Crawly Crypt Collection 1

home *** CD-ROM | disk | FTP | other *** search

/ Crawly Crypt Collection 1 / crawlyvol1.bin / utility / virus / sagro417 / anleit.txt next >

Wrap

Text File | 1986-02-04 | 37KB | 854 lines

********************************************* 08.04.90 **** * * * SAGROTAN * * * * - DER ultimative Virenkiller - * * * * Henrik Alt * * Kirgelweg 25 * * 7160 Gaildorf * * * * - schützt zuverlässig vor Viren * * - immunisiert Ihre Disketten * * - Public-Domain * * * *********************************************************** Inhalt 1 Vorbemerkungen 1.1 Hinweise zum Public-Domain-Vertrieb 1.2 Update-Service 1.3 Hardwarevoraussetzungen 1.4 Sonstiges 2 Kleine Virenkunde 2.1 Was ist ein Virus? 2.2 Aufbau eines Virusprogrammes 2.3 Virenbefall beim Atari ST 2.4 Was tun bei Virenbefall? 2.5 Wie sich ein Virus manchmal verrät 2.6 Prophylaxe 2.7 Hinweise für Festplattenbesitzer 2.8 Linkviren 3 Arbeiten mit SAGROTAN 3.1 Die ersten Schritte 3.2 Bootsektorprüfung 3.3 Linkvirenprüfung 3.4 Speicherprüfung 3.5 Bootsektorreparatur 3.6 Accessories 3.7 Gefahrenhinweise 3.8 Installation auf Computern mit nur 512 KB-RAM 4 Die Handhabung der Bibliotheken 4.1 Die Virenbibliothek 4.2 Bibliothek bekannter Bootprogramme 4.3 Zusammengefasste Viren und Bootsektoren 4.4 Festplattenrootsektoren 4.5 Vergleichsdaten bekannter Programme 5 Anhang 1 Vorbemerkungen ---------------- 1.1 Hinweise zum Public-Domain-Vertrieb SAGROTAN ist ein Public-Domain-Programm und darf frei kopiert werden. Die kommerzielle Nutzung ist jedoch unter- sagt! Erlaubt ist jedoch das Aufbringen des SAGROTAN- Bootsektors auf kommerzielle Programme. 1.2 Update-Service Mit 30 DM honorieren Sie die Mühe, die in SAGROTAN steckt, und erhalten eine neue Version von SAGROTAN. Falls Sie einen neuen Virus oder ein unbekanntes Bootpro- gramm einschicken, erhalten Sie KOSTENLOS eine neue, ggf. an diesen Virus angepaßte Version! 1.3 Hardwarevoraussetzungen SAGROTAN läuft nur in der mittleren oder hohen Bildschirm- auflösung. Wegen der sehr umfangreichen Vergleichsdaten sollte für die Arbeit mit SAGROTAN ca. 500 KB Speicher zur Verfügung stehen. Steht weniger Speicher zur Verfügung, ist die Größe der auf Virenbefall zu untersuchenden Dateien stark eingeschränkt. Bei Computern mit nur 512K RAM kann es nötig sein Teile der Vergleichsdaten wegzulassen. 1.4 Sonstiges Mein Dank geht an dieser Stelle an Clemens Weller, Fichten- berg, für die tatkräftige Unterstützung bei der Entwicklung der Benutzeroberfläche. Auch konnte die Fehlersuche im Programm durch seine "Weller-Tools für GFA-BASIC" sehr vereinfacht werden. Ebenso geht mein Dank an D. Foerster-Michalke, Solingen, für die Korrektur dieser Anleitung. Mein Zorn gilt natürlich all denjenigen, die diese lästigen Viren programmieren oder in Umlauf bringen. 2 Kleine Virenkunde ------------------- Ziel dieses Kapitels ist es, dem Anwender von SAGROTAN die Funktion von Virusprogrammen zu erläutern und die bei Virenbefall nötigen Gegenmaßnahmen zu erklären. 2.1 Was ist ein Virus? Ein Virusprogramm ist ein Programm, das sich vermehren kann. Wie in Biologie ist der Virus dabei auf die Hilfe eines sog. Wirtes, in unserem Fall der Atari ST, angewiesen. 2.2 Aufbau eines Virusprogrammes Aus der Funktion eines Virusprogrammes ergibt sich, daß ein Virus normalerweise die folgenden Programmteile enthält: - Initialisierung dieser Programmteil lädt oder verschiebt den Virus an seine endgültige Zieladresse und setzt die Ereignisüber- wachung in Gang. - Ereignisüberwachung dieser Programmteil zapft das Betriebssystem an und wartet auf eine günstige Gelegenheit zum Eingreifen. - Vermehrungsteil dieser Programmteil wird von der Ereignisüberwachung aufgerufen und bewirkt, daß ein neuer Virus auf die Diskette oder Festplatte geschrieben wird. - Aktionsteil dieser Programmteil wird nur unter ganz bestimmten Umständen von der Ereignisüberwachung aufgerufen und bewirkt die üblen Sachen, vor denen es den Computeran- wendern so graust. 2.3 Virenbefall beim Atari ST Da wohl kein Anwender freiwillig ein Virusprogramm starten würde, finden sich Viren normalerweise an den Stellen, wo sie automatisch gestartet werden. Beim Atari ST gibt es dafür zwei Möglichkeiten: a) der Virus wird an ein Anwenderprogramm angehängt, b) der Virus wird in den Bootsektor einer Diskette geschrieben. Da die Version a meistens durch die Verlängerung der Anwenderprogramme auffällt, sind zur Zeit hauptsächlich Viren vom Typ b im Umlauf. Seit Version 4.00 erkennt SAGROTAN Viren beider Typen. 2.4 Was tun bei Virenbefall? Als nächstes bleibt zu klären, was zu tun ist, wenn Sie ein praktisches Beispiel für die obigen Ausführungen in Form einer virusbefallenen Diskette in Händen halten! - Ruhe bewahren! Viren im Bootsektor können meistens ohne Nebenwirkungen vernichtet werden. - Falls es sich um einen bekannten Virus handelt, wird dieser durch Überschreiben mit dem SAGROTAN-Bootprogramm vernichtet. Schalten Sie danach den Computer mindestens 20 s aus, um den Virus aus dem Speicher zu löschen. Booten Sie dann von der neu behandelten Diskette. Dabei muß die Meldung "Kein Virus im Bootsektor" erscheinen. Falls dies nicht der Fall ist, müssen die obigen Schritte wiederholt werden. Jetzt haben Sie den Virus auf dieser Diskette vernichtet. - Falls es sich um ein unbekanntes Bootprogramm handelt muß zunächst festgestellt werden, ob dieses ein Virus ist. Dafür benötigen Sie zwei leere Disketten, die im folgenden mit A und B bezeichnet werden. Falls Sie eine Festplatte besitzen, klemmen Sie diese ab. Kopieren Sie die gesamte Diskette mit dem unbekannten Bootprogramm auf Diskette A. Verwenden Sie dazu ein Kopierprogramm wie z.B. "FCOPY", damit auch der Bootsek- tor unverändert übertragen wird. Formatieren Sie die Diskette B und löschen den Bootsek- tor mit der SAGROTAN-Funktion "Bootsektor löschen." Booten Sie von Diskette A. Legen Sie Diskette B ein und lassen Sie sich das Inhaltsverzeichnis anzeigen. Prüfen Sie nun die Diskette B mit SAGROTAN auf Virenbe- fall. Sollte der Bootsektor von Diskette B nun ein unbekanntes Bootprogramm enthalten, kann das nur ein Virus sein. Legen Sie die SAGROTAN Diskette ein und nehmen Sie den Virus in die Bibliothek der Virenprogramme auf. Vernich- ten Sie den Virus durch Überschreiben mit dem SAGROTAN- Bootprogramm. - Wird ein Linkvirus erkannt, haben Sie oftmals die Möglichkeit das befallene Programm noch zu retten. Leider gibt es auch Linkviren, die das befallene Pro- gramm vollständig zerstören. - Bestehen Zweifel, ob ein Programm Virusbefallen ist, so können Sie folgenden Test machen: Kopieren Sie das virenverdächtige Programm zusammen mit einigen anderen Programmen, darunter auch das TEST.PRG von der SAGROTAN-Diskette auf eine gesonderte Diskette. Klemmen Sie eine evtl. vorhandene Festplatte ab und booten neu. Starten Sie dann abwechselnd das virenver- dächtige Programm und die anderen Programme auf der Diskette. Sollten sich Veränderungen an den Programmen zeigen, ist dies ein Indiz für Linkvirenbefall. Beson- ders deutlich wird dies am Programm TEST.PRG, da das Programm nur 52 Bytes lang ist. 2.5 Wie sich ein Virus manchmal verrät Obwohl ein Virus normalerweise so programmiert ist, daß man ihn nicht bemerkt, kann es doch Fälle geben, in denen er sich verrät. Wie viele Programme, so sind auch manche Viren nicht Blitter-TOS kompatibel. So z.B. der "VIRE87" von der bayrischen Hackerpost. Hier funktioniert die Schreibschut- zabfrage des Virus mit Blitter-TOS nicht mehr. Das führt dazu, daß beim Anzeigen des Inhaltsverzeichnisses einer schreibgeschützten Diskette plötzlich die Meldung "Diskette schreibgeschützt" erscheint, die hier normalerweise nicht erscheinen dürfte. Ein weiteres Indiz für Virenbefall ist das plötzliche Versagen von Bootprogrammen wie z.B. der 60-Hz Umschaltung oder dem RAM-TOS Bootprogramm. Bei Linkviren ist die Verlängerung der befallenen Programme ein untrügliches Zeichen für Virenbefall. Viele Linkviren versuchen beim Start eines befallenen Programmes alle auf- findbaren Programme ebenfalls zu verseuchen. Dies benötigt jedoch erheblich mehr Zeit als der Start des unbefallenen Programmes. 2.6 Prophylaxe Sie sollen nun erfahren, wie Sie den Viren durch das Beherzigen einiger weniger Verhaltensregeln das Leben möglichst schwer machen können. - Booten Sie immer von derselben, schreibgeschützten Dis- kette, die durch das SAGROTAN Bootprogramm geschützt ist. Booten Sie insbesondere NIEMALS wahllos von FREMDEN Disketten. - Prüfen Sie alle neuen Programmdisketten vor der ersten Benutzung mit SAGROTAN auf Virenbefall. - Halten Sie Ihre Disketten so lange schreibgeschützt, wie es irgendwie möglich ist. - Schützen Sie alle Disketten mit dem SAGROTAN Bootpro- gramm. Ausgenommen diejenigen Disketten, die ein spe- zielles Bootprogramm benötigen. - Prüfen Sie Ihre Disketten regelmäßig mit SAGROTAN auf Virenbefall. - Fertigen Sie regelmäßig Sicherheitskopien von Ihren Daten an. Bei Programmen ist es sinnvoller eine ein- malige Sicherheitskopie beim Erwerb des Programmes durchzuführen. Da Sie sonst evtl. auf eine bereits virenbefallene Sicherheitskopie zurückgreifen! - Da manche Linkviren die zu befallenden Programme anhand ihrer Namenserweiterung erkennen, kann die Verbreitung solcher Viren durch die Änderung der Namenserweiterung der ausführbaren Programme verhindert werden. Damit Programme mit geänderter Namenserweiterung trotzdem vom Betriebssystem gestartet werden, muß die Datei DESKTOP.INF angepasst werden. Dies sei am folgenden Beispiel erklärt. In der Datei DESKTOP.INF finden Sie die folgenden vier Zeilen: #G 03 FF *.PRG@ @ #G 03 FF *.APP@ @ #F 03 04 *.TOS@ @ #P 03 04 *.TTP@ @ Kopieren Sie diese Zeilen und überschreiben Sie in den kopierten Zeilen die Namenserweiterungen mit neuen Namen. Die in den folgenden Zeilen gewählten Namen, EXE statt PRG, GDO statt APP, COM statt TOS und BAT statt TTP stellen lediglich ein Beispiel dar. Ihrer Phantasie sind hierbei keine Grenzen gesetzt. Vermeiden Sie jedoch solche Bezeichnungen, die schon für andere Zwecke ver- geben sind, z.B. BAS oder DOC. #G 03 FF *.EXE@ @ #G 03 FF *.GDO@ @ #F 03 04 *.COM@ @ #P 03 04 *.BAT@ @ Durch diese Modifikation wird erreicht, daß sowohl Programme mit den alten Namenserweiterungen, als auch solche mit den selbstdefinierten vom Betriebssystem gestartet werden. Die Änderung ist natürlich erst nach einem RESET wirksam. - Da viele Viren resetfest sind, ist es sinnvoll den Computer von Zeit zu Zeit ganz auszuschalten, um alle Programme im Speicher zu löschen. Da jedoch allzuhäufi- ges Ausschalten dem Atari nicht guttut, ist es besser, entweder die Kaltstart-Funktion von SAGROTAN oder das von Atari zum TOS 1.4 gelieferte Programm COLDBOOT.PRG zu verwenden. Vor den in Umlauf befindlichen Antiviren möchte ich an dieser Stelle einmal eindringlich warnen. Da diese Programme meist keine Gnade kennen und ALLE ausführbaren Bootpro- gramme überschreiben. 2.7 Hinweise für Festplattenbesitzer Auch wenn Ihre Festplatte bootfähig ist, wird trotzdem beim Einschalten des Systems zunächst der Bootsektor der Diskette eingelesen und ausgeführt. Bei einem RESET wird jedoch nur der Bootsektor des vermerkten Bootlaufwerkes gelesen und ausgeführt. Schweißausbrüche wegen des Ausbleibens der Mel- dung "Kein Virus im Bootsektor" bei RESET sind also unbe- gründet. Aus dem gleichen Grunde bleiben Festplattenbe- sitzer auch meistens von Bootsektorviren verschont. Wegen der weitaus größeren Datenmenge, die auf dem Spiel steht, ist jedoch trotzdem besondere Vorsicht angebracht! Mit der TOS-Version 1.4 wurde der Ablauf des Warmstartes geändert. Es wird jetzt trotz angeschlossener Festplatte auch beim Warmstart (RESET) zunächst von Diskette gebootet! Fest- plattenbesitzer sollten diese virenfreundliche Neuerung stehts berücksichtigen! 2.8 Linkviren Unter Linkviren versteht man solche Viren, die sich an Anwenderprogramme anhängen. Da sich die Erkennung solcher Viren besonders schwierig gestaltet, werden hierfür von SAGROTAN drei verschiedene Diagnoseverfahren angewendet. Das erste Verfahren verwendet Vergleichsdaten über das zu prüfende Programm, wie z.B. Längen der Programm- und Daten- segmente sowie CRC-Prüfsummen. Dieses Verfahren hat den Vor- teil, daß alle Änderungen am Programm erkannt werden, also auch der Befall durch heute noch nicht bekannte Viren später einmal entdeckt werden kann. Der Nachteil ist jedoch, daß die dazu nötigen Vergleichsdaten auch vorhanden sein müssen (siehe Abschnitt 4.6). Bei den mitgelieferten Vergleichsda- ten von ca. 350 Programmen können jedoch auch dadurch Abweichungen entstehen, daß die Daten von einer anderen Programmversion stammen, als das zu untersuchende Programm. Abweichungen entstehen oft auch durch in kommerziellen Programmen enthaltenen Seriennummern. Deshalb prüft ein zweites Diagnoseverfahren das Auftreten bestimmter Bytekombinationen, die für einige Viren typisch sind. Hierdurch kann der Virenbefall mit diesen Viren sicher nachgewiesen werden. Soweit möglich können diese Viren auch wieder aus den befallenen Dateien entfernt werden. Zusätzlich wird noch durch ein drittes Verfahren geprüft, ob der Dateiaufbau korrekt ist. Dabei wird überprüft, ob in einer evtl. vorhandenen Symboltabelle auch wirklich nur Symbole vorhanden sind, ob die Relokationstabelle in Ordnung ist und ob nachträglich Daten an die Datei angehängt wurden. Der letzte Punkt erwies sich dabei als ziemlich schwierig, da viele Compiler noch etliche Bytes "Datenmüll" an die Datei anhängen. Ein besonders übles Beispiel ist hier der "C"-Compiler von DRI, der schon dem Betriebssystem des Atari ST zu seiner Behäbigkeit und Fülle verholfen hat. Ebenso kann es bei solchen Programmen zu Fehldiagnosen kommen, die von Compilern oder Linkern, die das GST-Dateiformat verwen- den, erzeugt wurden. Mit dem letzten Diagnoseverfahren sind zwar keine exakten Aussagen über den Virenbefall möglich, es hat aber den Vorteil, daß nebenbei noch defekte Dateien aufgespürt werden. 3 Arbeiten mit SAGROTAN ----------------------- 3.1 Die ersten Schritte Da SAGROTAN voll menügesteuert ist, werden Sie schnell mit der Bedienung vertraut sein. Unterstützt werden Ihre ersten Schritte durch eine 'Extrahilfe', die zu jedem angewählten Menüpunkt eine kurze Erklärung gibt. Außerdem ist bei Funktionen, die zu Datenverlust führen könnten, zusätzlich eine Abbruchmöglichkeit gegeben. Um die Bedienung von SAGROTAN zu vereinfachen, ist auch eine Steuerung über die Tastatur möglich. Damit Sie die Tasten leicht finden, steht hinter jedem Menüeintrag ein Zeichen in spitzen Klammern. Durch Drücken dieser Taste wird die gleiche Funktion ausgeführt, wie durch Anklicken des Menüeintrages mit der Maus. Nach dem Start von SAGROTAN werden zunächst die Ver- gleichsbibliotheken geladen. Der Ladevorgang wird dabei mitprotokolliert. Nach Beendigung des Ladevorganges er- scheint die Benutzeroberfläche und die SAGROTAN Infomel- dung. Nach Anklicken von OK oder Drücken von RETURN ist SAGROTAN arbeitsbereit. Sie sehen jetzt zwei Fen- ster. Im oberen Fenster wird der Hexdump des Bootsektors ausgegeben, im unteren Fenster erfolgt der Dialog mit dem Benutzer. Seit Version 4.05 können Sie die Aufteilung des Bildschirmes verändern. Durch Verschieben des Dialogfensters nach oben wird das Hexdump-Fenster kleiner und das Dialog-Fenster größer. Der gegenteilige Effekt tritt bei Verschiebung nach unten ein. Falls Sie das Hexdump-Fenster so groß gewählt haben, daß der gesamte Bootsektor dargestellt wird, empfiehlt es sich die Ausgabe im Dialogfenster auf kleine Schrift umzustellen, da sonst nicht mehr alle Meldungen in das Fenster passen. Die Umstellung geschieht durch Auswahl der Textgröße 6 unter dem Menü "ALLERLEI". Seit Version 4.15 ist es möglich die Voreinstellungen abzu- speichern. Dabei können Sie auch festlegen, welche Aktionen beim Start des Programmes ausgeführt werden sollen. Die Funktion "Einstellung sichern" finden Sie im Menü "ALLERLEI". 3.2 Bootsektorprüfung Der normale Tätigkeitsablauf wird sein, daß Sie nun eine Diskette einlegen und diese mit "Bootsektor prüfen" auf Virenbefall untersuchen. Falls die Diskette kein Boot- programm oder gar einen Virus enthält, sollten Sie das SAGROTAN-Bootprogramm mit "Bootsektor schützen" auf die Dis- kette aufbringen. Nachdem dies geschehen ist, können Sie die nächste Diskette einlegen. 3.3 Linkvirenprüfung Für die Prüfung von Dateien auf Linkvirenbefall sollten Sie zunächst festlegen, welche Dateien auf Virenbefall untersucht werden sollen. Dazu haben Sie vier Auswahlmög- lichkeiten. 1. Einzelne Dateien, Auswahl durch Fileselect-Box. 2. Alle ausführbaren Dateien in einem Pfad, Auswahl durch Fileselect-Box. 3. Alle ausführbaren Dateien auf dem voreingestellten Laufwerk. 4. Alle Dateien auf den ausgewählten Laufwerken. Die Auswahl finden Sie unter Optionen im Menü "VIRUS". Bei einer reihenweisen Überprüfung werden nur solche Dateien überprüft, die eine der fünf konfigurierbaren Namenser- weiterungen haben. Die Nameserweiterungen werden folgender- maßen vorbelegt: APP, AC?, PR?, TOS und TTP . ? bedeutet, daß jeder Buchstabe als gültig erkannt wird. 3.4 Speicherprüfung Hierbei wird geprüft, ob bereits ein Virus im Speicher steht. Außerdem werden resetfeste Programme angezeigt. Be- achten Sie auch, das resetfeste RAM-Disks nicht auch reset- feste Programme sein müssen, denn nur die Daten müssen den Reset überstehen, nicht das Treiberprogramm. Da bei der Speicherprüfung nach residenten Programmen gesucht wird, die sich außerhalb des vom Gemdos verwalteten Speichers befinden, kann es hierbei hin und wieder auch zu Fehldiagnosen kommen. - Programme, die massiv in die Speicherverwaltung eingrei- fen, werden manchmal fälschlicherweise als Virus erkannt. Z.B. REVOLVER, K-SWITCH, ebenso manche Harddisk-Treiber. - Das Verfahren funktioniert sehr gut bei Bootsektorviren, jedoch in der Regel NICHT bei speicherresidenten Link- viren! 3.5 Bootsektorreparatur Durch Defekte oder Vireneinwirkung kann es vorkommen, daß die Formatinformation des Bootsektors zerstört wurde. In einem solchen Fall ist die Diskette nicht mehr lesbar. Durch fehlende Fehlerabfragen im TOS kommt es beim Versuch von der Diskette Daten zu lesen dann sehr häufig zu Systemabstürzen. 3.6 Accessories SAGROTAN erlaubt auch den Aufruf von Desk-Accessories. Aus Gründen der Einfachheit wird durch die Redraw-Routine der gesamte Bildschirm neu aufgebaut. Deshalb sollten keine Accessories aufgerufen werden, die verschoben werden können oder Eingaben außerhalb des Accessoryfeldes zulassen, wie z.B. das Kontrollfeld. 3.7 Gefahrenhinweise Durch SAGROTAN können unter ungünstigen Umständen Daten zerstört werden! Es sind die folgenden Gefahrenquellen bekannt: - Ein Bootprogramm hatte eine nützliche Funktion. Durch überschreiben mit der Funktion "Diskette Schützen" wird das Bootprogramm zerstört! Insbesondere bei kopierge- schützter Software oder Disketten, die ein spe- zielles Betriebssystem verwenden, ist hier Vorsicht geboten! Spieledisketten enthalten fast immer einen ein spezielles Bootprogramm! - Wenn Sie nach "Diskette Prüfen" und vor "Diskette Schützen" die Diskette wechseln, wird keine erneute Bootsektoranalyse vorgenommen. Sie überschreiben also ein evtl. vorhandenes, nützliches Bootprogramm, ohne dies zu bemerken. - Ab Version 3.7 ist es möglich, die Warnmeldungen, z.B. beim Löschen des Bootsektors abzuschalten. Wer größere Diskettenmengen zu bearbeiten hat wird dies zu schätzen wissen. Durch einen unachtsamen Tastendruck können nun jedoch fast unbemerkt Bootprogramme zerstört werden! Be- achten Sie auch, daß seit Version 4.15 die Warnmeldungen in den Voreinstellungen enthalten sind, und nicht bei jedem Programmstart explizit abgeschaltet werden müssen. - Wenn Sie angehängte Daten abschneiden, kann dies zur Zerstörung des Programmes führen, da manche Programme solche Daten tatsächlich benötigen! Z.B. ERDKUGEL.PRG, TURBODOS.PRG. - Manche Linkviren treten in verschiedenen "Mutationen" auf. Das Reparieren eines virusbefallenen Programmes erzeugt deshalb manchmal Programme, die nicht lauffähig sind. - Die Formatanalyse bei "Bootsektor reparieren" geht davon aus, daß alle auf der Diskette vorhandenen Spuren und Sektoren auch genutzt werden. Dies ist jedoch bei eini- gen Schnelladeformaten nicht der Fall! Ebenso ist dies nicht der Fall, wenn Sie eine Diskette mit niedriger Ka- pazität auf eine Diskette höherer Kapazität kopieren, ohne neu zu formatieren. In einem solchen Fall wird eine intakte Diskette zerstört, wenn Sie den Bootsektor schreiben, ohne die ermittelten Daten von Hand zu korri- gieren. 3.8 Installation auf Computern mit nur 512 KB RAM SAGROTAN läuft auch auf Computern mit nur 512 KB RAM. Für eine zufriedenstellende Arbeitsweise sind jedoch einige Vor- kehrungen zu treffen. Die Vollversion (SAGROTAN.PRG) benötigt, um beim Start alle mitgelieferten Bibliotheken laden zu können 300 KB freien Speicher. Ein Computer mit 512 KB RAM kann ohne Accessories sowie residenten Programmen und mit TOS im ROM max. 370 KB zu Verfügung stellen. Ein Start des Programmes ist also möglich, der verfügbare freie Speicher für SAGROTAN aber sehr knapp. In diesem Zustand funktionieren die Funktionen, die den Bootsektor der Diskette betreffen ohne Einschränkungen. Eine Überprüfung von Dateien auf Linkvirenbefall setzt je- doch vorraus, daß die Datei komplett in den freien Speicher geladen werden kann. Um auch die überprüfung größerer Dateien zu ermöglichen, be- nötigen Sie mehr freien Speicher. Dafür gibt es mehrere Mög- lichkeiten: - Das Programm SG_520.PRG benötigt ca. 7 KB weniger Spei- cher als SAGROTAN.PRG, da die Festplattenroutinen und die Extrahilfe fehlen. - Durch weglassen von Vergleichsdaten kann der verbleiben- de freie Speicherplatz vergrößert werden. Verwenden Sie evtl. die Datei MINI.DAT statt CMP.DAT, oder kürzen Sie die Datei CMP.DAT nach Ihren Vorstellungen. Fertigen Sie jedoch zuerst eine Sicherheitskopie von CMP.DAT an. - Verwenden Sie für die Prüfung auf Linkvirenbefall eine Version von SAGROTAN, die im LIBRARY-Ordner keine Datei CMP.DAT besitzt, sowie eine mit EDIT_PGM.PRG auf das nötigste gekürzte Datei PGM_INFO.DAT. Fertigen Sie auch hier zuerst eine Sicherheitskopie von PGM_INFO.DAT an. Den zur Verfügung stehenden freien Speicher erhalten Sie bei ausgeschalteter Extrahilfe im Menü "SAGROTAN" unter "DESK" angezeigt. Angezeigt werden oberhalb des "OK"-Knopfes der zur Verfügung stehende Speicher für den Internen Bedarf des Programmes, sowie der zum Laden von Dateien zur Verfügung stehende Speicher. 4 Die Handhabung der Bibliotheken --------------------------------- SAGROTAN benützt für die Virenprüfung vier verschiedene Bibliotheken mit Vergleichsprogrammen, die beim Start von SAGROTAN automatisch geladen werden. Die Bibliotheken müssen sich dazu im Ordner LIBRARY befinden, der im gleichen Pfad liegt, wie SAGROTAN selbst. 4.1 Die Virenbibliothek Die erste Bibliothek enthält die Vergleichsviren. Jeder Virus belegt eine eigene Datei. Der Dateiname ist "VIRUS_C", die Namenserweiterung eine dreistellige Ziffer. Die erste Datei hat den Namen "VIRUS_C.001". Die Dateien müssen durchgehend nummeriert sein. SAGROTAN bricht den Ladevorgang ab, wenn keine Datei mit der nächsten Nummer mehr gefunden wird. Dies sei am folgenden Beispiel erklärt. Angenommen Ihre Virenbibliothek enthält die Dateien VIRUS_C.001, VIRUS_C.002 und VIRUS_C.003. Wenn Sie die Datei VIRUS_C.002 löschen, würde beim nächsten Start von SAGROTAN nur noch die Datei VIRUS_C.001 geladen. Wenn die Datei VIRUS_C.003 noch benötigt wird, muß diese in VIRUS_C.002 umbenannt werden. Wenn Sie aus SAGROTAN heraus einen Virus abspeichern, berechnet SAGROTAN die Namenserweiterung aus der Anzahl der geladenen Viren. Sie brauchen sich darum also nicht zu kümmern. Seit Version 3.6 werden die Viren verschlüsselt abgespeichert, denn SAGROTAN soll ja die Ausbreitung von Viren hemmen und nicht fördern! Falls Sie noch über unver- schlüsselte Virusdateien verfügen, so können Sie diese trotzdem verwenden. Die unverschlüsselten Dateien haben den Dateinamen "VIRUS". Beachten Sie, daß, auch bei gemischter Verwendung von verschlüsselten und unverschlüsselten Dateien, die Nummerierung aller Virusdateien durchgehend sein muß. 4.2 Bibliothek bekannter Bootprogramme Die zweite Bibliothek enthält bekannte Bootprogramme, die keine Viren sind. Der Dateiname ist hier "BOOT" und die Namenserweiterung, wie bei den Virusdateien, eine dreistel- lige Ziffer. Entsprechend gilt auch das oben Gesagte in Be- zug auf die durchgehende Nummerierung. Da die Bootsektoren nicht verschlüsselt abgespeichert werden, ist es nicht mög- lich, durch Umbenennen einer Datei, diese von der Viren- in die Bootsektorbibliothek zu übertragen. Der umgekehrte Fall ist jedoch möglich, da die unverschlüsselten Virusdatei- en den gleichen Aufbau haben, wie die Bootprogramme. Sollten Sie also einmal versehentlich einen Virus als Bootprogramm abgespeichert haben, können Sie durch Umbenennen von "BOOT" in "VIRUS" (nicht "VIRUS_C") und Anpassen der Nummer der Namenserweiterung den Virus in die Virenbibliothek über- tragen. 4.3 Zusammengefasste Viren und Bootsektoren Wegen der stark angewachsenen Zahl von Vergleichsdateien ist seit Version 4.10 zusätzlich eine Datei mit Namen CMP.DAT vohanden, die eine größere Anzahl von Viren und Bootprogram- men enthält. Dadurch wird der Ladevorgang beim Start von SAGROTAN deutlich verkürzt. Falls Sie neue Viren oder Boot- programme in diese Datei aufnehmen möchten, verwenden Sie die Funktion "Alle Bootsektoren speichern". Zum Entfernen von Dateien aus CMP.DAT steht das Programm EDIT_CMP.PRG im Ordner LIBRARY zur verfügung. Da beim Speichern von CMP.DAT alle Viren und Bootprogramme gespeichert werden, müssen Sie danach noch alle Dateien BOOT.xxx, VIRUS_C.xxx und VIRUS.xxx aus dem Ordner LIBRARY entfernen, da diese sonst beim näch- sten Start von SAGROTAN zweimal geladen würden. Die in CMP.DAT enthaltenen Viren sind zusätzlich so verstümmelt, daß eine Entschlüsselung nicht mehr möglich ist. Diese zusätzliche Maßnahme verhindert den Einsatz von SAGROTAN als "Virus-Construction-Set", bewirkt jedoch leider auch, daß CMP.DAT von SAGROTAN ab Version 4.13 nicht als Vergleichsda- ten für SAGROTAN 4.10 und 4.12 verwendet werden kann. Die Datei MINI.DAT ist eine abgemagerte Version von CMP.DAT, für Computer, die nicht genügend Speicher haben. In MINI.DAT sind keine Spielebootsektoren vorhanden. Zum Einsatz von MINI.DAT benennen Sie zuerst CMP.DAT um, oder entfernen die Datei aus dem Ordner Library. Danach benennen Sie MINI.DAT in CMP.DAT um. 4.4 Festplattenrootsektoren Der Rootsektor der Fesplatte wird beim DMA-Bootvorgang gelesen und ausgeführt. Im Rootsektor ist außerdem die Partitionierungsinformation der Festplatte enthalten. Da dieser Sektor einen anderen Aufbau besitzt, als ein Disket- tenbootsektor, wird für diese Sektoren eine extra Bibliothek geführt. Die Sektoren haben den Namen "HDBOOT" und als Namenserweiterung die DMA-Geräte-Nummer als dreistellige Zahl. Zur Zeit wird nur eine Festplatte mit der Nummer 0 unterstützt. Es kann also nur die Datei mit Namen "HDBOOT.000" auftreten. Die Datei ist nicht im Lieferumfang enthalten, sondern wird bei der ersten Festplattenprüfung erzeugt. Da die Partitionierungsinformation beim Befall durch einen Disketten-Bootsektorvirus zerstört würde, ist für diesen Fall eine Reparaturmöglichkeit gegeben. Dazu müssen Sie sich von der Datei HDBOOT.000 eine Sicherheits- kopie auf Diskette anlegen. Mit Hilfe des Programms HDRESTOR kann der Rootsektor dann wieder auf die Festplatte geschrie- ben werden. 4.5 Vergleichsdaten bekannter Programme Die fünfte Bibliothek besteht ebenfalls nur aus einer Datei, und zwar mit dem Namen PGM_INFO.DAT. In dieser Datei sind Vergleichsdaten für die Überprüfung von Dateien auf Link- virenbefall gespeichert. Um die Überprüfung von verschiede- nen Versionen eines Programmes zu ermöglichen, können belie- big viele Dateien mit gleichem Namen in diese Datei aufge- nommen werden. Wird bei der Prüfung einer Datei festge- stellt, daß keine oder nur abweichende Vergleichsdaten vorhanden sind, erhalten Sie die Möglichkeit, die Ver- gleichsdaten in die im Speicher stehende Tabelle aufzuneh- men. Diese Tabelle ist das Abbild der Datei PGM_INFO.DAT. Mit "Programminformationen speichern" unter "BIBLIOTHEK" wird die erweiterte Tabelle dann wieder in die Datei PGM_INFO.DAT gespeichert. Um Einträge aus der Datei PGM_INFO.DAT zu entfernen, verwenden Sie bitte das mitgelie- ferte Programm EDIT_PGM.PRG aus dem Ordner Library. 5 Anhang -------- Auf den nächsten Seiten finden Sie vorgefertigte Antwortfor- mulare für den Updateservice. Absender: Datum __ . __ . 19__ Name .................. Straße .................. PLZ/Ort .................. An Henrik Alt Kirgelweg 25 7160 Gaildorf Updatebestellung __ __ Hiermit bestelle ich die neueste Version von SAGROTAN. Den Preis von 30,-- DM habe ich .. als Verrechnungsscheck beigelegt oder .. auf das Konto 6428662 bei der Kreissparkasse Schwäbisch Hall- Crailsheim, BLZ 62250030 überwiesen, und zwar am __ . __ . 19__ oder .. in bar (Scheine) beigelegt. (Zutreffendes bitte ankreuzen) ________________ (Unterschrift) Absender: Datum __ . __ . 19__ Name .................. Straße .................. PLZ/Ort .................. An Henrik Alt Kirgelweg 25 7160 Gaildorf Ein neuer Virus! __ __ Ich habe in meiner Diskettensammlung einen neuen Virus bzw. ein unbekanntes Bootprogramm entdeckt! Der Virus befindet sich auf der beigelegten Diskette in der Datei: VIRUS_C.___ bzw. BOOT.___ . Als Dankeschön erhalte ich eine neue Version von SAGROTAN. ________________ (Unterschrift)