home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Crawly Crypt Collection 1
/
crawlyvol1.bin
/
utility
/
virus
/
sagro417
/
anleit.txt
next >
Wrap
Text File
|
1986-02-04
|
37KB
|
854 lines
********************************************* 08.04.90 ****
* *
* SAGROTAN *
* *
* - DER ultimative Virenkiller - *
* *
* Henrik Alt *
* Kirgelweg 25 *
* 7160 Gaildorf *
* *
* - schützt zuverlässig vor Viren *
* - immunisiert Ihre Disketten *
* - Public-Domain *
* *
***********************************************************
Inhalt
1 Vorbemerkungen
1.1 Hinweise zum Public-Domain-Vertrieb
1.2 Update-Service
1.3 Hardwarevoraussetzungen
1.4 Sonstiges
2 Kleine Virenkunde
2.1 Was ist ein Virus?
2.2 Aufbau eines Virusprogrammes
2.3 Virenbefall beim Atari ST
2.4 Was tun bei Virenbefall?
2.5 Wie sich ein Virus manchmal verrät
2.6 Prophylaxe
2.7 Hinweise für Festplattenbesitzer
2.8 Linkviren
3 Arbeiten mit SAGROTAN
3.1 Die ersten Schritte
3.2 Bootsektorprüfung
3.3 Linkvirenprüfung
3.4 Speicherprüfung
3.5 Bootsektorreparatur
3.6 Accessories
3.7 Gefahrenhinweise
3.8 Installation auf Computern mit nur 512 KB-RAM
4 Die Handhabung der Bibliotheken
4.1 Die Virenbibliothek
4.2 Bibliothek bekannter Bootprogramme
4.3 Zusammengefasste Viren und Bootsektoren
4.4 Festplattenrootsektoren
4.5 Vergleichsdaten bekannter Programme
5 Anhang
1 Vorbemerkungen
----------------
1.1 Hinweise zum Public-Domain-Vertrieb
SAGROTAN ist ein Public-Domain-Programm und darf frei
kopiert werden. Die kommerzielle Nutzung ist jedoch unter-
sagt! Erlaubt ist jedoch das Aufbringen des SAGROTAN-
Bootsektors auf kommerzielle Programme.
1.2 Update-Service
Mit 30 DM honorieren Sie die Mühe, die in SAGROTAN steckt,
und erhalten eine neue Version von SAGROTAN.
Falls Sie einen neuen Virus oder ein unbekanntes Bootpro-
gramm einschicken, erhalten Sie KOSTENLOS eine neue, ggf. an
diesen Virus angepaßte Version!
1.3 Hardwarevoraussetzungen
SAGROTAN läuft nur in der mittleren oder hohen Bildschirm-
auflösung. Wegen der sehr umfangreichen Vergleichsdaten
sollte für die Arbeit mit SAGROTAN ca. 500 KB Speicher zur
Verfügung stehen. Steht weniger Speicher zur Verfügung, ist
die Größe der auf Virenbefall zu untersuchenden Dateien
stark eingeschränkt. Bei Computern mit nur 512K RAM kann es
nötig sein Teile der Vergleichsdaten wegzulassen.
1.4 Sonstiges
Mein Dank geht an dieser Stelle an Clemens Weller, Fichten-
berg, für die tatkräftige Unterstützung bei der Entwicklung
der Benutzeroberfläche. Auch konnte die Fehlersuche im
Programm durch seine "Weller-Tools für GFA-BASIC" sehr
vereinfacht werden.
Ebenso geht mein Dank an D. Foerster-Michalke, Solingen, für
die Korrektur dieser Anleitung.
Mein Zorn gilt natürlich all denjenigen, die diese lästigen
Viren programmieren oder in Umlauf bringen.
2 Kleine Virenkunde
-------------------
Ziel dieses Kapitels ist es, dem Anwender von SAGROTAN die
Funktion von Virusprogrammen zu erläutern und die bei
Virenbefall nötigen Gegenmaßnahmen zu erklären.
2.1 Was ist ein Virus?
Ein Virusprogramm ist ein Programm, das sich vermehren kann.
Wie in Biologie ist der Virus dabei auf die Hilfe eines sog.
Wirtes, in unserem Fall der Atari ST, angewiesen.
2.2 Aufbau eines Virusprogrammes
Aus der Funktion eines Virusprogrammes ergibt sich, daß ein
Virus normalerweise die folgenden Programmteile enthält:
- Initialisierung
dieser Programmteil lädt oder verschiebt den Virus an
seine endgültige Zieladresse und setzt die Ereignisüber-
wachung in Gang.
- Ereignisüberwachung
dieser Programmteil zapft das Betriebssystem an und
wartet auf eine günstige Gelegenheit zum Eingreifen.
- Vermehrungsteil
dieser Programmteil wird von der Ereignisüberwachung
aufgerufen und bewirkt, daß ein neuer Virus auf die
Diskette oder Festplatte geschrieben wird.
- Aktionsteil
dieser Programmteil wird nur unter ganz bestimmten
Umständen von der Ereignisüberwachung aufgerufen und
bewirkt die üblen Sachen, vor denen es den Computeran-
wendern so graust.
2.3 Virenbefall beim Atari ST
Da wohl kein Anwender freiwillig ein Virusprogramm starten
würde, finden sich Viren normalerweise an den Stellen, wo
sie automatisch gestartet werden. Beim Atari ST gibt es
dafür zwei Möglichkeiten:
a) der Virus wird an ein Anwenderprogramm angehängt,
b) der Virus wird in den Bootsektor einer Diskette
geschrieben.
Da die Version a meistens durch die Verlängerung der
Anwenderprogramme auffällt, sind zur Zeit hauptsächlich
Viren vom Typ b im Umlauf. Seit Version 4.00 erkennt
SAGROTAN Viren beider Typen.
2.4 Was tun bei Virenbefall?
Als nächstes bleibt zu klären, was zu tun ist, wenn Sie ein
praktisches Beispiel für die obigen Ausführungen in Form
einer virusbefallenen Diskette in Händen halten!
- Ruhe bewahren!
Viren im Bootsektor können meistens ohne Nebenwirkungen
vernichtet werden.
- Falls es sich um einen bekannten Virus handelt, wird
dieser durch Überschreiben mit dem SAGROTAN-Bootprogramm
vernichtet. Schalten Sie danach den Computer mindestens
20 s aus, um den Virus aus dem Speicher zu löschen.
Booten Sie dann von der neu behandelten Diskette. Dabei
muß die Meldung "Kein Virus im Bootsektor" erscheinen.
Falls dies nicht der Fall ist, müssen die obigen
Schritte wiederholt werden. Jetzt haben Sie den Virus
auf dieser Diskette vernichtet.
- Falls es sich um ein unbekanntes Bootprogramm handelt
muß zunächst festgestellt werden, ob dieses ein Virus
ist. Dafür benötigen Sie zwei leere Disketten, die im
folgenden mit A und B bezeichnet werden. Falls Sie eine
Festplatte besitzen, klemmen Sie diese ab.
Kopieren Sie die gesamte Diskette mit dem unbekannten
Bootprogramm auf Diskette A. Verwenden Sie dazu ein
Kopierprogramm wie z.B. "FCOPY", damit auch der Bootsek-
tor unverändert übertragen wird.
Formatieren Sie die Diskette B und löschen den Bootsek-
tor mit der SAGROTAN-Funktion "Bootsektor löschen."
Booten Sie von Diskette A.
Legen Sie Diskette B ein und lassen Sie sich das
Inhaltsverzeichnis anzeigen.
Prüfen Sie nun die Diskette B mit SAGROTAN auf Virenbe-
fall. Sollte der Bootsektor von Diskette B nun ein
unbekanntes Bootprogramm enthalten, kann das nur ein
Virus sein.
Legen Sie die SAGROTAN Diskette ein und nehmen Sie den
Virus in die Bibliothek der Virenprogramme auf. Vernich-
ten Sie den Virus durch Überschreiben mit dem SAGROTAN-
Bootprogramm.
- Wird ein Linkvirus erkannt, haben Sie oftmals die
Möglichkeit das befallene Programm noch zu retten.
Leider gibt es auch Linkviren, die das befallene Pro-
gramm vollständig zerstören.
- Bestehen Zweifel, ob ein Programm Virusbefallen ist, so
können Sie folgenden Test machen:
Kopieren Sie das virenverdächtige Programm zusammen mit
einigen anderen Programmen, darunter auch das TEST.PRG
von der SAGROTAN-Diskette auf eine gesonderte Diskette.
Klemmen Sie eine evtl. vorhandene Festplatte ab und
booten neu. Starten Sie dann abwechselnd das virenver-
dächtige Programm und die anderen Programme auf der
Diskette. Sollten sich Veränderungen an den Programmen
zeigen, ist dies ein Indiz für Linkvirenbefall. Beson-
ders deutlich wird dies am Programm TEST.PRG, da das
Programm nur 52 Bytes lang ist.
2.5 Wie sich ein Virus manchmal verrät
Obwohl ein Virus normalerweise so programmiert ist, daß man
ihn nicht bemerkt, kann es doch Fälle geben, in denen er
sich verrät. Wie viele Programme, so sind auch manche Viren
nicht Blitter-TOS kompatibel. So z.B. der "VIRE87" von der
bayrischen Hackerpost. Hier funktioniert die Schreibschut-
zabfrage des Virus mit Blitter-TOS nicht mehr. Das führt
dazu, daß beim Anzeigen des Inhaltsverzeichnisses einer
schreibgeschützten Diskette plötzlich die Meldung "Diskette
schreibgeschützt" erscheint, die hier normalerweise nicht
erscheinen dürfte.
Ein weiteres Indiz für Virenbefall ist das plötzliche
Versagen von Bootprogrammen wie z.B. der 60-Hz Umschaltung
oder dem RAM-TOS Bootprogramm.
Bei Linkviren ist die Verlängerung der befallenen Programme
ein untrügliches Zeichen für Virenbefall. Viele Linkviren
versuchen beim Start eines befallenen Programmes alle auf-
findbaren Programme ebenfalls zu verseuchen. Dies benötigt
jedoch erheblich mehr Zeit als der Start des unbefallenen
Programmes.
2.6 Prophylaxe
Sie sollen nun erfahren, wie Sie den Viren durch das
Beherzigen einiger weniger Verhaltensregeln das Leben
möglichst schwer machen können.
- Booten Sie immer von derselben, schreibgeschützten Dis-
kette, die durch das SAGROTAN Bootprogramm geschützt
ist. Booten Sie insbesondere NIEMALS wahllos von FREMDEN
Disketten.
- Prüfen Sie alle neuen Programmdisketten vor der ersten
Benutzung mit SAGROTAN auf Virenbefall.
- Halten Sie Ihre Disketten so lange schreibgeschützt,
wie es irgendwie möglich ist.
- Schützen Sie alle Disketten mit dem SAGROTAN Bootpro-
gramm. Ausgenommen diejenigen Disketten, die ein spe-
zielles Bootprogramm benötigen.
- Prüfen Sie Ihre Disketten regelmäßig mit SAGROTAN auf
Virenbefall.
- Fertigen Sie regelmäßig Sicherheitskopien von Ihren
Daten an. Bei Programmen ist es sinnvoller eine ein-
malige Sicherheitskopie beim Erwerb des Programmes
durchzuführen. Da Sie sonst evtl. auf eine bereits
virenbefallene Sicherheitskopie zurückgreifen!
- Da manche Linkviren die zu befallenden Programme anhand
ihrer Namenserweiterung erkennen, kann die Verbreitung
solcher Viren durch die Änderung der Namenserweiterung
der ausführbaren Programme verhindert werden. Damit
Programme mit geänderter Namenserweiterung trotzdem vom
Betriebssystem gestartet werden, muß die Datei
DESKTOP.INF angepasst werden. Dies sei am folgenden
Beispiel erklärt.
In der Datei DESKTOP.INF finden Sie die folgenden vier
Zeilen:
#G 03 FF *.PRG@ @
#G 03 FF *.APP@ @
#F 03 04 *.TOS@ @
#P 03 04 *.TTP@ @
Kopieren Sie diese Zeilen und überschreiben Sie in den
kopierten Zeilen die Namenserweiterungen mit neuen
Namen. Die in den folgenden Zeilen gewählten Namen, EXE
statt PRG, GDO statt APP, COM statt TOS und BAT statt
TTP stellen lediglich ein Beispiel dar. Ihrer Phantasie
sind hierbei keine Grenzen gesetzt. Vermeiden Sie jedoch
solche Bezeichnungen, die schon für andere Zwecke ver-
geben sind, z.B. BAS oder DOC.
#G 03 FF *.EXE@ @
#G 03 FF *.GDO@ @
#F 03 04 *.COM@ @
#P 03 04 *.BAT@ @
Durch diese Modifikation wird erreicht, daß sowohl
Programme mit den alten Namenserweiterungen, als auch
solche mit den selbstdefinierten vom Betriebssystem
gestartet werden. Die Änderung ist natürlich erst nach
einem RESET wirksam.
- Da viele Viren resetfest sind, ist es sinnvoll den
Computer von Zeit zu Zeit ganz auszuschalten, um alle
Programme im Speicher zu löschen. Da jedoch allzuhäufi-
ges Ausschalten dem Atari nicht guttut, ist es besser,
entweder die Kaltstart-Funktion von SAGROTAN oder das
von Atari zum TOS 1.4 gelieferte Programm COLDBOOT.PRG
zu verwenden.
Vor den in Umlauf befindlichen Antiviren möchte ich an
dieser Stelle einmal eindringlich warnen. Da diese Programme
meist keine Gnade kennen und ALLE ausführbaren Bootpro-
gramme überschreiben.
2.7 Hinweise für Festplattenbesitzer
Auch wenn Ihre Festplatte bootfähig ist, wird trotzdem beim
Einschalten des Systems zunächst der Bootsektor der Diskette
eingelesen und ausgeführt. Bei einem RESET wird jedoch nur
der Bootsektor des vermerkten Bootlaufwerkes gelesen und
ausgeführt. Schweißausbrüche wegen des Ausbleibens der Mel-
dung "Kein Virus im Bootsektor" bei RESET sind also unbe-
gründet. Aus dem gleichen Grunde bleiben Festplattenbe-
sitzer auch meistens von Bootsektorviren verschont. Wegen
der weitaus größeren Datenmenge, die auf dem Spiel steht,
ist jedoch trotzdem besondere Vorsicht angebracht! Mit der
TOS-Version 1.4 wurde der Ablauf des Warmstartes geändert.
Es wird jetzt trotz angeschlossener Festplatte auch beim
Warmstart (RESET) zunächst von Diskette gebootet! Fest-
plattenbesitzer sollten diese virenfreundliche Neuerung
stehts berücksichtigen!
2.8 Linkviren
Unter Linkviren versteht man solche Viren, die sich an
Anwenderprogramme anhängen. Da sich die Erkennung solcher
Viren besonders schwierig gestaltet, werden hierfür von
SAGROTAN drei verschiedene Diagnoseverfahren angewendet.
Das erste Verfahren verwendet Vergleichsdaten über das zu
prüfende Programm, wie z.B. Längen der Programm- und Daten-
segmente sowie CRC-Prüfsummen. Dieses Verfahren hat den Vor-
teil, daß alle Änderungen am Programm erkannt werden, also
auch der Befall durch heute noch nicht bekannte Viren später
einmal entdeckt werden kann. Der Nachteil ist jedoch, daß
die dazu nötigen Vergleichsdaten auch vorhanden sein müssen
(siehe Abschnitt 4.6). Bei den mitgelieferten Vergleichsda-
ten von ca. 350 Programmen können jedoch auch dadurch
Abweichungen entstehen, daß die Daten von einer anderen
Programmversion stammen, als das zu untersuchende Programm.
Abweichungen entstehen oft auch durch in kommerziellen
Programmen enthaltenen Seriennummern.
Deshalb prüft ein zweites Diagnoseverfahren das Auftreten
bestimmter Bytekombinationen, die für einige Viren typisch
sind. Hierdurch kann der Virenbefall mit diesen Viren sicher
nachgewiesen werden. Soweit möglich können diese Viren auch
wieder aus den befallenen Dateien entfernt werden.
Zusätzlich wird noch durch ein drittes Verfahren geprüft, ob
der Dateiaufbau korrekt ist. Dabei wird überprüft, ob in
einer evtl. vorhandenen Symboltabelle auch wirklich nur
Symbole vorhanden sind, ob die Relokationstabelle in Ordnung
ist und ob nachträglich Daten an die Datei angehängt wurden.
Der letzte Punkt erwies sich dabei als ziemlich schwierig,
da viele Compiler noch etliche Bytes "Datenmüll" an die
Datei anhängen. Ein besonders übles Beispiel ist hier der
"C"-Compiler von DRI, der schon dem Betriebssystem des Atari
ST zu seiner Behäbigkeit und Fülle verholfen hat. Ebenso
kann es bei solchen Programmen zu Fehldiagnosen kommen, die
von Compilern oder Linkern, die das GST-Dateiformat verwen-
den, erzeugt wurden. Mit dem letzten Diagnoseverfahren sind
zwar keine exakten Aussagen über den Virenbefall möglich, es
hat aber den Vorteil, daß nebenbei noch defekte Dateien
aufgespürt werden.
3 Arbeiten mit SAGROTAN
-----------------------
3.1 Die ersten Schritte
Da SAGROTAN voll menügesteuert ist, werden Sie schnell mit
der Bedienung vertraut sein. Unterstützt werden Ihre ersten
Schritte durch eine 'Extrahilfe', die zu jedem angewählten
Menüpunkt eine kurze Erklärung gibt. Außerdem ist bei
Funktionen, die zu Datenverlust führen könnten, zusätzlich
eine Abbruchmöglichkeit gegeben.
Um die Bedienung von SAGROTAN zu vereinfachen, ist auch eine
Steuerung über die Tastatur möglich. Damit Sie die Tasten
leicht finden, steht hinter jedem Menüeintrag ein Zeichen in
spitzen Klammern. Durch Drücken dieser Taste wird die
gleiche Funktion ausgeführt, wie durch Anklicken des
Menüeintrages mit der Maus.
Nach dem Start von SAGROTAN werden zunächst die Ver-
gleichsbibliotheken geladen. Der Ladevorgang wird dabei
mitprotokolliert. Nach Beendigung des Ladevorganges er-
scheint die Benutzeroberfläche und die SAGROTAN Infomel-
dung. Nach Anklicken von OK oder Drücken von RETURN
ist SAGROTAN arbeitsbereit. Sie sehen jetzt zwei Fen-
ster. Im oberen Fenster wird der Hexdump des Bootsektors
ausgegeben, im unteren Fenster erfolgt der Dialog mit dem
Benutzer.
Seit Version 4.05 können Sie die Aufteilung des Bildschirmes
verändern. Durch Verschieben des Dialogfensters nach oben
wird das Hexdump-Fenster kleiner und das Dialog-Fenster
größer. Der gegenteilige Effekt tritt bei Verschiebung nach
unten ein. Falls Sie das Hexdump-Fenster so groß gewählt
haben, daß der gesamte Bootsektor dargestellt wird,
empfiehlt es sich die Ausgabe im Dialogfenster auf kleine
Schrift umzustellen, da sonst nicht mehr alle Meldungen in
das Fenster passen. Die Umstellung geschieht durch Auswahl
der Textgröße 6 unter dem Menü "ALLERLEI".
Seit Version 4.15 ist es möglich die Voreinstellungen abzu-
speichern. Dabei können Sie auch festlegen, welche Aktionen
beim Start des Programmes ausgeführt werden sollen. Die
Funktion "Einstellung sichern" finden Sie im Menü
"ALLERLEI".
3.2 Bootsektorprüfung
Der normale Tätigkeitsablauf wird sein, daß Sie nun eine
Diskette einlegen und diese mit "Bootsektor prüfen" auf
Virenbefall untersuchen. Falls die Diskette kein Boot-
programm oder gar einen Virus enthält, sollten Sie das
SAGROTAN-Bootprogramm mit "Bootsektor schützen" auf die Dis-
kette aufbringen. Nachdem dies geschehen ist, können Sie
die nächste Diskette einlegen.
3.3 Linkvirenprüfung
Für die Prüfung von Dateien auf Linkvirenbefall sollten
Sie zunächst festlegen, welche Dateien auf Virenbefall
untersucht werden sollen. Dazu haben Sie vier Auswahlmög-
lichkeiten.
1. Einzelne Dateien, Auswahl durch Fileselect-Box.
2. Alle ausführbaren Dateien in einem Pfad, Auswahl durch
Fileselect-Box.
3. Alle ausführbaren Dateien auf dem voreingestellten
Laufwerk.
4. Alle Dateien auf den ausgewählten Laufwerken.
Die Auswahl finden Sie unter Optionen im Menü "VIRUS". Bei
einer reihenweisen Überprüfung werden nur solche Dateien
überprüft, die eine der fünf konfigurierbaren Namenser-
weiterungen haben. Die Nameserweiterungen werden folgender-
maßen vorbelegt: APP, AC?, PR?, TOS und TTP . ? bedeutet,
daß jeder Buchstabe als gültig erkannt wird.
3.4 Speicherprüfung
Hierbei wird geprüft, ob bereits ein Virus im Speicher
steht. Außerdem werden resetfeste Programme angezeigt. Be-
achten Sie auch, das resetfeste RAM-Disks nicht auch reset-
feste Programme sein müssen, denn nur die Daten müssen den
Reset überstehen, nicht das Treiberprogramm.
Da bei der Speicherprüfung nach residenten Programmen
gesucht wird, die sich außerhalb des vom Gemdos verwalteten
Speichers befinden, kann es hierbei hin und wieder auch zu
Fehldiagnosen kommen.
- Programme, die massiv in die Speicherverwaltung eingrei-
fen, werden manchmal fälschlicherweise als Virus erkannt.
Z.B. REVOLVER, K-SWITCH, ebenso manche Harddisk-Treiber.
- Das Verfahren funktioniert sehr gut bei Bootsektorviren,
jedoch in der Regel NICHT bei speicherresidenten Link-
viren!
3.5 Bootsektorreparatur
Durch Defekte oder Vireneinwirkung kann es vorkommen, daß
die Formatinformation des Bootsektors zerstört wurde. In
einem solchen Fall ist die Diskette nicht mehr lesbar. Durch
fehlende Fehlerabfragen im TOS kommt es beim Versuch von der
Diskette Daten zu lesen dann sehr häufig zu Systemabstürzen.
3.6 Accessories
SAGROTAN erlaubt auch den Aufruf von Desk-Accessories. Aus
Gründen der Einfachheit wird durch die Redraw-Routine der
gesamte Bildschirm neu aufgebaut. Deshalb sollten keine
Accessories aufgerufen werden, die verschoben werden können
oder Eingaben außerhalb des Accessoryfeldes zulassen, wie
z.B. das Kontrollfeld.
3.7 Gefahrenhinweise
Durch SAGROTAN können unter ungünstigen Umständen
Daten zerstört werden! Es sind die folgenden Gefahrenquellen
bekannt:
- Ein Bootprogramm hatte eine nützliche Funktion. Durch
überschreiben mit der Funktion "Diskette Schützen" wird
das Bootprogramm zerstört! Insbesondere bei kopierge-
schützter Software oder Disketten, die ein spe-
zielles Betriebssystem verwenden, ist hier Vorsicht
geboten! Spieledisketten enthalten fast immer einen ein
spezielles Bootprogramm!
- Wenn Sie nach "Diskette Prüfen" und vor "Diskette
Schützen" die Diskette wechseln, wird keine erneute
Bootsektoranalyse vorgenommen. Sie überschreiben also
ein evtl. vorhandenes, nützliches Bootprogramm, ohne
dies zu bemerken.
- Ab Version 3.7 ist es möglich, die Warnmeldungen, z.B.
beim Löschen des Bootsektors abzuschalten. Wer größere
Diskettenmengen zu bearbeiten hat wird dies zu schätzen
wissen. Durch einen unachtsamen Tastendruck können nun
jedoch fast unbemerkt Bootprogramme zerstört werden! Be-
achten Sie auch, daß seit Version 4.15 die Warnmeldungen
in den Voreinstellungen enthalten sind, und nicht bei
jedem Programmstart explizit abgeschaltet werden müssen.
- Wenn Sie angehängte Daten abschneiden, kann dies zur
Zerstörung des Programmes führen, da manche Programme
solche Daten tatsächlich benötigen! Z.B. ERDKUGEL.PRG,
TURBODOS.PRG.
- Manche Linkviren treten in verschiedenen "Mutationen"
auf. Das Reparieren eines virusbefallenen Programmes
erzeugt deshalb manchmal Programme, die nicht lauffähig
sind.
- Die Formatanalyse bei "Bootsektor reparieren" geht davon
aus, daß alle auf der Diskette vorhandenen Spuren und
Sektoren auch genutzt werden. Dies ist jedoch bei eini-
gen Schnelladeformaten nicht der Fall! Ebenso ist dies
nicht der Fall, wenn Sie eine Diskette mit niedriger Ka-
pazität auf eine Diskette höherer Kapazität kopieren,
ohne neu zu formatieren. In einem solchen Fall wird eine
intakte Diskette zerstört, wenn Sie den Bootsektor
schreiben, ohne die ermittelten Daten von Hand zu korri-
gieren.
3.8 Installation auf Computern mit nur 512 KB RAM
SAGROTAN läuft auch auf Computern mit nur 512 KB RAM. Für
eine zufriedenstellende Arbeitsweise sind jedoch einige Vor-
kehrungen zu treffen.
Die Vollversion (SAGROTAN.PRG) benötigt, um beim Start alle
mitgelieferten Bibliotheken laden zu können 300 KB freien
Speicher. Ein Computer mit 512 KB RAM kann ohne Accessories
sowie residenten Programmen und mit TOS im ROM max. 370 KB
zu Verfügung stellen.
Ein Start des Programmes ist also möglich, der verfügbare
freie Speicher für SAGROTAN aber sehr knapp.
In diesem Zustand funktionieren die Funktionen, die den
Bootsektor der Diskette betreffen ohne Einschränkungen.
Eine Überprüfung von Dateien auf Linkvirenbefall setzt je-
doch vorraus, daß die Datei komplett in den freien Speicher
geladen werden kann.
Um auch die überprüfung größerer Dateien zu ermöglichen, be-
nötigen Sie mehr freien Speicher. Dafür gibt es mehrere Mög-
lichkeiten:
- Das Programm SG_520.PRG benötigt ca. 7 KB weniger Spei-
cher als SAGROTAN.PRG, da die Festplattenroutinen und
die Extrahilfe fehlen.
- Durch weglassen von Vergleichsdaten kann der verbleiben-
de freie Speicherplatz vergrößert werden. Verwenden Sie
evtl. die Datei MINI.DAT statt CMP.DAT, oder kürzen Sie
die Datei CMP.DAT nach Ihren Vorstellungen. Fertigen Sie
jedoch zuerst eine Sicherheitskopie von CMP.DAT an.
- Verwenden Sie für die Prüfung auf Linkvirenbefall eine
Version von SAGROTAN, die im LIBRARY-Ordner keine Datei
CMP.DAT besitzt, sowie eine mit EDIT_PGM.PRG auf das
nötigste gekürzte Datei PGM_INFO.DAT. Fertigen Sie auch
hier zuerst eine Sicherheitskopie von PGM_INFO.DAT an.
Den zur Verfügung stehenden freien Speicher erhalten Sie bei
ausgeschalteter Extrahilfe im Menü "SAGROTAN" unter "DESK"
angezeigt. Angezeigt werden oberhalb des "OK"-Knopfes der
zur Verfügung stehende Speicher für den Internen Bedarf des
Programmes, sowie der zum Laden von Dateien zur Verfügung
stehende Speicher.
4 Die Handhabung der Bibliotheken
---------------------------------
SAGROTAN benützt für die Virenprüfung vier verschiedene
Bibliotheken mit Vergleichsprogrammen, die beim Start von
SAGROTAN automatisch geladen werden. Die Bibliotheken müssen
sich dazu im Ordner LIBRARY befinden, der im gleichen Pfad
liegt, wie SAGROTAN selbst.
4.1 Die Virenbibliothek
Die erste Bibliothek enthält die Vergleichsviren. Jeder
Virus belegt eine eigene Datei. Der Dateiname ist "VIRUS_C",
die Namenserweiterung eine dreistellige Ziffer. Die erste
Datei hat den Namen "VIRUS_C.001". Die Dateien müssen
durchgehend nummeriert sein. SAGROTAN bricht den Ladevorgang
ab, wenn keine Datei mit der nächsten Nummer mehr gefunden
wird. Dies sei am folgenden Beispiel erklärt. Angenommen
Ihre Virenbibliothek enthält die Dateien VIRUS_C.001,
VIRUS_C.002 und VIRUS_C.003. Wenn Sie die Datei VIRUS_C.002
löschen, würde beim nächsten Start von SAGROTAN nur noch die
Datei VIRUS_C.001 geladen. Wenn die Datei VIRUS_C.003 noch
benötigt wird, muß diese in VIRUS_C.002 umbenannt werden.
Wenn Sie aus SAGROTAN heraus einen Virus abspeichern,
berechnet SAGROTAN die Namenserweiterung aus der Anzahl der
geladenen Viren. Sie brauchen sich darum also nicht zu
kümmern. Seit Version 3.6 werden die Viren verschlüsselt
abgespeichert, denn SAGROTAN soll ja die Ausbreitung von
Viren hemmen und nicht fördern! Falls Sie noch über unver-
schlüsselte Virusdateien verfügen, so können Sie diese
trotzdem verwenden. Die unverschlüsselten Dateien haben den
Dateinamen "VIRUS". Beachten Sie, daß, auch bei gemischter
Verwendung von verschlüsselten und unverschlüsselten
Dateien, die Nummerierung aller Virusdateien durchgehend
sein muß.
4.2 Bibliothek bekannter Bootprogramme
Die zweite Bibliothek enthält bekannte Bootprogramme, die
keine Viren sind. Der Dateiname ist hier "BOOT" und die
Namenserweiterung, wie bei den Virusdateien, eine dreistel-
lige Ziffer. Entsprechend gilt auch das oben Gesagte in Be-
zug auf die durchgehende Nummerierung. Da die Bootsektoren
nicht verschlüsselt abgespeichert werden, ist es nicht mög-
lich, durch Umbenennen einer Datei, diese von der Viren- in
die Bootsektorbibliothek zu übertragen. Der umgekehrte Fall
ist jedoch möglich, da die unverschlüsselten Virusdatei-
en den gleichen Aufbau haben, wie die Bootprogramme. Sollten
Sie also einmal versehentlich einen Virus als Bootprogramm
abgespeichert haben, können Sie durch Umbenennen von "BOOT"
in "VIRUS" (nicht "VIRUS_C") und Anpassen der Nummer der
Namenserweiterung den Virus in die Virenbibliothek über-
tragen.
4.3 Zusammengefasste Viren und Bootsektoren
Wegen der stark angewachsenen Zahl von Vergleichsdateien ist
seit Version 4.10 zusätzlich eine Datei mit Namen CMP.DAT
vohanden, die eine größere Anzahl von Viren und Bootprogram-
men enthält. Dadurch wird der Ladevorgang beim Start von
SAGROTAN deutlich verkürzt. Falls Sie neue Viren oder Boot-
programme in diese Datei aufnehmen möchten, verwenden Sie
die Funktion "Alle Bootsektoren speichern". Zum Entfernen
von Dateien aus CMP.DAT steht das Programm EDIT_CMP.PRG im
Ordner LIBRARY zur verfügung. Da beim Speichern von CMP.DAT
alle Viren und Bootprogramme gespeichert werden, müssen Sie
danach noch alle Dateien BOOT.xxx, VIRUS_C.xxx und VIRUS.xxx
aus dem Ordner LIBRARY entfernen, da diese sonst beim näch-
sten Start von SAGROTAN zweimal geladen würden. Die in
CMP.DAT enthaltenen Viren sind zusätzlich so verstümmelt,
daß eine Entschlüsselung nicht mehr möglich ist. Diese
zusätzliche Maßnahme verhindert den Einsatz von SAGROTAN als
"Virus-Construction-Set", bewirkt jedoch leider auch, daß
CMP.DAT von SAGROTAN ab Version 4.13 nicht als Vergleichsda-
ten für SAGROTAN 4.10 und 4.12 verwendet werden kann.
Die Datei MINI.DAT ist eine abgemagerte Version von CMP.DAT,
für Computer, die nicht genügend Speicher haben. In MINI.DAT
sind keine Spielebootsektoren vorhanden. Zum Einsatz von
MINI.DAT benennen Sie zuerst CMP.DAT um, oder entfernen die
Datei aus dem Ordner Library. Danach benennen Sie MINI.DAT
in CMP.DAT um.
4.4 Festplattenrootsektoren
Der Rootsektor der Fesplatte wird beim DMA-Bootvorgang
gelesen und ausgeführt. Im Rootsektor ist außerdem die
Partitionierungsinformation der Festplatte enthalten. Da
dieser Sektor einen anderen Aufbau besitzt, als ein Disket-
tenbootsektor, wird für diese Sektoren eine extra Bibliothek
geführt. Die Sektoren haben den Namen "HDBOOT" und als
Namenserweiterung die DMA-Geräte-Nummer als dreistellige
Zahl. Zur Zeit wird nur eine Festplatte mit der Nummer 0
unterstützt. Es kann also nur die Datei mit Namen
"HDBOOT.000" auftreten. Die Datei ist nicht im Lieferumfang
enthalten, sondern wird bei der ersten Festplattenprüfung
erzeugt. Da die Partitionierungsinformation beim Befall
durch einen Disketten-Bootsektorvirus zerstört würde, ist
für diesen Fall eine Reparaturmöglichkeit gegeben. Dazu
müssen Sie sich von der Datei HDBOOT.000 eine Sicherheits-
kopie auf Diskette anlegen. Mit Hilfe des Programms HDRESTOR
kann der Rootsektor dann wieder auf die Festplatte geschrie-
ben werden.
4.5 Vergleichsdaten bekannter Programme
Die fünfte Bibliothek besteht ebenfalls nur aus einer Datei,
und zwar mit dem Namen PGM_INFO.DAT. In dieser Datei sind
Vergleichsdaten für die Überprüfung von Dateien auf Link-
virenbefall gespeichert. Um die Überprüfung von verschiede-
nen Versionen eines Programmes zu ermöglichen, können belie-
big viele Dateien mit gleichem Namen in diese Datei aufge-
nommen werden. Wird bei der Prüfung einer Datei festge-
stellt, daß keine oder nur abweichende Vergleichsdaten
vorhanden sind, erhalten Sie die Möglichkeit, die Ver-
gleichsdaten in die im Speicher stehende Tabelle aufzuneh-
men. Diese Tabelle ist das Abbild der Datei PGM_INFO.DAT.
Mit "Programminformationen speichern" unter "BIBLIOTHEK"
wird die erweiterte Tabelle dann wieder in die Datei
PGM_INFO.DAT gespeichert. Um Einträge aus der Datei
PGM_INFO.DAT zu entfernen, verwenden Sie bitte das mitgelie-
ferte Programm EDIT_PGM.PRG aus dem Ordner Library.
5 Anhang
--------
Auf den nächsten Seiten finden Sie vorgefertigte Antwortfor-
mulare für den Updateservice.
Absender: Datum __ . __ . 19__
Name ..................
Straße ..................
PLZ/Ort ..................
An
Henrik Alt
Kirgelweg 25
7160 Gaildorf
Updatebestellung
__ __
Hiermit bestelle ich die neueste Version von SAGROTAN.
Den Preis von 30,-- DM habe ich
.. als Verrechnungsscheck beigelegt
oder
.. auf das Konto 6428662 bei der Kreissparkasse Schwäbisch Hall-
Crailsheim, BLZ 62250030 überwiesen, und zwar am __ . __ . 19__
oder
.. in bar (Scheine) beigelegt. (Zutreffendes bitte ankreuzen)
________________
(Unterschrift)
Absender: Datum __ . __ . 19__
Name ..................
Straße ..................
PLZ/Ort ..................
An
Henrik Alt
Kirgelweg 25
7160 Gaildorf
Ein neuer Virus!
__ __
Ich habe in meiner Diskettensammlung einen neuen Virus bzw.
ein unbekanntes Bootprogramm entdeckt!
Der Virus befindet sich auf der beigelegten Diskette in der
Datei: VIRUS_C.___ bzw. BOOT.___ .
Als Dankeschön erhalte ich eine neue Version von SAGROTAN.
________________
(Unterschrift)