home *** CD-ROM | disk | FTP | other *** search
/ The Atari Compendium / The Atari Compendium (Toad Computers) (1994).iso / files / umich / utils / virus / vkiller.lzh / VKILLER.DOC < prev    next >
Text File  |  1991-05-22  |  25KB  |  465 lines
  1. VKILLER                    Version 3.84                 April, 1991
  2.  
  3. This Archive contains the most recent version of VKILLER, the virus
  4. detect-and-kill utility for the Atari ST.
  5.  
  6. The program works in medium or high resolution, and is completely
  7. mouse/icon driven. The program may also be controlled by the keyboard.
  8. In this document, all the keyboard commands are indicated as capital
  9. letters, but that is not mandatory. Lower case letters will provide the
  10. same functions. In most cases, the first letter of the label under an
  11. icon is the key that will accomplish the same function of as a click on
  12. the icon.
  13.  
  14.         **** To Check Disks for Viruses ****
  15.  
  16. Click on the FLOPPY A icon, or press the "A" key, to check the disk in
  17. drive A for a virus. Click on the FLOPPY B icon, or press the "B" key,
  18. to check the disk in drive B for a virus. When you access a disk, the
  19. program reads in the boot sector, both copies of the File Allocation
  20. Table (FAT), the disk's root directory, and the first few data sectors.
  21.  
  22. The disk's boot sector will be checked to see if it is executable, and
  23. if it matches any known patterns. If it is executable, a warning
  24. message will be posted in the display window. If it matches the
  25. patterns of some known boot sector utility, such as a resolution
  26. setter, that fact will be illustrated by a box in the lower right
  27. corner. If it matches the pattern of any known virus, that fact will be
  28. indicated by a box in the lower right corner. To see more information
  29. on any recognized virus, click on the box in the lower right corner, or
  30. press the 'D' key for details.
  31.  
  32.         **** Capturing Disk Data ****
  33.  
  34. Once you have accessed a disk to check it for a virus, you can write the
  35. data from the disk into a file, print it, or show it on the screen.
  36.  
  37. To write the disk data into a file, click on the "FILE" icon, or press
  38. the "F" key. A file selector will appear. Use it to designate the file
  39. you wish to write. The resulting file is not executable, even if the
  40. boot sector of the floppy was an executable one. It is a data file with
  41. an image of the significant portions of the disk. It can be treated
  42. like any data file, compressed by an archiving utility such as ARC or
  43. LZH, copied, transmitted via electronic mail systems, printed, or
  44. examined.
  45.  
  46. To print the data, click on the PRINT icon, or press the "P" key. An
  47. alert box will appear. You may choose to print either the same data
  48. that is available in the "SHOW" window, or only the data from the boot
  49. sector. The amount of data captured from the disk varies, depending
  50. upon the disk's configuration. For a typical ST disk, it will usually
  51. be about 20 sectors, or slightly over 20,000 bytes. The boot sector
  52. only is 512 bytes.
  53.  
  54. To show the data on the screen, click on the SHOW icon, or press the
  55. "S" key. The window will expand to nearly the full screen, and display
  56. all the data read from the disk. Use the window's scroll bar to move
  57. back and forth through the data. Close the data window, by clicking on
  58. the close box, to return to the main screen. Pressing any of the active
  59. keyboard keys will also close the data window and return to the main
  60. screen.
  61.  
  62.         **** Disk Basics ****
  63.  
  64. The boot sector of a normal ST disk is 512 bytes. Only a small portion
  65. of this, about 30 bytes, are required to provide data to the ST. Those
  66. initial data bytes contain the disk's formatting characteristics,
  67. telling the ST's operating system how many tracks the disk has, how
  68. many sides are used, how many sectors are on each track, and how much
  69. of the disk is being used for the directory and the File Allocation
  70. Table. The rest of the boot sector is not used unless the disk is "self
  71. booting". In this case, normally found only on games, the boot sector
  72. is "executable", and the normally unused portion of the boot sector
  73. contains a small program. This program will be executed automatically
  74. when the ST is powered on, or reset, and the disk with the executable
  75. boot sector is in drive A. This is true even if your ST is configured
  76. to automatically boot up from a hard disk. The boot sector of a disk in
  77. drive A will still be checked to see if it is executable, and will be
  78. executed if it is. Executable boot sectors, therefore, are the primary
  79. method used by viruses to spread, and be run by unsuspecting ST owners.
  80.  
  81. If the boot sector is not executable, the space after the configuration
  82. data is unused. While whatever is there is not normally important,
  83. there is one virus which utilizes an obscure system characteristic to
  84. hide in the boot sector, and not make the disk "executable". To be
  85. safe,  the unused portions of the boot sector of any non executable
  86. disk should be set to zeroes. Some formatting programs do this, while
  87. others do not. The ST desktop, for example, does not set the unused
  88. portion of the boot sector to zero. 
  89.  
  90. The boot sector also contains a serial number. That number is used by
  91. the ST's operating system to determine when one disk has been removed,
  92. and a different disk inserted. If a change is made between two disks
  93. which have the same serial number, however, the ST does not believe
  94. that there has been a disk change made. That usually results in the
  95. destruction of the second disk, when the data written to it aligns with
  96. the file structure of the removed disk. There are viruses which write
  97. the same serial number to different disks, resulting in such
  98. destruction. There is a similar problem using disks formatted by an
  99. MS-DOS system. The serial number is not used by MS-DOS. Instead, MS-DOS
  100. writes the version number in the space used for the serial number. This
  101. results in all disks formatted on MS-DOS systems appearing to have the
  102. same serial number, and becoming corrupted when they are used in an ST.
  103. To warn of this possibility, VKILLER checks the serial number field. It
  104. always displays the disk's serial number in the data window. If the
  105. field contains printable characters, they are posted after the serial
  106. number, in parenthesis. If you find the same serial number on more than
  107. one disk, you can use VKILLER's Repair facility to renumber the disk,
  108. without altering the disks contents in any other way.
  109.  
  110. The directory contains the names of any sub-directories (or "folders")
  111. which are accessible from the main directory. Those sub-directories may
  112. contain more subdirectories, and files. There may also be files in the
  113. main directory. The directory size is specified when the disk is
  114. formatted. The standard size for an ST directory is seven disk sectors,
  115. large enough to hold 112 files or sub-directories. Few disks contain
  116. that many files or folders in the main directory, so there is usually
  117. some amount of unused space beyond the last entry in the directory.
  118. There are viruses that will attempt to hide themselves in the end of
  119. the directory. There is one that will place itself in the last two
  120. sectors of the directory, whether that portion of the directory
  121. contained entries or not. If that virus infects a disk which was using
  122. the last two sectors of the dirctory, any file or directory which was
  123. there will be lost.
  124.  
  125. All files, and sub-directories, rely upon the File Allocation Table to
  126. be accessible. The File Allocation Table, or FAT, is a map of where
  127. each file and sub-directory is recorded on the disk. The ST's operating
  128. system relies upon the FAT to locate the proper portions of the disk in
  129. order to read and write the sub-directories and files. The FAT,
  130. therefore, is absolutely critical in using the disk. So critical, in
  131. fact, that the ST's operating system normally writes two copies of the
  132. FAT on the disk. That way, in case of an error in reading or writing
  133. the first copy, the second copy may allow the data on the disk to be
  134. recovered. The critical nature of the FAT also makes it a prime target
  135. for virus attacks. Erasing the FAT usually results in the loss of all
  136. files on a disk.
  137.  
  138. The size of the Directory and FATs may vary from disk to disk. The size
  139. of the FAT must be large enough to record the layout of every portion
  140. of the disk. The normal size of one copy of the FAT on an ST disk is
  141. five sectors. This is more space than is n