home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Plus 1995 #5 & #6
/
Amiga Plus CD - 1995 - No. 5 and 6.iso
/
pd
/
anti-virus
/
vt
/
vt.dokumente
/
vt.z.zyl
/
vt.z.zyl
Wrap
Text File
|
1995-07-31
|
10KB
|
188 lines
;letzte Aenderung: 20.03.93
Hinweis 20.03.93: Falls Sie im Icon SCREEN=PROD eingestellt haben, so
werden jetzt 2 Bloecke angezeigt, da mehr Platz ist.
z.Zyl:
------
nicht markierte Gadgets:
E-Taste = Ende
5-Taste = +1000
4-Taste = -1000
3-Taste = +100
2-Taste = -100
Wenn Sie sich einen Zylinder anschauen, koennen Sie einen anderen Block
mit dem Prop-Gadget, oder den Pfeilnachoben/unten-Tasten holen. Sollten
Sie auf einem Speichermedium arbeiten, das auch BlockSize 1024 und 2048
unterstuetzt, so koennen Sie den Rest des Blocks (also ueber 512 Bytes)
entweder mit BLK0-3 Gadget oder mit der Pfeilnachrechts-Taste anschauen.
- DF0 Z80
- DF0 Z81
- Format DF0 Z80-81
- physikalisch Zylinder 0
- physikalisch Zylinder 1 s.u.
- logisch Zylinder 0
- Root-Zylinder
- logisch Zylinder variabel s.u.
- Root-Zylinder PC0: u. PC1: s.u.
- backup phys 0 s.u.
- restore phys 0 s.u.
- Abbruch mit ESC-Taste oder re.Maustaste
- Ausdruck des gerade sichtbaren Blocks mit Druck-Gadget
- DF0 Z80 und Z81
Versucht also je einen Zylinder der unter normalen Bedingungen
von AmigaDos nicht erreicht werden kann, einzulesen. Bei
jeder normalen DosDisk sollten Sie hier Lesefehler bekommen.
Aber es kann hier auch ohne Probleme ein Virusprogrammteil
abgelegt werden, dessen Auffinden ohne diese Routine nicht
moeglich ist. Sagen Sie bitte nicht das ist unmoeglich. Es
sind inzwischen mehrere NORMALE DOSDisks bekannt, die BBe
enthalten, die lesend und schreibend (zwar meist nur Text)
auf diesen Bereich zugreifen.
- Format DF0 Z80/81
Damit koennen Sie auf einer TESTDisk diesen Bereich formatieren
und dann mit VT ueberpruefen, ob dieser Bereich sauber ein-
gelesen werden kann. Bei einer NDOS-SpieleDisk unterlassen
Sie bitte den Versuch. Sie koennten eine wichtige Kopier-
schutzabfrage zerstoeren. SIE SIND GEWARNT !!!!
Hinweis: Der Rootblock einer Festplatte muss NICHT in
Block 0 des Zylinders liegen, sondern nur in Block 0
eines Tracks von diesem Zylinder (rechnen Sie nach).
Beispiel: Ihre Festplatte hat 6 Oberflaechen und 33
Bloecke pro Zylinder. Dann kann der RootBlock auch in
Block 99 des Zylinders liegen. Sie muessen dann also
mit dem PropGadget durchklicken um ihn zu finden.
( Hoffentlich habe ich keinen Rechenfehler gemacht )
Eigentlich war dieser Programmteil nur fuer Festplatten ge-
dacht. Da aber das Ausblenden der restlichen Laufwerke mehr
Aufwand gebracht haette, koennen Sie jetzt von jedem LW den
physikalischen Zylinder 0 anschauen (also auch den kompletten
French-Kiss-BB-Virus. Die 6 Bloecke fehlen mir IMMER noch!!).
Blockwechsel mit PropGadget (rechts). Programmteilende mit
ESC-Taste. Blockanzeige rechts oben (es beginnt mit 0 !!).
Den angezeigten Block (512Bytes) koennen Sie nach dem Ver-
lassen des PrgTeils im FileRequester abspeichern.
Warum dieser Programmteil:
Weil Commodore festgelegt hat, dass der Rigid-Bereich ausser-
halb von jeder Partition liegen soll. Nun koennen aber fast
alle DiskMonitore (Stand: Jan 92) nur logische Bloecke an-
zeigen. Glauben Sie nicht, dann bitte selbst ausprobieren.
Sie werden Block NULL ihrer ersten Partition sehen, aber nicht
Block 0 von Zylinder 0 .
Nun gibt es aber schon BB-Viren, die sich unbeabsichtigt
(nehme ich mal an) auf Block 0 von Zylinder 0 schreiben koennen,
da das trackdisk.device nicht gefordert wurde. Als Schutz
konnten Sie schon laengere Zeit mit VT Block 0-3 von Zylinder 0
abspeichern und bei Bedarf zurueckinstallieren. Hab ich selbst
bei einem verzweifelten User schon einmal gemacht und hat
die Festplatte vor der Neuformatierung bewahrt.
Durch Telephongespraeche hat sich herausgestellt, dass SCSI-
Festplatten zunehmend gekauft werden, dass man sich aergert,
weil man nicht sieht was im Rigid-Bereich steht (oder haben
Sie mit ihrem Kontroller einen solchen Monitor mitbekommen?)
oder Angst hat, dass es jemand einfaellt hier ein VirusPrg
gezielt unterzubringen.
Deshalb dieser Programmteil
Fehlermeldungen: siehe bei BlockITest
Disk bad Pech gehabt, ein Track dieses Zylinders auf der
HD wurde beim Low-Level-Format als unbrauchbar
erkannt und ein ErsatzTrack benutzt (hoffentlich).
VT sucht den ErsatzTrack NICHT. Ziehen Sie bei
Bedarf das PropGadget weiter. Vielleicht ist der
naechste Track des Zylinders in Ordnung.
Bei Disk: Track defekt oder Fremdformat !!!
Hinweis2: wenn Sie die Arbeit abbrechen (re Maustaste), dann
koennen Sie mit dem Filerequester den letzten gezeigten Block
abspeichern.
zu physikalisch Zylinder 1 :
Die Software von einigen Kontrollern sperrt 2 Zylinder fuer
den Rigid-Bereich. Jetzt koennen Sie auch diesen Bereich an-
schauen und je 1 Block abspeichern (s.o.) .
zu logisch Zylinder variabel :
Schauen Sie bitte zuerst in Tools, LWInfo die Werte von LowCyl
und HighCyl nach. Danke
Rechnung fuer max. moeglichen logischen Zylinder:
max. log. Zyl. = HighCyl - LowCyl
Falls Sie einen hoeheren Wert waehlen, sollten Sie im Prgverlauf
eine Fehlermeldung erhalten (hoffe ich).
Also z.B. bei einer Disk: MaxLogZyl = 79 - 0 = 79
oder:
LOWCyl = 304 HighCyl = 804
max. log. Zyl = 804 - 304 = 500
dann ergibt sich
phys. LowCyl 304 = log. Zyl 0
phys. HighCyl 804 = log. Zyl 500
also umfasst die Partition eigentlich 501 Zylinder !!!!
Der hoechste einstellbare Wert fuer Festplatten: #9999
- Root-Zylinder PC0: u. PC1: (df0: u. df1: als MSDOS-Laufwerke)
Suchen Sie bitte das Directory in Zylinder 0 und meist Block 7.
(gilt nur fuer 720kb MSDOS-Disketten, nicht fuer 1,2mb) .
Nachtrag 14.11.92: Bei einer HD-Disk (1.4) habe ich den Root-
block in Zyl 0 Block 19 gefunden.
- backup und restore phys 0:
WARNUNG: Sie koennen damit ihre Festplatte unbrauchbar machen.
Falls ihre Kontroller-Software die Neuanlage des Rigid-Bereichs
OHNE zwingende Formatierung ermoeglicht (GVPII, BOIL), dann
verwenden Sie bitte die optimal an den jeweiligen Kontroller
angepasste Software.
WARNUNG 2: Das regelmaessige Backup der ganzen Festplatte kann
NICHT ersetzt werden.
Warum dann diese Tools:
Die ganze Zeit hat es gereicht Block 0 und 1 von Zyl. phys 0
mit VT herauszuspeichern, weil BBe, die das trackdisk.device
nicht gefordert haben, nur dort Schaeden angerichtet haben.
ABER jetzt sind mindestens 2 Viren auf dem Markt, die etwas
anders arbeiten:
- Overkill.BB zufallsbedingt irgendwo auf Zyl. phys 0
- Crime'92 mit Absicht nicht Block 0 Zyl. phys 0
Speichern Sie Zyl 0 mit backup auf eine leere formatierte
Disk. Auf der Festplatte nuetzt es wohl nichts, da Sie diese
ja nicht mehr ansprechen koennen nach der Zerstoerung.
Fertigen Sie eine MiniWB an mit:
devs: mountlist (Werte aus VT/Tools/LWinfo)
l : fastfilesystem
expansion : xyz.device
c: mount binddrivers usw
restore :
Hinweis: wenn moeglich, verwenden Sie die Install-Disk ihres
Kontrollers. Beispiel GVP SII : Booten Sie, Klicken Sie auf
FastPrep, Man, unprep, tragen Sie nur Low und High-Zyl ihrer
Partitionen ein, die Namen. Die Partitionsgroessen werden
automatisch berechnet. Low- und High-Zyl sollten Sie natuer-
lich irgendwann einmal mit VT/Tools/LWInfo ausgedruckt haben !!
Mit Write schreiben Sie den Rigid-Bereich zurueck. Dann Ende.
Booten Sie Neu. Aber immer noch von Disk !!!! Die s-seq. der
HD koennte verseucht sein !!!! Starten Sie VT und fuehren Sie
einen FileTest durch. Erst danach versuchen Sie bitte von Platte
zu booten. Sie sehen, bei manchen Kontrollern geht es auch
ohne VT-Restore . Probieren Sie es aus.
Supra: Hinweis eines Users: mit VT/LWinfo Zylinder ausdrucken.
Mit Install-Disk neu installieren. Format Partitionen verhindern.
Sie brauchen also VT-Backup nicht unbedingt fuer Supra
Oktagon: Laut Firmenauskunft auf der Messe, kann der Rigid-Bereich
neu installiert werden, ohne dass die Partitionen zerstoert
werden. Verwenden Sie aber sicherheitshalber einen LWInfo-Aus-
druck.
Erst wenn es so NICHT geht, dann probieren Sie bitte VT-Restore
Booten Sie von der MiniWB und melden Sie die Platte mit mount
an. Versuchen Sie dann mit VT-Restore den Rigid-Bereich zurueck-
zuschreiben. Vielleicht haben Sie Glueck. Sollte allerdings
auch der Root-Block oder der logische Block 0 der Partition
vom Virus zerstoert sein (kam beim Austesten 1x vor), so kann
auch Restore nicht weiterhelfen. Tut mir leid. Aber Sie machen
ja REGELMAESSIG ein Backup ihrer Platte oder etwa nicht ???
Der Weg ist dann nur etwas laenger, bis wieder eine brauchbare
Festplatte vorliegt.