos.lib
; open, close, write, examine
;solange PPDRP aktiv ist, erkennt VT
;PP-Data nicht, da diese beim Laden ja
;entpackt werden!!!!
;Abhilfe: VT/Tools/setze OVek
- PPLoadseg ;LoadSeg und ab KS2.0 auch NewLoadSeg
- PrivHandler ; KickTag, KickCheckSum
(Patch fuer 68010 von FF 230)
- ProKiller V1.03 ;Antivirenprogramm
- Protec III ;KickTag, KickCheckSum
(Antivirenprogramm)
- Pseudo-Ops ;KickMem, KickTag, KickCheckSum
(Antivirenprogramm)
- R.O.M. V1.01 ;Cool
(Speichermonitor)
- RAD: ; KickTag, KickMem, KickCheckSum (auch KS2.04)
(Commodore resetfestes RamDrive)
- RamKick Nov 87 ;voellig veraltetes Prg fuer KS35
VT meldet unbekannte KickVersion
- Replex ;loadseg FF791
;dringende Empfehlung: loeschen, da mit load-
;seg Link-Viren arbeiten.
;soll z.B muchmore durch zeigetext ersetzen
- ReqChange ;oldopenlib, closelib, newopenlib, EasyReq
(z.B. Requester oeffnet sich bei Mauszeiger)
positiv: kann wieder entfernt werden
- RETRAX ;Cool, $6c
(Antivirenprogramm)
- ReserveMem_34 ;Cold
- ReserveMem_37 ;KickMem, KickTag, KickCheckSum
;Emplant (MACII-Emu.)
- RRam Disk ;KickMem, KickTag, KickCheckSum
(Recoverable Ram Disk)
- RTPATCH ;OldOpenlib, OpenLib, AutoRequest, EasyRequest
;OpenScreenTag
(patch fuer arp.lib usw. auf reqtools.lib)
- SegTracker ;loadseg, unloadseg usw.
;wird mit Enforcer verwendet
- Setpatch r V1.34 1MB RAD ; Cold
- Shadeskiller ; Cool = $7E000 nach PrgEnde
(AntiVirusPrg.Teil )
Namenspatch von OrigAntiCicloVir V1.3
- SmartDisk V1.4.1 ;BeginIo trackdisk.device
DiskSpeeder
;oder BeginIo xyz.device z.B. gvpscsi.device
;hier finden Sie die Speicherlage mit System-
;Test in VT-Tools
- SnoopDos ;Open usw.
- SoftBoot ;KickTag FF800
Utility fuer MMU
- SofTrack ;SendIo, DoIo FF754
Trackanzeige
negativ: nicht abschaltbar aus shell
VT: OrigSendIo, OrigDoIo, entfernt Port
process kann nicht entfernt werden,
da Fenster nicht zu schliessen
vgl. Taskliste
- SpeedDisk V1.1 ;BeginIo
- Superlock ;verhindert Zugriffe auf Speichermedien
auf Dos-Ebene, NICHT aber auf Device-Ebene
- SYNRomTag ;KickTag
;SuperBigBang TurboKarte
00A0: 4AFC000F FFA00010 00000000 0000000F Jü..y ..........
00B0: FFBA0000 00000000 00005359 4E526F6D y-........SYNRom
^^^^^^^^^
00C0: 54616700 00000000 00000000 00000000 Tag.............
Da der Sprungzeiger (s.o.) aus der Res.Struc leer ist,
empfehle ich : loeschen
- TimeKeeper ;sichert laufende Zeit FF810
;KickMem, KickCheckSum
Anmerkung: ueberfluessig bei Batterie-Uhr
- TOM-Warner ;meldet BB-Schreibzugriffe
;Cool, DoIo, BeginIo, $68
Empfehlung: loeschen weil:
- absolut in den Speicher geschrieben wird ($7E804)
- der Speicher nicht angemeldet wird
- ToolAlias ;loadseg
;dringende Empfehlung: loeschen, da mit load-
;seg Link-Viren arbeiten.
;soll z.B muchmore durch zeigetext ersetzen
- TrackSalve V1.3 ;Disk-Utility
- TURBOdisk V0.1 ;BeginIo trackdisk.device
DiskSpeeder
- TurboPrint II+Prof ;KickTag, KickCheckSum, (Prof. auch Cold)
(Drucker-Utility)
- Ultrakill ;Cold, Cool
(AntiVirenProgramm)
- UnixDirsII FF837 ;Viele Dos-Vektoren (open,loadseg usw.)
;erlaubt Pfad . und ..
;Nachteil: unter KS3.0 nicht durch Doppel-
;klick abschaltbar
;Empfehlung: vor Virentest Kreset
- VD0: (ASDG-RamDisk)
- VirusControl ;Cold, Cool, DoIo, BeginIo
(AntiVirenProgramm)
;neuere Version:
Cold, Cool, KickTag, KickCheckSum
- VIRUS MURDERER ;Cold immer $7EC00
testet Vectoren
- VMEM V1.0/1.1 ;Dos.lib read, write
virtueller Speicher
testet nach meiner Meinung vor Patch
NICHT auf Originalzustand der Vektoren.
Laesst sich durch 2. Aufruf NICHT ab-
schalten.
- VP z.B V3.0R120 ;KickTag, KickCheckSum
(Antivirusprogramm)
KS2.04 : Nein
Empfehlung deshalb: sofort loeschen (L)
- xData V1.0 ;fuer xpkmasterlib open, close, examine
;negativ: soll sich nach 2. Aufruf selbst
;entfernen. Wird auch in einem Requester
;behauptet. Macht es aber bei A4000 nicht
;Empfehlung: Loeschen
- XPKLoadSeg ;LoadSeg, NewLoadSeg
Portname:XPKLoadSegPort
fuer xpkmasterlib vgl. Amiga Plus 8.92
Hinweis:
Es werden NUR "Nutzprogramme" erkannt, die Vektoren verbiegen,
die auch von Viren verbogen werden. Leider testen die meisten
Programmierer NICHT diese Vektoren auf Originalzustand vor dem
Verbiegen. Es kann deshalb hinter so einem Programm ein Virus
verborgen sein, der NICHT gefunden werden kann, weil Amiga-DOS
diese Vektoren NICHT in einer Liste verkettet (Ausnahme=Kick-
Tag) !!!! Nun gibt es einige LinkViren, die mit einem Vektor
zufrieden sind (z.B. Infiltrator), und auch keinen Port oder
etwas aehnliches oeffnen. Diese Viren koennen dann NUR ueber
diesen einen Vektor gefunden werden. Ist dieser Vektor durch
ein Nutzprogramm zugedeckt, kann dieses Virusprogramm im Spei-
cher NICHT gefunden werden !!!!
Beispiel: Infiltrator-Virus verwendet nur oldloadseg
Im Speicher ihres Computers ist ein Programm aktiv, das loadseg
benutzt. Beim Laden eines Programms stellt das Nutzprogramm
fest, dass es keine Arbeit gibt und uebergibt deshalb an den
"Original-LoadSeg-Vektor". Nur leider ist der auf das Infiltrator-
virusprogramm verbogen und die Verseuchung kann fortgesetzt wer-
den.
Meine Empfehlung:
- keine verbogenen Vektoren, solange VT arbeiten soll
(bitte keine Vorwuerfe, wenn Sie sich NICHT daran halten
und etwas schiefgeht)
- keine Nutzprogramme verwenden, wenn beim installieren nicht
zuerst in einem Fenster der Originalzustand der zu verbiegen-
den Vektoren fuer Sie sichtbar ueberprueft wird. Verzichten
Sie lieber auf so ein Programm. Wenn das alle USER so machen,
bleibt dem Programmierer gar nichts anderes uebrig, als sich
mit der Virengefahr auseinanderzusetzen.
- verwenden Sie keine Nutzprogramme, wenn sie NICHT durch einen
2. Aufruf oder eine Tastenkombination abgeschaltet werden
koennen und danach der Originalzustand wiederhergestellt wird.
Heiner
