home *** CD-ROM | disk | FTP | other *** search
/ Amiga Plus 1999 #2 / Amiga Plus CD - 1999 - No. 2.iso / System-Boost / Virus / VTTest3 / Schutz / VT.Dokumente / VT.z.Zyl < prev    next >
Text File  |  1998-11-15  |  16KB  |  285 lines
  1.  
  2.   Stand: 98-11-08
  3.  
  4.   Hinweis 20.03.93: Falls Sie im Icon SCREEN=PROD oder besser eingestellt
  5.     haben, so werden jetzt 2 Bloecke angezeigt, da mehr Platz ist.
  6.  
  7.    z.Zyl:
  8.    ------
  9.     nicht markierte Gadgets:
  10.     E-Taste = Ende
  11.         5-Taste = +1000
  12.         4-Taste = -1000
  13.         3-Taste = +100
  14.         2-Taste = -100
  15.  
  16.    Wenn Sie sich einen Zylinder anschauen, koennen Sie einen anderen Block
  17.    mit dem Prop-Gadget, oder den Pfeilnachoben/unten-Tasten holen. Sollten
  18.    Sie auf einem Speichermedium arbeiten, das auch BlockSize 1024 und 2048
  19.    unterstuetzt, so koennen Sie den Rest des Blocks (also ueber 512 Bytes)
  20.    entweder mit BLK0-3 Gadget oder mit der Pfeilnachrechts-Taste anschauen.
  21.  
  22.             - DF0 Z80
  23.             - DF0 Z81
  24.             - Format DF0 Z80-81
  25.             - physikalisch Zylinder 0
  26.             - physikalisch Zylinder 1   s.u.
  27.             - logisch Zylinder 0
  28.             - Root-Zylinder
  29.             - logisch Zylinder variabel   s.u.
  30.             - Root-Zylinder PC0: u. PC1: s.u.
  31.             - backup phys 0    s.u.
  32.             - restore phys 0   s.u.
  33.                - Abbruch mit ESC-Taste oder re.Maustaste
  34.                - Ausdruck des gerade sichtbaren Blocks mit Druck-Gadget
  35.             - Scan RIGID  siehe unten
  36.  
  37.       - DF0 Z80 und Z81
  38.          Versucht also je einen Zylinder der unter normalen Bedingungen
  39.          von AmigaDos nicht erreicht werden kann, einzulesen. Bei
  40.          jeder normalen DosDisk sollten Sie hier Lesefehler bekommen.
  41.          Aber es kann hier auch ohne Probleme ein Virusprogrammteil
  42.          abgelegt werden, dessen Auffinden ohne diese Routine nicht
  43.          moeglich ist. Sagen Sie bitte nicht das ist unmoeglich. Es
  44.          sind inzwischen mehrere NORMALE DOSDisks bekannt, die BBe
  45.          enthalten, die lesend und schreibend (zwar meist nur Text)
  46.          auf diesen Bereich zugreifen.
  47.       - Format DF0 Z80/81
  48.          Damit koennen Sie auf einer TESTDisk diesen Bereich formatieren
  49.          und dann mit VT ueberpruefen, ob dieser Bereich sauber ein-
  50.          gelesen werden kann. Bei einer NDOS-SpieleDisk unterlassen
  51.          Sie bitte den Versuch. Sie koennten eine wichtige Kopier-
  52.          schutzabfrage zerstoeren. SIE SIND GEWARNT !!!!
  53.  
  54.  
  55.             Hinweis: Der Rootblock einer Festplatte muss NICHT in
  56.              Block 0 des Zylinders liegen, sondern nur in Block 0
  57.              eines Tracks von diesem Zylinder (rechnen Sie nach).
  58.              Beispiel: Ihre Festplatte hat 6 Oberflaechen und 33
  59.              Bloecke pro Zylinder. Dann kann der RootBlock auch in
  60.              Block 99 des Zylinders liegen. Sie muessen dann also
  61.              mit dem PropGadget durchklicken um ihn zu finden.
  62.              ( Hoffentlich habe ich keinen Rechenfehler gemacht )
  63.  
  64.          Eigentlich war dieser Programmteil nur fuer Festplatten ge-
  65.          dacht. Da aber das Ausblenden der restlichen Laufwerke mehr
  66.          Aufwand gebracht haette, koennen Sie jetzt von jedem LW den
  67.          physikalischen Zylinder 0 anschauen (also auch den kompletten
  68.          French-Kiss-BB-Virus. Die 6 Bloecke fehlen mir IMMER noch!!).
  69.          Blockwechsel mit PropGadget (rechts). Programmteilende mit
  70.          ESC-Taste. Blockanzeige rechts oben (es beginnt mit 0 !!).
  71.          Den angezeigten Block (512Bytes) koennen Sie nach dem Ver-
  72.          lassen des PrgTeils im FileRequester abspeichern.
  73.          Warum dieser Programmteil:
  74.          Weil Commodore festgelegt hat, dass der Rigid-Bereich ausser-
  75.          halb von jeder Partition liegen soll. Nun koennen aber fast
  76.          alle DiskMonitore (Stand: Jan 92) nur logische Bloecke an-
  77.          zeigen. Glauben Sie nicht, dann bitte selbst ausprobieren.
  78.          Sie werden Block NULL ihrer ersten Partition sehen, aber nicht
  79.          Block 0 von Zylinder 0 .
  80.          Nun gibt es aber schon BB-Viren, die sich unbeabsichtigt
  81.          (nehme ich mal an) auf Block 0 von Zylinder 0 schreiben koennen,
  82.          da das trackdisk.device nicht gefordert wurde. Als Schutz
  83.          konnten Sie schon laengere Zeit mit VT Block 0-3 von Zylinder 0
  84.          abspeichern und bei Bedarf zurueckinstallieren. Hab ich selbst
  85.          bei einem verzweifelten User schon einmal gemacht und hat
  86.          die Festplatte vor der Neuformatierung bewahrt.
  87.          Durch Telephongespraeche hat sich herausgestellt, dass SCSI-
  88.          Festplatten zunehmend gekauft werden, dass man sich aergert,
  89.          weil man nicht sieht was im Rigid-Bereich steht (oder haben
  90.          Sie mit ihrem Kontroller einen solchen Monitor mitbekommen?)
  91.          oder Angst hat, dass es jemand einfaellt hier ein VirusPrg
  92.          gezielt unterzubringen.
  93.          Deshalb dieser Programmteil
  94.          Fehlermeldungen:     siehe bei BlockITest
  95.            Disk bad    Pech gehabt, ein Track dieses Zylinders auf der
  96.                        HD wurde beim Low-Level-Format als unbrauchbar
  97.                        erkannt und ein ErsatzTrack benutzt (hoffentlich).
  98.                        VT sucht den ErsatzTrack NICHT. Ziehen Sie bei
  99.                        Bedarf das PropGadget weiter. Vielleicht ist der
  100.                        naechste Track des Zylinders in Ordnung.
  101.                        Bei Disk: Track defekt oder Fremdformat !!!
  102.          Hinweis2: wenn Sie die Arbeit abbrechen (re Maustaste), dann
  103.             koennen Sie mit dem Filerequester den letzten gezeigten Block
  104.             abspeichern.
  105.          zu physikalisch Zylinder 1 :
  106.          Die Software von einigen Kontrollern sperrt 2 Zylinder fuer
  107.          den Rigid-Bereich. Jetzt koennen Sie auch diesen Bereich an-
  108.          schauen und je 1 Block abspeichern (s.o.) .
  109.          zu logisch Zylinder variabel :
  110.          Schauen Sie bitte zuerst in Tools, LWInfo die Werte von LowCyl
  111.          und HighCyl nach. Danke
  112.          Rechnung fuer max. moeglichen logischen Zylinder:
  113.            max. log. Zyl. = HighCyl - LowCyl
  114.          Falls Sie einen hoeheren Wert waehlen, sollten Sie im Prgverlauf
  115.          eine Fehlermeldung erhalten (hoffe ich).
  116.          Also z.B. bei einer Disk:  MaxLogZyl = 79 - 0 = 79
  117.             oder:
  118.             LOWCyl = 304  HighCyl = 804
  119.             max. log. Zyl = 804 - 304 = 500
  120.             dann ergibt sich
  121.             phys. LowCyl  304 = log. Zyl   0
  122.             phys. HighCyl 804 = log. Zyl 500
  123.             also umfasst die Partition eigentlich 501 Zylinder !!!!
  124.  
  125.          Der hoechste einstellbare Wert fuer Festplatten: #9999
  126.  
  127.      - Root-Zylinder PC0: u. PC1: (df0: u. df1: als MSDOS-Laufwerke)
  128.          Suchen Sie bitte das Directory in Zylinder 0 und meist Block 7.
  129.          (gilt nur fuer 720kb MSDOS-Disketten, nicht fuer 1,2mb) .
  130.          Nachtrag 14.11.92: Bei einer HD-Disk (1.4) habe ich den Root-
  131.          block in Zyl 0 Block 19 gefunden.
  132.  
  133.      - backup und restore phys 0:
  134.        WARNUNG: Sie koennen damit ihre Festplatte unbrauchbar machen.
  135.         Falls ihre Kontroller-Software die Neuanlage des Rigid-Bereichs
  136.         OHNE zwingende Formatierung ermoeglicht (GVPII, BOIL), dann
  137.         verwenden Sie bitte die optimal an den jeweiligen Kontroller
  138.         angepasste Software.
  139.        WARNUNG 2: Das regelmaessige Backup der ganzen Festplatte kann
  140.         NICHT ersetzt werden.
  141.        Warum dann diese Tools:
  142.         Die ganze Zeit hat es gereicht Block 0 und 1 von Zyl. phys 0
  143.         mit VT herauszuspeichern, weil BBe, die das trackdisk.device
  144.         nicht gefordert haben, nur dort Schaeden angerichtet haben.
  145.         ABER jetzt sind mindestens 2 Viren auf dem Markt, die etwas
  146.         anders arbeiten:
  147.           - Overkill.BB  zufallsbedingt irgendwo auf Zyl. phys 0
  148.           - Crime'92  mit Absicht nicht Block 0 Zyl. phys 0
  149.         Speichern Sie Zyl 0 mit backup auf eine leere formatierte
  150.         Disk. Auf der Festplatte nuetzt es wohl nichts, da Sie diese
  151.         ja nicht mehr ansprechen koennen nach der Zerstoerung.
  152.         Fertigen Sie eine MiniWB an mit:
  153.         devs: mountlist  (Werte aus VT/Tools/LWinfo)
  154.         l   : fastfilesystem
  155.         expansion :  xyz.device
  156.                 c:  mount binddrivers  usw
  157.         restore :
  158.          Hinweis: wenn moeglich, verwenden Sie die Install-Disk ihres
  159.          Kontrollers. Beispiel GVP SII : Booten Sie, Klicken Sie auf
  160.          FastPrep, Man, unprep, tragen Sie nur Low und High-Zyl ihrer
  161.          Partitionen ein, die Namen. Die Partitionsgroessen werden
  162.          automatisch berechnet. Low- und High-Zyl sollten Sie natuer-
  163.          lich irgendwann einmal mit VT/Tools/LWInfo ausgedruckt haben !!
  164.          Mit Write schreiben Sie den Rigid-Bereich zurueck. Dann Ende.
  165.          Booten Sie Neu. Aber immer noch von Disk !!!! Die s-seq. der
  166.          HD koennte verseucht sein !!!! Starten Sie VT und fuehren Sie
  167.          einen FileTest durch. Erst danach versuchen Sie bitte von Platte
  168.          zu booten. Sie sehen, bei manchen Kontrollern geht es auch
  169.          ohne VT-Restore . Probieren Sie es aus.
  170.          Supra: Hinweis eines Users: mit VT/LWinfo Zylinder ausdrucken.
  171.          Mit Install-Disk neu installieren. Format Partitionen verhindern.
  172.          Sie brauchen also VT-Backup nicht unbedingt fuer Supra
  173.          Oktagon: Laut Firmenauskunft auf der Messe, kann der Rigid-Bereich
  174.          neu installiert werden, ohne dass die Partitionen zerstoert
  175.          werden. Verwenden Sie aber sicherheitshalber einen LWInfo-Aus-
  176.          druck.
  177.          Erst wenn es so NICHT geht, dann probieren Sie bitte VT-Restore
  178.          Booten Sie von der MiniWB und melden Sie die Platte mit mount
  179.          an. Versuchen Sie dann mit VT-Restore den Rigid-Bereich zurueck-
  180.          zuschreiben. Vielleicht haben Sie Glueck. Sollte allerdings
  181.          auch der Root-Block oder der logische Block 0 der Partition
  182.          vom Virus zerstoert sein (kam beim Austesten 1x vor), so kann
  183.          auch Restore nicht weiterhelfen. Tut mir leid. Aber Sie machen
  184.          ja REGELMAESSIG ein Backup ihrer Platte oder etwa nicht ???
  185.          Der Weg ist dann nur etwas laenger, bis wieder eine brauchbare
  186.          Festplatte vorliegt.
  187.  
  188.        - Scan RIGID :
  189.  
  190.          Drei Typen von ungewollten Veraenderungen im RIGID-Bereich:
  191.          - Sie starten ein Prg. und das beginnt sofort mit Format der
  192.            Festplatte. SOFORT Reset ausfuehren.
  193.            Melden Sie ihre Festplatte mit HdToolBox neu an. Die Zylinder-
  194.            werte haben Sie ja aufgeschrieben (oder etwa nicht ??). KEIN
  195.            Format mit HdToolbox. Wenn Sie ein RIGID-Backup haben (sollten
  196.            Sie haben), dann schreiben Sie das Backup mit VT zurueck.
  197.          - Ein BB-Virus ohne trackdisk.device-Abfrage schreibt sich nach
  198.            Block 0 im Rigid-Bereich. VT-Scan-RIGID sollte das Teil finden
  199.            und Loeschen anbieten. Schreiben Sie danach SOFORT und OHNE
  200.            RESET mit VT ihr RIGID-Backup zurueck. Sie haben kein Backup.
  201.            Dann probieren Sie HdToolBox SOFORT. Es sollte "unknown" er-
  202.            scheinen. Waehlen Sie ihre Festplatte aus und danach "save"
  203.            KEIN Format.
  204.          - Sie haben eine neue Version vom fastfilesystem in den Rigid-
  205.            Bereich geschrieben. Leider war das Programm virenverseucht.
  206.            Lachen Sie nicht. Ich kann im Jahr 96  fuenf (!!!!!) Faelle
  207.            belegen. VT sollte Loeschen anbieten. Schreiben Sie danach
  208.            SOFORT mit VT ihr RIGID-Backup zurueck. Erst danach Reset.
  209.            Oder versuchen Sie mit HdToolBox ihre Festplatte neu aufzu-
  210.            bauen. Dazu muessen Sie aber GENAU alle Zylinder-Werte der
  211.            einzelnen Partitionen kennen. Ein vorhandenes RIGID-Backup
  212.            waere einfacher. Ueberlegen Sie sich diese Sicherheit !!!
  213.          Hinweis: Bitte ueberpruefen Sie die Laenge ihres angelegten
  214.            RIGID-Backups. Z.B.: VT findet bei ScanRIGID den letzten
  215.            LSEG-Block bei 56, dann MUSS das Backup MINDESTENS 56x512
  216.            = 28672 Bytes lang sein, sonst koennen Sie ja ein verseuch-
  217.            tes Filesystem im RIGID-Bereich nicht ueberschreiben.
  218.          - BEOL4-Vorfall:
  219.          Sobald eine Festplatte gefunden wird, veraendert das Teil VOR
  220.          dem GURU das Filesystem im Rigidbereich !!!!!!!!!
  221.          LSEG beginnt bei meinem Testmedium auf Block 0+2
  222.          Vorher:
  223.              0600: 4c534547 00000080 150b81f5 00000007 LSEG............
  224.              0610: 00000004 000003f3 00000000 00000001 ................
  225.              0620: 00000000 00000000 00001821 000003e9 ...........!....
  226.              0630: 00001821 72006008 00000000 00000012 ...!r.`.........
  227.              0640: 48e700fe e5892441 2f016160 221f4cdf H.....$A/.a`".L.
  228.              0650: 7f004a81 66024e75 4ed64afc 00000026 .J.f.NuN.J....&
  229.              0660: 00000050 002800af 0000006a 00000056 ...P.(.....j...V
  230.              0670: 00000004 00000000 00000001 00000004 ................
  231.              0680: 00000096 24564552 3a206673 2034302e ....$VER: fs 40.
  232.          Nachher:
  233.              0600: 4c534547 00000080 62ef8c4c 00000007 LSEG....b..L....
  234.              0610: 00000004 000003f3 00000000 00000002 ................
  235.              0620: 00000000 00000001 000001e7 00001833 ...............3
  236.              0630: 000003e9 000001e7 487afffe 48e7fffe ........Hz..H...
  237.              0640: 606c2c78 0004206e 01142028 00ac6706 `l,x.. n.. (..g.
  238.              0650: e588723c 600ad0fc 005c4eae fe807218 ..r<`....\N...r.
  239.              0660: d0812a40 614c670e b4956602 2a815880 ..*@aLg...f.*.X.
  240.              0670: 30fc4ef9 20c030fc 4e75246f 003c3e3c 0.N. .0.Nu$o.<><
  241.              0680: 01e626da 51cffffc 26ce2c78 0004226e ..&.Q...&.,x.."n
  242.          Es wird also das Fastfilesystem wie beim angeblichen Filelink
  243.          umgewandelt und danach kommt IMMER der GURU.
  244.          Sie fuehren also einen Reset aus und bekommen SOFORT einen
  245.          GURU-Requester.
  246.          Abhilfe, die ausgetestet ist und hilft, wenn Sie mit VT ein
  247.          RIGID-Backup angelegt haben. Weiterhin brauchen Sie auf Disk
  248.          ein Mountlist-File und den Mountbefehl. ALLE Versuche von
  249.          meiner Seite mit der Festplatte in diesem Zustand mit der
  250.          HDtoolbox sind MISSLUNGEN !!!!!
  251.          Das Aussehen eines Mountfiles koennen Sie bei KS1.3/WB/devs
  252.          nachschauen. Sie koennen auch einen Versuch ohne Rigid-Backup
  253.          unternehmen. Beim naechsten RESET wird dann das FFS aus dem
  254.          ROM genommen.
  255.          - Schalten Sie die Festplatte im Boot-Menue ab
  256.          - Klicken Sie auf ohne startup-sequence (Wichtig !!!!!)
  257.          - machen Sie 2 !!!!! Cli-Fenster auf
  258.          - geben Sie im ersten Fenster mount SDH0: (oder wie Ihr Medium
  259.            heisst) ein
  260.          - Es folgt sofort der GURU-Requester
  261.          - Klicken Sie suspend
  262.          - das erste Cli-Fenster ist danach UNBRAUCHBAR !!!!!
  263.          - Laden Sie im zweiten Cli-Fenster VT
  264.          - Rufen Sie z.Zyl/scanrigid auf
  265.          - Loeschen Sie mit VT die Virus-Bloecke
  266.          - jetzt koennen Sie mit VT Ihr Rigid-Backup zurueckspielen
  267.          oder
  268.          - da das Virusteil nicht mehr im Rigid-Bereich ist, koennen
  269.            Sie auch wieder HDToolBox verwenden (Sie haben sich ja die
  270.            Aufteilung aufgeschrieben oder mit VT (Tools/LWInfo/Druck)
  271.            ausgedruckt (etwa NICHT ????).
  272.          oder
  273.          - Sie vertrauen auf das FFS im ROM
  274.          - Falls Ihr Computer KEIN Boot-Menue hat:
  275.            Tut mir leid. Festplatte ausbauen und bei einem Bekannten
  276.            am PC neu formatieren.
  277.          - Falls Sie eine zweite Festplatte in Ihrem Computer haben.
  278.            SOFORT !!!!! Kabel abziehen, sonst wird auch deren Rigid-
  279.            Bereich von dem defekten Virusteil veraendert.
  280.          Dieser Vorfall sollte Ihnen zeigen, dass es sinnvoll ist,
  281.          haeufiger z.Zyl/Scan-Rigid aufzurufen.
  282.  
  283.   Amiga ist ein eingetragenes Warenzeichen von Gateway 2000
  284.  
  285.