home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
CD Direkt: Spezial 1
/
CDD_SPIELE_.ISO
/
avirus
/
tbav650
/
tbav.doc
< prev
next >
Wrap
Text File
|
1995-10-03
|
350KB
|
8,131 lines
TBAV Handbuch (C) 1993 Thunderbyte B.V. INHALT
KAPITEL 0. EINFÜHRUNG
1. Zum Gebrauch dieses Handbuchs . . . . . . . . . . . . . 0 - 1
2. Überblick über die TBAV-Utilities . . . . . . . . . . . 0 - 1
KAPITEL I. INSTALLATION VON TBAV
1. TBAV installieren . . . . . . . . . . . . . . . . . . . I - 1
1.1 Erstinstallation . . . . . . . . . . . . . . . . I - 1
1.2 Windows . . . . . . . . . . . . . . . . . . . . . I - 4
2. Konfiguration . . . . . . . . . . . . . . . . . . . . . I - 6
3. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . I - 8
3.1. Der Zweck von TbSetup . . . . . . . . . . . . . I - 8
3.2. Benutzung von TbSetup . . . . . . . . . . . . . I - 8
3.3. Startoptionen . . . . . . . . . . . . . . . . . I - 13
3.4. Programmablauf . . . . . . . . . . . . . . . . . I - 15
4. TbDriver . . . . . . . . . . . . . . . . . . . . . . . I - 18
4.1. Der Zweck von TbDriver . . . . . . . . . . . . . I - 18
4.2. Startoptionen . . . . . . . . . . . . . . . . . I - 18
4.3. Sprachunterstützung . . . . . . . . . . . . . . I - 20
5. Systempflege . . . . . . . . . . . . . . . . . . . . . I - 21
6. Netzwerkpflege . . . . . . . . . . . . . . . . . . . . I - 23
6.1. Verwenden von DOS REPLACE . . . . . . . . . . . I - 23
6.2. Verwenden von PkUnZip . . . . . . . . . . . . . I - 23
KAPITEL II. ANTI-VIREN-STRATEGIE
1. Schutz gegen Viren . . . . . . . . . . . . . . . . . . II - 1
1.1. Einführung . . . . . . . . . . . . . . . . . . . II - 1
1.2. Grundsätzliche Vorkehrungen . . . . . . . . . . II - 1
2. Was bei einem Virenbefall zu tun ist . . . . . . . . . II - 6
2.1. Aufspüren von Viren . . . . . . . . . . . . . . II - 6
2.2. Beseitigung von Viren . . . . . . . . . . . . . II - 7
KAPITEL III. VERWENDUNG DER TBAV-UTILITIES
1. TbScan . . . . . . . . . . . . . . . . . . . . . . . III - 1
1.1. Der Zweck von TbScan . . . . . . . . . . . . . III - 1
1.2. Benutzung von TbScan . . . . . . . . . . . . . III - 2
1.3. Startoptionen . . . . . . . . . . . . . . . . III - 9
1.4. Der Scan-Vorgang . . . . . . . . . . . . . . . III - 14
2. TbScanX . . . . . . . . . . . . . . . . . . . . . . III - 18
2.1. Der Zweck von TbScanX . . . . . . . . . . . . III - 18
2.2. Benutzung von TbScanX . . . . . . . . . . . . III - 18
2.3. Startoptionen . . . . . . . . . . . . . . . . III - 19
2.4. Der Scan-Vorgang . . . . . . . . . . . . . . . III - 22
3. TbCheck . . . . . . . . . . . . . . . . . . . . . . III - 23
3.1. Der Zweck von TbCheck . . . . . . . . . . . . III - 23
3.2. Benutzung von TbCheck . . . . . . . . . . . . III - 23
3.3. Startoptionen . . . . . . . . . . . . . . . . III - 24
3.4. Während der Überprüfung . . . . . . . . . . . III - 26
3.5. TbCheck testen . . . . . . . . . . . . . . . . III - 26
4. TbClean . . . . . . . . . . . . . . . . . . . . . . . III - 27
4.1. Der Zweck von . . . . . . . . . . . . . . . . III - 27
4.2. Benutzung von TbClean . . . . . . . . . . . . III - 28
4.3. Startoptionen . . . . . . . . . . . . . . . . III - 30
4.4. Der Cleaning-Prozeß . . . . . . . . . . . . . III - 31
TBAV Handbuch (C) 1993 Thunderbyte B.V. INHALT
5. Fortlaufende Viren-Prävention: TbMon . . . . . . . . III - 35
5.1. TbMem . . . . . . . . . . . . . . . . . . . . III - 37
5.2. TbFile . . . . . . . . . . . . . . . . . . . . III - 40
5.3. TbDisk . . . . . . . . . . . . . . . . . . . . III - 42
6. TBAV-Tools . . . . . . . . . . . . . . . . . . . . . III - 48
6.1. TbUtil . . . . . . . . . . . . . . . . . . . . III - 48
6.2. StackMan . . . . . . . . . . . . . . . . . . . III - 56
KAPITEL IV. INFORMATIONEN FÜR FORTGESCHRITTENE ANWENDER
1. Speicheranforderungen . . . . . . . . . . . . . . . . . IV - 1
2. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . IV - 3
2.1. Hinweise zur Gestalt der Anti-Vir.Dat-Dateien . IV - 3
2.2. Format der TbSetup.Dat . . . . . . . . . . . . . IV - 3
2.3. TBAV-Installation auf mehreren Rechnern . . . . IV - 5
3. TbScan . . . . . . . . . . . . . . . . . . . . . . . . IV - 7
3.1. Die heuristische Suche . . . . . . . . . . . . . IV - 7
3.2. Integritätsprüfung . . . . . . . . . . . . . . . IV - 8
3.3. Programme zulassen . . . . . . . . . . . . . . . IV - 9
3.4. Die Algorithmen . . . . . . . . . . . . . . . . IV - 9
3.5. Die TbScan.Lng-Datei . . . . . . . . . . . . . IV - 10
4. TbClean . . . . . . . . . . . . . . . . . . . . . . . IV - 12
5. TbGensig . . . . . . . . . . . . . . . . . . . . . . IV - 15
5.1 Der Zweck von TbGenSig . . . . . . . . . . . . IV - 15
5.2 Signaturen definieren . . . . . . . . . . . . . IV - 15
5.3 Schlüsselworte . . . . . . . . . . . . . . . . IV - 18
5.4 Platzhalter . . . . . . . . . . . . . . . . . . IV - 21
ANHANG A. TBAV-Meldungen
ANHANG B. TbScan - Beschreibung der heuristischen Flags
ANHANG C. Lösen von Kompatbilitätsproblemen
ANHANG D. Exit-Codes
ANHANG E. Benennung von Viren
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0
KAPITEL 0. EINFÜHRUNG
1. Zum Gebrauch dieses Handbuchs
Gratulation! Durch den Erwerb der der ThunderBYTE Anti-Viren-Utilities
haben Sie den ersten Schritt unternommen, einen sicheren Schutzwall um
Ihr Computersystem zu errichten. Eine angemessene Abwehr unter Verwen-
dung der TBAV-Utilities aufzubauen, ist eine 'persönliche Angelegen-
heit'. Deshalb empfehlen wir Ihnen dringend, dieses Handbuch gründlich
durchzuarbeiten, um zu klären, welche der unterschiedlichen Sicherheits-
maßnahmen Sie einsetzen sollten.
Dieses Handbuch gliedert sich in vier Hauptkapitel. Im Kapitel I erhal-
ten Sie eine Anleitung, wie Sie die TBAV-Utilities auf Ihrer Festplatte
installieren. Außerdem geben wir Ihnen hier zusätzliche Tips für eine
anwenderspezifische Initialisierung. Kapitel II gibt Anweisungen, wie
Sie durch entsprechende Vorbeugemaßnahmen Viren davon abhalten können,
Ihr(e) Compuersystem(e) zu infizieren. Zudem erfahren Sie hier, wie Sie
vorgehen, wenn Sie tatsächlich von einem Computervirus betroffen werden
sollten.
In Kapitel III wird sowohl Zweck als auch Arbeitsweise aller TBAV-
Utilities beschrieben. Für alle diejenigen, die detailliertere Infor-
mationen zum Thema haben wollen, sei auf das Kapitel IV 'Informationen
für fortgeschrittene Anwender' verwiesen.
Sie können das Handbuch als Referenz-Handbuch verwenden, da der aus-
führliche Index sowie die Anhänge genauen Aufschluß über die Fehler-
meldungen von TBAV geben.
=> Beachten Sie bitte, daß es unabdingbar ist, das Handbuch komplett zu
lesen. Denn nur so werden Sie mit den vielen Facetten der ThunderBYTE
Anti-Viren-Utilities vertraut, und wissen, welche Schritte Sie unter-
nehmen können bzw. müssen, um einen angemessenen Schutz gegen Viren
aufbauen zu können und außerdem voll vorbereitet zu sein für eine
komplette Wiederherstellung im Falle eines Disasters.
2. Überblick über die TBAV-Utilities
Was ist das Thunderbyte Anti-Viren-Paket?
Das Thunderbyte Anti-Viren-Paket ist ein Programmwerkzeug, das entwickelt
wurde, um sich vor Computer-Viren zu schützen und sie zu beseitigen.
Wenngleich TBAV sehr stark darauf ausgerichtet ist, auf vielfältige Weise
einer Vireninfektion vorzubeugen, wäre das Paket unvollständig, böte es
nicht verschiedene Virenbeseitiger an, mit denen ein System gesäubert
werden kann - für den sehr unwahrscheinlichen Fall, daß ein Virus die
Schutzeinrichtungen umgeht. Das Paket besteht daher aus mehreren Pro-
grammen, von denen Ihnen jedes einzelne dabei hilft, Viren von deren
zerstörerischem Werk abzuhalten. Hier ein kurzer Überblick.
0 - 1
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0
Sammeln von Software-Informationen: TbSetup
TbSetup ist ein Programm, das alle Informationen aus den anderen Pro-
grammen ihres Systems sammelt. Diese Informationen werden in Dateien mit
der Bezeichnung Anti-Vir.Dat gespeichert. Diese Informationen können dann
zur Prüfung der Integrität oder Gültigkeit von Programmen eingesetzt
werden, aber auch um infizierte Dateien von Viren zu reinigen.
Ermöglicht die speicherresidenten TBAV-Utilities: TbDriver
TbDriver selbst bietet keinen Schutz vor Viren, muß jedoch geladen
werden, damit die anderen speicherresidenten Thunderbyte Anti-Viren-
Utilities wie TbScanX, TbCheck, TbMem, TbFile und TbDisk korrekt ar-
beiten können.
Scannt nach Viren: TbScan
TbScan is zweierlei: ein sehr schneller Signaturenscanner und ein soge-
nannter heuristischer Scanner. Neben seiner immensen Geschwindigkeit
bietet er eine Vielzahl von Konfigurations-Optionen. Er kann Viren-
Mutanten entdecken, Tarnkappenviren (auch Stealthviren genannt) um-
gehen, etc. Die von TbScan verwendete Siganturendatei ist eine codierte
'TbScan.Sig'-Datei, welche von Ihnen im Notfall selbst upgedated werden
kann. TbScan ist in der Lage, Dateien zu disassemblieren. Dies ermög-
licht es, verdächtige Instruktionssequenzen zu entdecken und damit auch
noch nicht bekannte Viren aufzuspüren. Dank dieser umfassenden Suche,
die als heuristische Analyse bezeichnet wird, ist es möglich, 90% aller
Viren allein durch das Aufspüren verdächtiger Instruktionssequenzen
ausfindig zu machen, ohne auch nur eine einzige Signatur zu verwenden.
Zu diesem Zweck enthält TbScan einen echten Disassembler und Code-Ana-
lysierer.
Ein anderes Feature von TbScan ist die Integritätsprüfung, die durch-
geführt wird, wenn TbScan die Anti-Vir.Dat-Dateien, die von TbSetup er-
stellt wurden, findet. 'Integritätsprüfung' bedeutet, daß TbScan jede
Datei, die er scannt, auch daraufhin überprüft, ob die Informationen,
welche in der Anti-Vir.Dat-Datei verwaltet werden, mit der überprüften
Datei übereinstimmen. Infiziert ein Virus eine Datei, können die gespei-
cherten Informationen nicht mehr mit denen der veränderten Datei iden-
tisch sein und TbScan wird Sie hierüber informieren.
TbScan führt die Integritätsprüfung automatisch durch und hat dabei
gegenüber anderen Integritätsprüfern, eine viel niedrigere Fehlalarm-
quote. Das Ziel ist es, Viren zu entdecken - und nicht Konfigurations-
änderungen!
Automatisches Scannen: TbScanX
TbScanX ist die speicherresidente Fassung von TbScan. Dieser Signaturen-
scanner bleibt resident im Speicher und überprüft alle Dateien, die aus-
geführt, kopiert, entarchiviert, von einer Mailbox geladen werden, usw.
TbScanX prüft außergewöhnlich schnell und benötigt darüberhinaus kaum
0 - 2
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0
konventionellen Speicher. Bereits 1 KByte im hohen Speicherbereich ist
ausreichend.
Überprüfung beim Laden: TbCheck
TbCheck prüft speicherresidente die Integrität von Dateien. Das Programm
verbleibt resident im Speicher und prüft automatisch jede Datei, gerade
bevor sie ausgeführt wird. TbCheck arbeitet bei der Integritätsprüfung
mit einem sehr schnellen Verfahren und benötigt lediglich 400 Bytes
Speicherplatz. Das Programm kann so konfiguriert werden, daß es Datei-
en mit falscher Prüfsumme und/oder Dateien, die keinen entsprechenden
Datensatz in der Datei Anti-Vir.Dat aufweisen, abweist.
Wiederherstellen infizierter
Bootsektoren, CMOS und Partitionstabellen: TbUtil
Einige Viren kopieren sich selbst in die Partitionstabelle der Fest-
platte. Im Gegensatz zu Bootsektor-Viren lassen sie sich nur schwer
entfernen. Die einzige Lösung hierfür scheint eine Low-Level-Formatie-
rung der Festplatte und ein Neuerstellen der Partitionstabelle zu sein.
Im Vergleich zu solchen radikalen Maßnahmen bietet TbUtil eine weitaus
angenehmere Alternative an. TbUtil legt ein Backup Ihrer nicht infizier-
ten Partitionstabelle und Ihres Bootsektors an. Sollten diese in Ihrem
System infiziert werden, kann das TbUtil-Backup zum Vergleich und zur
Wiederherstellung der nicht infizierten Original-Partitionstabelle und
des Bootsektors eingesetzt werden, ohne daß eine Formatierung der Fest-
platte erforderlich wird. Das Programm kann auch die CMOS-Konfiguration
wiederherstellen.
Sollte kein Backup Ihrer Partitionstabelle zur Verfügung stehen, so ver-
sucht TbUtil dennoch eine neue Partitionstabelle zu erstellen. Auch da-
durch bleibt Ihnen ein Low-Level-Formatieren erspart.
Eine weitere wichtige Fähigkeit von TbUtil ist es, daß mit seiner Hilfe
der Code der Partitionstabelle durch einen neuen, virenprüfenden Code
ersetzt werden kann. Der TbUtil-Partitions-Code wird ausgeführt, bevor
der Bootsektor die Kontrolle erhält, um so den Bootsektor zu überprüfen,
bevor Viren geladen sein können. Der TbUtil Partitions-Code führt eine
CRC-Prüfsummenberechnung des Bootsektor durch, bevor dieser die Kon-
trolle übergeben bekommt. Sollte sich der Bootsektor verändert haben,
wird Sie der TbUtil-Partitions-Code darauf hinweisen. Der TbUtil-
Partitions-Code überprüft auch die Menge des noch freien Speichers und
zeigt Ihnen an, ob sie sich verändert hat oder nicht. Jedesmal, wenn
Sie Ihren Computer von der Festplatte aus starten, werden all diese
Kontrollen durchgeführt.
Bedenken Sie, daß es äußerst schwierig ist, den Bootsektor zu überprüfen,
nachdem er schon ungeprüft ausgeführt wurde. Während des Bootvorgangs
könnte sich ein Virus speicherresident geladen haben, und sich daraufhin
verstecken. Also: TbUtil gibt Ihnen eine sehr große Sicherheit, da es
aktiv wird, BEVOR der Bootsektor aufgerufen wird. Bedenken Sie auch,
daß TbUtil wesentlich komfortabler zu bedienen ist, als die herkömmliche
Methode, von einer virenfreien DOS-Diskette aus zu booten, um eine un-
beeinflußte Überprüfung des Bootsektors durchführen zu können.
0 - 3
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0
Rekonstruieren infizierter Dateien: TbClean
TbClean ist ein Programm, um Dateien von Viren zu reinigen. Es benutzt
die von TbSetup erstellten Anti-Vir.Dat-Dateien, um die Virenbeseitigung
in den Dateien effektiver zu machen und/oder das Resultat zu überprüfen.
TbClean kann jedoch auch ohne diese Dateien arbeiten. Dabei disassem-
bliert und emuliert es die infizierte Datei und rekonstruiert mit Hilfe
dieser Analyse die Originaldatei.
Residenter Wächter: TbMon
TbMon ist ein Set aus speicherresidenten Anti-Viren-Programmen, beste-
hend aus TbMem, TbFile und TbDisk. Die meisten anderen residenten Anti-
Viren-Produkte bieten Ihnen die Wahl, sie aufzurufen, bevor ein Netzwerk
gestartet wurde mit dem Effekt, den Schutz im Netz nach der Logon-
Prozedur zu verlieren oder die Anti-Viren-Software NACH dem einloggen ins
Netz zu starten, was ein teilweise ungeschütztes System zur Folge hat.
Die TBAV-Utilities hingegen erkennen Netzwerk-Software und führen die
notwendigen Maßnahmen durch, um deren Funktionalität zu sichern.
Speicherkontrolle: TbMem
TbMem entdeckt die Versuche von Programmen speicherresident geladen zu
werden und verhindert, daß ein Programme ohne Erlaubnis resident geladen
wird. Da es sich bei den meisten Viren um speicherresidente Programme
handelt, ist diese Methode eine wirkungsvolle Waffe gegen diese Viren,
unabhängig davon, ob sie bekannt oder unbekannt sind. Die Erlaubnis,
speicherresident zu werden, wird in der Datei Anti-Vir.Dat gespeichert.
Infizierungen verhindern: TbFile
TbFile entdeckt die Versuche von Programmen, andere Programme zu infi-
zieren. TbFile schützt darüberhinaus Read-Only-Attribute und entdeckt
fehlerhafte Zeitangaben von Dateien usw. Es stellt sicher, daß kein Virus
erfolgreich ein Programm infizieren kann.
Schutz der Laufwerke: TbDisk
TbDisk entdeckt die Versuche von Programmen, direkt schreibend auf Lauf-
werke zugreifen zu wollen (ohne die Verwendung von DOS-Funktionen),
direkte Aufrufe von ROM-BIOS-Funktionen sowie Formatierungsversuche usw.,
und stellt damit sicher, daß keine heimtückischen Programme Erfolg mit
der Zerstörung Ihrer Daten haben. Informationen über die wenigen Pro-
gramme, die die Disketten direkt beschreiben und/oder formatieren dürfen,
befinden sich in den Anti-Vir.Dat-Dateien.
Definieren Sie Ihre eigenen Signaturen (im Notfall): TbGensig
Da die TBAV-Programme bei ihrem Vertrieb mit ihrer direkt verwendbaren
Signaturen-Datei auf dem neueste Stand sind, brauchen Sie dieses Pro-
gramm eigentlich gar nicht. Wenn Sie allerdings Ihre eigenen Viren-
0 - 4
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL 0
Signaturen erstellen möchten, brauchen Sie TbGenSig. Sie können hierzu
veröffentlichte Signaturen verwenden oder Sie definieren eigene, wenn
Sie mit der Struktur solcher Software genügend vertraut sind.
Entfernen infizierter Dateien: TbDel
Wenn Sie eine Datei mittels DOS-Befehl 'DEL' löschen, geht nicht der
Inhalt der Datei verloren, nur der Name der Datei wird im Verzeichnis
als gelöscht markiert. Daher ist es möglich, die gelöschte Datei wie-
derherzustellen. TbDel ist ein kleines Programm, das nur einen einzigen
aber sehr wichtigen Zweck hat: es ersetzt jedes einzelne Byte in einer
Datei durch Nullen bevor es die Datei löscht. Damit ist es unmöglich,
das Programm jemals wiederherzustellen.
Ein effektiver Stack-Manager: StackMan
Um Probleme mit speicherresidenter Software ('TSR-Programme)'zu ver-
meiden, kann DOS einen Vorrat an Stapelspeichern bereitstellen, um einen
davon zu verwenden, wenn ein Hardware-Interrupt ausgelöst wird. Mit der
Angabe von Stacks in der Datei config.sys können Anzahl und Größe dieser
Stacks kontrolliert werden. Die DOS-Stacks haben jedoch einige Nachteile.
StackMan besitzt die gleiche Funktionalität wie der DOS-Befehl "stacks",
bietet aber außerdem einige Vorzüge.
0 - 5
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
KAPITEL I. INSTALLATION VON TBAV
1. TBAV installieren
System-Voraussetzungen
Die ThunderBYTE Anti-Viren-Utilities arbeiten auf jedem IBM-kompatiblen
PC mit mindestens 1 MB freiem Festplattenspeicher. Die TBAV-Utilities
benötigen 256 KB freien Arbeitsspeicher und DOS 3.0. Empfohlen wird
allerdings DOS 5.0 oder eine höhere Version. Die TBAV-Utilities sind
kompatibel mit Netzwerken, Windows, DR-DOS, etc.
1.1 Erstinstallation
Sie können die TBAV-Utilities installieren, indem Sie die Installa-
tionsroutine verwenden (welche im folgenden beschrieben wird) oder
durch eine voll anwenderbezogene Installation (welche in den Kapi-
teln I - 3 und II erklärt ist).
Legen Sie die TBAV-Installationsdiskette in das Disketten-Laufwerk.
Geben Sie ein:
A: or B:
Geben Sie ein:
install C:\TBAV <Enter>
+---------------------------------------+
| F1 Erst-Installation |
| F2 Update-Installation |
| F3 Über.... |
| F4 Exit.... |
+---------------------------------------+
Sollten Sie das TBAV-Paket zum ersten mal installiern, wählen Sie die
erste Option, indem Sie <Enter> oder <F1> drücken.
- [Bitte wählen Sie das Laufwerk, in das TBAV installiert werden soll:]-
Sie benötigen mind. 1024 KB freien Speicher, um TBAV zu installieren !
C: 3581952
D: 21291008
Wechseln Sie auf das Laufwerk, auf das die TBAV-Utilities installiert
werden sollen. Die TBAV-Installation zeigt Ihnen den freien Speicher-
platz jedes verfügbaren Laufwerks an.
I - 1
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Als nächstes werden Sie aufgefordert, das Verzeichnis anzugeben, in
das TBAV installiert werden soll. Voreingestellt ist das Verzeichnis
\TBAV:
-----[ Bitte wählen Sie das Zielverzeichnis für TBAV: ]-----
[C:\TBAV ]
Existiert das angegebene Verzeichnis nicht, wird es vom Installations-
Program erstellt. Danach werden die TBAV-Dateien auf Ihre Festplatte
kopiert.
+-----------------------------------------------------------+
| Die Dokumentation für TBAV ist komprimiert in einer Datei.|
| Die Dokumentations-Datei wird jetzt entpackt. |
| Wenn bereit, beliebige Taste drücken.... |
| |
| |
| Inflating: c:/tbav/TBSCAN.DOC -AV |
| Inflating: c:/tbav/TBSCANX.DOC -AV |
| Inflating: c:/tbav/TBCLEAN.DOC -AV |
+-----------------------------------------------------------+
Die gepackten Dateien werden auf Ihre Festplatte kopiert und entpackt.
Nachdem alle Dateien kopiert wurden, startet TbSetup und erstellt die
Anti-Vir.Dat-Datei für das TBAV-Verzeichnis.
+-----------------------------------------------------------+
| TbSetup erstellt oder aktualisert jetzt die Anti-Vir.Dat- |
| Datei für das Verzeichnis C:\TBAV |
| Wenn bereit, beliebige Taste drücken.... |
+-----------------------------------------------------------+
Die ThunderBYTE Anti-Viren-Utilities werden ins Zielverzeichnis kopiert.
Das Installations-Program hilft Ihnen, die Utilities auf standardiserte
Weise einzurichten. Nachdem Sie das Handbuch gründlich gelesen haben,
können Sie das Programm-Paket so konfigurieren, wie es Ihren persön-
lichen Erfordernissen und Vorstellungen am besten entspricht.
+-----------------------------------------------------------+
| Dieses Installationsprogram hilft Ihnen, die Utilities in |
| standardisierter Form einzurichten. |
| Wollen Sie fortfahren ? (Y/N) |
+-----------------------------------------------------------+
Falls Sie 'N' eingeben, fragt Sie das Installationsprogramm weder ob
die speicherresidenten TBAV-Utilities in die Autoexec.Bat aufgenommen
werden sollen, noch ob die die Anti-Vir.Dat-Dateien erzeugt werden
sollen. Falls Sie mit 'Y' antworten, wird zunächst ein Backup Ihrer
Original-Autoexec.Bat angelegt und der Aufruf der TbStart.Bat in die
Autoexec.Bat eingefügt. Um die TBAV-Utilities jederzeit problemlos
aufrufen zu können, ist es empfehlenswert, Sie in die Umgebungsvariable
PATH aufzunehmen. Ihre Autoexec.Bat sieht jetzt etwa so aus:
I - 2
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
@ECHO OFF
PATH C:\TBAV
call C:\TBAV\tbstart.bat
Nachfolgend wird TbSetup das angegebene Laufwerk bearbeiten, um die
Anti-Vir.Dat-Dateien zu erzeugen. Gegebenenfalls müssen Sie diesen Vor-
gang für andere Laufwerke wiederholen. Schlagen Sie hierzu im entspre-
chenden Kapitel nach.
Das TBAV-Paket enthält einige Utilities, die im Speicher Ihres PCs in-
stalliert werden können. Für jedes dieser Utilities müssen Sie einzeln
angeben, ob es in die TbStart.Bat eingefügt werden soll.
TBSCANX ist ein speicherresidenter Viren-Scanner.
Wollen Sie ihn installieren ? (Y/N)
TBCHECK ist ein speicherresidenter Integritätsprüfer.
Wollen Sie ihn installieren ? (Y/N)
TBMEM ist ein residenter Speicherwächter.
Wollen Sie ihn installieren ? (Y/N)
TBFILE ist ein residenter Dateiwächter.
Wollen Sie ihn installieren ? (Y/N)
Wenn Sie die nachfolgende Frage mit 'Y' beantworten, durchsucht TBAV
Ihr System automatisch einmal täglich nach Viren.
Wollen Sie, daß Ihr System automatisch einmal pro Tag nach Viren
durchsucht wird ? (Y/N)
Das Installationsprogramm schreibt die angegebenen Konfigurationswerte
in die 'TbStart.Bat'-Datei, welche sich in dem Verzeichnis befindet,
welches Sie zuvor als Installationsverzeichnis für die TBAV-Utilities
angegeben haben, z.B.:
C:\TBAV\tbdriver
C:\TBAV\tbscanx
C:\TBAV\tbcheck
C:\TBAV\tbmem
C:\TBAV\tbfile
C:\TBAV\tbscan once C:\
Zuletzt können Sie die TBAV-Utilities anweisen, Ihre Festplatte sofort
zu scannen.
Es ist sehr wahrscheinlich, daß einige der TBAV-Utilities Meldungen an-
zeigen werden, nachdem Sie Ihr System neu gestartet haben und Ihren
Computer in gewohnter Weise benutzen wollen. Einige Programme führen
Operationen aus, die von den TBAV-Utilities beobachtet werden. Daher
müssen die TBAV-Utilities erst 'lernen', welche Programme eine spe-
I - 3
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
zielle Erlaubnis erhalten sollen. Starten Sie einige Ihrer am häufig-
sten eingesetzten Programme und beantworten Sie jede entsprechende Mel-
dung mit 'Y' oder 'N' - je nachdem ob Sie das Programm zulassen wollen
oder nicht. TBAV wird sich dies merken und Sie nicht erneut mit einer
unnötigen Meldung nerven. Starten Sie Ihren Computer nach diesem Test-
lauf erneut.
Die TBAV-Utilities sind jetzt bereit, Ihr System zu überwachen und bei
Auftreten verdächtiger Aktionen - oder Schlimmerem - sofort eine War-
nung auszugeben. Sie werden Sie auch warnen, falls irgendeine neue Da-
tei einen Virus enthalten sollte - natürlich bevor dieser Schaden an-
richten kann.
1.2 Windows
Die Thunderbyte Anti-Viren-Utilities sind kompatibel zu Microsoft-
Windows. In jedem DOS-Fenster bleiben die Utilities aktiv, ohne dabei
die Ausführung in anderen Fenstern zu beeinflussen. Alle TBAV-Utilities
können ebenso aus einer graphischen Darstellung der DOS-Fenster von
Windows verwendet werden.
Was Sie im TBAV-Paket nicht finden werden, sind der Mode folgende
Windows-Programme. Für diese Einschränkung gibt es mehrere Gründe.
Ein Windows-Scanner bietet niemals zusätzliche Funktionalität. Statt
dessen benötigt ein Windows-Scanner mehr Speicherplatz, ist größer
und langsamer und arbeitet weniger zuverlässig. Der einzige Vorteil
bestünde in einer hübscheren Bildschirmgestaltung. Sollte die Bild-
schirmgestaltung Ihr Hauptanliegen sein, ist TBAV kein Anti-Viren-
Programm für Sie!
Sollte eine der Windows-Dateien infiziert sein, wird Windows mit großer
Wahrscheinlichkeit die Arbeit verweigern und den Computer abstürzen las-
sen. Gerade in diesem Fall benötigen Sie einen Scanner, um herauszufin-
den, was passiert ist, doch einen Windows-Scanner können Sie nun nicht
mehr benutzen.
Um das Problem versteckter Viren zu meistern, müssen Sie vor dem Scan-
vorgang von einer virenfreien DOS-Diskette aus booten. Haben Sie schon
jemals Windows 3.1 von einer Diskette aus gebootet? TBAV bietet eine
durchdachte Windows-Unterstützung, aber keinen Unsinn.
TBAV-Menü und Befehlssyntax
Sie können die meisten der TBAV-Utilities vom Menü aus starten, nach-
dem Sie dieses auf folgende Weise geladen haben:
cd\tbav
tbav
Um die Utilities automatisch ausführen zu lassen, müssen alle TBAV-
Treiber und Utilities vom DOS-Pprompt ausgeführt werden. In einem
systemnahen Setup sollten die Treiber jedoch in der Config.Sys mit
der 'device=' oder 'install='-Angabe installiert und aktiviert werden
I - 4
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
oder als TSR-Programme in der TbStart.Bat. Ähnlich können auch die
meisten der Utilities automatisch von der TbSatrt.Bat aus gestartet
werden - im Fall von TbScan auf einmal pro Tag beschränkt. Die zwei
Ausnahmen bilden TbClean und TbDel. Sie sollten nur von der DOS-Ebene
und (TbClean) vom TBAV-Menü aus gestartet werden.
Zu allen Thunderbyte Anti-Viren-Programmen können beim Programmaufruf in
der Befehlszeile Optionen und Parameter angegeben werden, um besondere
Fähigkeiten des betreffenden Programms zu steuern. Diese können ausge-
schrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die Op-
tionen besser zu merken, weshalb sie bei den Beispielen in diesem Hand-
buch auch in der nicht-abgekürzten Form verwendet werden. Die einzelnen
Optionen müssen durch Leerstellen voneinander getrennt werden. Spezielle
Vorzeichen sind nicht erforderlich - wenn Sie wollen können Sie die je-
doch den normalen Schrägstrich oder den Bindestrich voranstellen.
Die Standard-Befehlszeilen-Syntax für alle TBAV-Befehle ist:
Befehl [<Pfad>] [<Dateiname>] [<Option>] ... [<Unter-Option>] ...
Sie können sich für jeden Befehl einen Überblick über die korrekte Syn-
tax und eine komplette Optionen-Liste anzeigen lassen, indem Sie den
entsprechenden Befehl gefolgt von dem Wort 'help' oder einem Fragezei-
chen, wie z.B.:
tbcheck ?
Dieselbe Online-Hilfe wird immer ausgegeben, wenn ein Befehl mit einer
ungültigen Option aufgerufen wird.
Die Beispiele in diesem Handbuch gehen grundsätzlich davon aus, daß
alle Utilities im Standardverzeichnis \TBAV installiert wurden.
Erstellen Sie eine Rettungsdiskette!
Wir raten Ihnen dringend, eine Rettungsdiskette anzulegen. Die Beispiel-
Setups gehen davon aus, daß Sie eine solche Rettungsdiskette angelegt
haben (siehe Anleitung in Kapitel II).
I - 5
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
2. Konfiguration
Die Wahl die Sie bei der Installation der TBAV-Utilities getroffen
haben, sollte möglicherweise etwas verfeinert werden - beispielsweise
durch Anfügen von Optionen an den Programm-Aufruf. Sie können dies
durch Editieren der Datei TBSTART.BAT erreichen, welche automatisch
die speicherresidenten Utilities lädt.
=> Falls zulässig, können Sie die relevanten Befehle stattdessen in die
Config.Sys eintragen. Vergessen Sie dort aber nicht, die Dateinamens-
erweiterung .EXE anzugeben!
Unten finden Sie einige Hinweise, wie Sie die Standardeinstellungen
Ihren eigenen Bedürfnissen gemäß verändern können. Wenn Sie Ihr System
hiernach erneut starten, benötigt TBAV Ihre Unterstützung in dieser
ersten 'Lern'-Phase.
TBAV Menü-Konfiguration
Das TBAV-Menü gestattet ebenfalls einige Einstellungen.
+----Main menu-----+
| Confi+----------TBAV configuration----------+
| TbSet|v Use colors |
| TbSca| Save configuration to TBAV.INI |
| TbUti| File view utility |
| TbCLe|v Wait after program execution |
| TBAV | Display cmd line before executing |
| Docum|v Edit command line before executing |
| Quit +--------------------------------------+
| eXit (no save) |
+------------------+
Sie können eine Option aktivieren, indem Sie den Cursorbalken auf die
entsprechende Zeile bewegen und Ihre wahl mit <Enter> bestätigen.
Use colors
Wenn deaktiviert, verwendet TBAV den Monochrome-Modus für die Bild-
schirmanzeige, was für den Einsatz auf Laptops angemessen ist.
Save configuration to TBAV.INI
Alle Konfiguration-Werte, die innerhalb des TBAV-Menüs gesetzt werden,
werden in der Datei TBAV.INI gespeichert, nachdem Sie diese Option ge-
wählt haben. Wenn Sie die TBAV-Utilities das nächstemal laden, gelten
die in der aktuellen TBAV.INI.Datei gespeicherten Werte. Sie werden
verwendet für das TBAV-Menü selbst und für die Utilities TbSetup, TbScan
und TbClean. Obwohl Sie die TBAV.INI-Datei manuell editieren können,
empfehlen wir Ihnen, diese über das TBAV-Menü erstellen zu lassen.
In der Voreinstellung ist der Inhalt der TBAV.INI nur gültig während
I - 6
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Sie das TBAV-Menüsystem verwenden. Sie können jedoch die Option "Use
TBAV.INI file" für jedes der oben genannten Utilities aktivieren (oder
durch Spezifizieren des 'UseIni'-Schalters in der TBAV.INI-Datei
selbst). In diesem Fall sind die in dieser Datei gespeicherten Ein-
stellungen für TbSetup, TbScan oder TbClean auch dann gültig, wenn sie
von der DOS-Befehlszeile aus gestartet werden. Gehen Sie mit dieser
Einstellung vorsichtig um, da Optionen die in der TBAV.INI aktiviert
sind, in der Befehlszeile nicht außer Kraft gesetzt werden können. TBAV
erzeugt die Datei TBAV.INI wenn Sie diese Option erstmals aktivieren.
In dieser Datei sind alle gültigen Schalter aufgelistet. Die deakti-
vierten Schalter werden von einem Semikolon angeführt.
File view utility
TbSetup und TbScan erzeugen eine Datendatei bzw. eine Protokolldatei.
Standardmäßig können Sie diese Dateien vom TBAV-Menü aus mit dem inter-
nen Dateibetrachter ansehen. Wenn Sie diese Option wählen, können Sie
stattdessen Ihren bevorzugten Dateibetrachter angeben. Geben Sie hier
den vollständigen Pfad und den Dateinamen (inkl. Extension) an.
Wait after program execution
Wird diese Option aktiviert, zeigt TBAV nachdem ein externes Utility
ausgeführt worden ist, die Meldung: "Mit beliebiger Taste zurück ins
TBAV-Menü".
Display command line before executing
Durch Aktivieren dieser Option wird TBAV veranlaßt, den DOS-Befehl,
mit dem das externe Utility geladen wird, anzuzeigen. Diese Option
kommt dan zur Anwendung, wenn Sie sehen wollen, welche(n) Befehl(e)
Sie zuvor angegeben haben. Durch Betätigen der <Enter>-Taste wird der
bzw. die DOS-Befehl(e) ausgeführt.
Edit command line before executing
Wenn aktiviert, können Sie den DOS-Befehl, der das externe Utility
lädt, ändern.
I - 7
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
3. TbSetup
3.1. Der Zweck von TbSetup
TbSetup ist ein Programm, das die wesentlichen Informationen jedes Pro-
gramms in Dateien mit der Bezeichnung Anti-Vir.Dat speichert. In jedem
Verzeichnis, in dem Programmdateien enthalten sind, kann es eine Anti-
Vir.Dat-Datei geben.
Obwohl die Thunderbyte-Utilities ohne die Anti-Vir.Dat-Dateien sehr gut
arbeiten, raten wir Ihnen dringend, die Anti-Vir.Dat-Dateien von TbSetup
erstellen zu lassen. Die Anti-Vir.Dat-Dateien können für mehrere Aufgaben
verwendet werden:
Integritätsprüfung. Findet TbScan eine Anti-Vir.Dat-Datei, so führt
das Programm während des Scanvorgangs eine Integritätsprüfung durch.
Sobald eine Datei von einem Virus befallen wurde, entspricht die
Information der Anti-Vir.Dat-Datei nicht mehr dem aktuellen Datei-
inhalt. Über diese Dateiveränderung informiert Sie TbScan.
TbSetup erkennt die Dateien, die eine besondere Behandlung benö-
tigen. Dazu zählt z. B. eine Abbilddatei einer Netzwerkbootdiskette.
Eine solche Datei, die das "Abbild" einer kompletten Diskette dar-
stellt, sollte vollständig und auf alle Viren gescannt werden.
TbSetup fügt in die Anti-Vir.Dat-Datei eine Markierung ein, um
sicherzustellen, daß TbScan die gesamte Datei auf alle Viren prüft.
Über weitere Dateien, die ebenfalls eine besondere Behandlung benö-
tigen, können Sie sich in einem späteren Kapitel dieser Dokumenta-
tion informieren.
Sobald eine Datei infiziert ist, kann TbClean die Originaldatei
wiederherstellen. Die Informationen der Anti-Vir.Dat-Datei sind
TbClean dabei äußerst hilfreich. Manche der infizierten Programme
können nur dann rekonstruiert werden, wenn in der Anti-Vir.Dat-Datei
Informationen über das entsprechende Programm vorliegen.
TbCheck (ein kleines speicherresidentes Programm zur Integritäts-
prüfung) kann nur dann seine Funktion erfüllen, wenn die entsprechen-
den Anti-Vir.Dat-Dateien auf Ihrem Rechner angelegt wurden.
Die speicherresidenten TBAV-Utilities benötigen die Anti-Vir.Dat-
Dateien, um die Zugriffsinformationen zu verwalten. Ohne diese Anti-
Vir.Dat-Dateien können Sie falsche Alarme nicht verhindern, es sei
denn, Sie setzen ganze Bestandteile der TBAV-Utilities außer Betrieb.
3.2. Benutzung von TbSetup
Dies ist das einzige Programm, auf das die Regel zutrifft: Je seltener
Sie es einsetzen, um so besser ist der Virenschutz. Sobald die Anti-
Vir.Dat-Dateien erstellt worden sind, sollten Sie TbSetup nur noch dann
starten, wenn Sie in Ihrem System Programmdateien verändert bzw. hinzu-
I - 8
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
gefügt haben. In diesem Fall sollten Sie TbSetup nur in dem Verzeichnis
starten, in dem sich die neuen bzw. veränderten Dateien befinden. Mit
der Option 'newonly' können Sie verhindern, daß bereits existierende
Informationen überschrieben werden.
Die von TbSetup erstellten Anti-Vir.Dat-Dateien werden bei der normalen
Dateiauflistung nicht angezeigt. Diese Dateien können Sie nur mit Hilfe
spezieller Utilities sichtbar machen.
Sie können TbSetup von der DOS-Befehlszeile oder vom TBAV-Menü
aus laden. Laufwerk und Pfad geben TbSetup an, wo es seinen Setup-
vorgang durchführen soll. Wollen Sie die Laufwerke C: und D: bear-
beiten, dann geben Sie ein:
TbSetup C:\ D:\
Wenn Sie anstelle der Dateinamen ein Laufwerk und/oder einen Pfad ange-
ben, wird der angegebene Pfad als übergeordneter Pfad verstanden. Alle
seine Unterverzeichnisse werden miteinbezogen. Wird dagegen ein Datei-
name angegeben, arbeitet das Programm nur im angegebenen Pfad und nicht
in den Unterverzeichnissen.
Platzhalter (Wildcards) in Dateinamen sind erlaubt.
Nachdem Sie TbSetup auf Ihrem gesamten System angewendet haben, benö-
tigen Sie das Programm erst dann wieder, wenn Sie Programmdateien
verändert oder neu installiert haben. In diesem Fall raten wir Ihnen
dringend, TbSetup nur in dem Verzeichnis zu starten, in dem sich die
veränderten bzw. neu installierten Dateien befinden.
Beispiel:
Sie fügen im Verzeichnis C:\FOO eine neue Datei mit Namen TEST.EXE hinzu.
TbSetup C:\FOO\TEST.EXE
Beispiel:
Sie installieren in einem neuen Verzeichnis C:\NEU ein neues Programm.
TbSetup C:\NEU
TbScan teilt Ihnen mit, wenn Sie TbSetup noch einmal starten sollen: Das
Programm wird Ihnen entweder ein kleines 'c' (Hinweis auf eine neue
Datei) oder ein großes 'C' (Hinweis auf eine veränderte Datei) nach dem
jeweiligen Dateinamen anzeigen.
Wenn Sie das Programm von der DOS-Ebene aus starten, können Sie eine
Reihe von Startoptionen verwenden. Diese Optionen finden Sie in Ab-
schnitt 3.3. dieses Kapitels.
I - 9
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Das 'TbSetup'-Menü
+----Main menu-----+
| Confi+------TbSetup menu------+
| TbSet| Start TbSetup |
| TbSca| Files/Paths to setup |
| TbUti| Options menu >|
| TbCLe| Flags menu >|
| TBAV | Data file path/name |
| Docum| View data file |
| Quit +------------------------+
| eXit (no save) |
+------------------+
Data file path/name
Normalerweise sucht TbSetup in einer Datei mit dem Dateinamen
TbSetup.Dat nach Angaben zu "besonderen" Dateien. Mit der Option
'datfile' können Sie einen Pfad- oder Dateinamen einer anderen Datei
angeben, die eine Liste aller "besonderen" Dateien enthält. Schreib-
weise der Option: Datfile [=<Dateiname>]
Beispiel:
TbSetup Datfile = c:\tbav\tbsetup.dat
+----Main menu-----+
| Confi+------TbSetup menu------+
| TbSet| Start+-------TbSetup options-------+
| TbSca| Files| Use TBAV.INI file |
| TbUti| Optio| Prompt for pause |
| TbCLe| Flags| Only new files |
| TBAV | Data | Remove Anti-Vir.Dat files |
| Docum| View | Do not change anything |
| Quit +-------|v Hide Anti-Vir.Dat files |
| eXit (no save| Make executables readonly |
+---------------| Clear readonly attributes |
|v Sub-Directory scan |
+-----------------------------+
Use TBAV.INI file
Wenn Sie diese Option auswählen, ist die Konfiguration von TbSetup, so
wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des
Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da
die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS-
Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2
('Konfiguration').
I - 10
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Prompt for pause
Mit der Option 'pause' hält TbSetup die Ausgabe in ein Fenster an, so-
bald dieses voll ist. Der Anwender erhält dadurch die Gelegenheit, die
Ergebnisse zu überprüfen, bevor durch Tastendruck die Arbeit fortgesetzt
wird.
Only new files
Wenn Sie dem Datenbestand der Anti-Vir.Dat neue Dateien hinzufügen,
die Informationen von veränderten Dateien aber nicht aktualisieren wol-
len, können Sie die Option 'newonly' benutzen. Es ist gefährlich, Infor-
mationen veränderter Dateien zu aktualisieren, denn sollten diese be-
reits infiziert sein, so werden bei dem Vorgang die Informationen, mit
denen Sie den Virus aufspüren und beseitigen können, endgültig über-
schrieben. Durch die Option 'newonly' können die bestehenden Informatio-
nen nicht überschrieben, neue dem Datenbestand aber hinzugefügt werden.
Remove Anti-Vir.Dat files
Wenn Sie nicht mehr länger mit den Thunderbyte-Utilities arbeiten wollen,
müssen Sie nicht jede einzelne Anti-Vir.Dat-Datei löschen. Mit der Option
'remove' löscht TbSetup zuverlässig alle Anti-Vir.Dat-Dateien in den an-
gegebenen Verzeichnissen oder Laufwerken für Sie.
Do not change anything
Wenn Sie ausprobieren wollen, was welche Option bewirkt, ohne das Risiko
eingehen zu wollen, daß etwas verändert wird, dann hilft Ihnen die Option
'test' weiter. Mit dieser Option läuft das Programm wie gewohnt ab, ver-
ändert oder aktualisiert jedoch nichts auf Ihrer Festplatte.
Hide Anti-Vir.Dat files
Gewöhnlich werden die Anti-Vir.Dat-Dateien nicht angezeigt. Deaktivieren
Sie diese Option, wenn Sie normale Dateien, d.h. anzeigbare, bevorzugen.
=> Diese Option wirkt sich nur auf neue Anti-Vir.Dat-Dateien aus.
Make executables read-only
Da TbFile die Read-Only-Attribute ständig überwacht, ist es sehr zu
empfehlen, alle ausführbaren Dateien mit diesem Attribut zu versehen.
So schützen Sie Ihre Dateien vor allen Veränderungen. Mit 'read-only'
setzt TbSetup das Read-Only-Attribut der bearbeiteten ausführbaren
Dateien. Dabei erkennt TbSetup Dateien, die nicht mit dem Read-Only-
Attribut versehen werden dürfen.
I - 11
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Clear read-only attributes
Mit dieser Option können Sie die Auswirkungen der Option 'read-only'
rückgängig machen. Aktivieren Sie diese Option, werden die Read-Only-
Attribute aller ausführbaren Dateien entfernt.
Sub-Directory scan
Normalerweise sucht TbSetup auch in Unterverzeichnissen nach ausführba-
ren Dateien, außer es wird ein Dateiname (Platzhalter sind zulässig) an-
gegeben. Deaktivieren Sie diese Option, werden Unterverzeichnisse von
TbSetup nicht durchsucht.
+----Main menu-----+
| Confi+------TbSetup menu------+
| TbSet| Start+-----TbSetup flags------+
| TbSca| Files|v Use normal flags |
| TbUti| Optio| Set flags manually |
| TbCLe| Flags| Reset flags manually |
| TBAV | Data | Define flags >|
| Docum| View +------------------------+
| Quit +------------------------+
| eXit (no save) |
+------------------+
Set flags manually
Diese Option ist nur für fortgeschrittenen Anwendern gedacht. Mit 'set'
plazieren Sie nämlich Flags, also Markierungen für bestimmte Eigen-
schaften, im Anti-Vir.Dat-Datenbestand von Hand. Diese Option erfordert
hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um In-
formationen über die verwendeten Bit-Masken zu erhalten, sehen Sie sich
bitte die Datei TbSetup.Dat an.
Schreibweise der Option: Set = <Flags>
Beispiel: Set = 0001
Reset flags manually
Rufen Sie diese Option nur dann auf, wenn Sie zu den fortgeschrittenen
Anwendern zählen. Mit 'reset' können Sie von Hand Flags entfernen oder
verhindern, daß Flags im Anti-Vir.Dat-Datenbestand gesetzt werden können.
Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags
richtig zu setzen. Um Informationen über die verwendeten Bit-Masken zu
erhalten, können Sie sich die Datei TbSetup.Dat anschauen.
Schreibweise der Option: Reset = <Flags>
Beispiel: Reset = 0001
I - 12
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
+----Main menu-----+
| Confi+------TbSetup menu------+
| TbSet| Start+-----TbSetup flags------+
| TbSca| Files|v Use n+--Define flags to be changed--+
| TbUti| Optio| Set f| 0001: Heuristic analysis |
| TbCLe| Flags| Reset| 0002: Checksum changes |
| TBAV | Data | Defin| 0004: Disk image File |
| Docum| View +-------| 0008: Readonly sensitive |
| Quit +---------------| 0010: TSR program |
| eXit (no save) | | 0020: Direct disk access |
+------------------+ | 0040: Attribute modifier |
| 8000: Interrupt rehook |
+------------------------------+
3.3. Startoptionen
Beim Aufruf von TbSetup können Optionen angegeben werden. Diese können
ausgeschrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die
Optionen besser zu merken, weshalb sie in diesem Handbuch auch in dieser
Form verwendet werden.
Option Parameter Abk. Erklärung
------ --------- ---- ---------------------------------------------
help he Hilfe (-? =Kurzhilfe)
pause pa Pausen einschalten
mono mo Farbverwendung abschalten
nosub ns Unterverzeichnisse übergehen
newonly no Veränderte Datensätze nicht aktualisieren
remove rm Anti-Vir.Dat-Dateien löschen
test te Keine Auswirkungen oder Veränderungen
nohidden nh Neue Anti-Vir.Dat-Dateien sind sichtbar
readonly ro Setzt ausführbaren Dateien Read-Only-Attribut
nordonly nr Entfernt oder setzt kein Read-Only-Attribut
set =<Flags> se Setzt Flags
reset =<Flags> re Setzt Flags zurück bzw. setzt keine Flags
datfile [=<Datei>] df Zu verwendende Daten-Datei
help (he)
Mit Hilfe dieser Option veranlassen Sie TbSetup, den Inhalt der Datei
TBSETUP.HLP anzuzeigen, sofern sich diese im gleichen Verzeichnis wie
TbSetup befindet. Mit der Option '?' erhalten Sie eine Kurzhilfe in
Listenform, wie oben aufgeführt.
I - 13
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
mono (mo)
Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm
unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb-
emulierenden schwarzweiß-Systemen verbessert werden.
nosub (ns)
Normalerweise sucht TbSetup auch in Unterverzeichnissen nach ausführba-
ren Dateien, außer es wird ein Dateiname (Platzhalter sind zulässig) an-
gegeben. Deaktivieren Sie diese Option, werden Unterverzeichnisse von
TbSetup nicht durchsucht.
newonly (no)
Wenn Sie dem Datenbestand der Anti-Vir.Dat neue Dateien hinzufügen,
die Informationen von veränderten Dateien aber nicht aktualisieren wol-
len, können Sie die Option 'newonly' benutzen. Es ist gefährlich, Infor-
mationen veränderter Dateien zu aktualisieren, denn sollten diese be-
reits infiziert sein, so werden bei dem Vorgang die Informationen, mit
denen Sie den Virus aufspüren und beseitigen können, endgültig über-
schrieben. Durch die Option 'newonly' können die bestehenden Informatio-
nen nicht überschrieben, neue dem Datenbestand aber hinzugefügt werden.
remove (rm)
Wenn Sie nicht länger mit den Thunderbyte-Utilities arbeiten wollen,
müssen Sie nicht jede einzelne Anti-Vir.Dat-Datei löschen. Mit der Option
'remove' löscht TbSetup zuverlässig alle Anti-Vir.Dat-Dateien in den an-
gegebenen Verzeichnissen oder Laufwerken für Sie.
test (te)
Wenn Sie ausprobieren wollen, was welche Option bewirkt, ohne das Risiko
eingehen zu wollen, daß etwas verändert wird, dann hilft Ihnen die Option
'test' weiter. Mit dieser Option läuft das Programm wie gewohnt ab, ver-
ändert oder aktualisiert jedoch nichts auf Ihrer Festplatte.
nohidden (nh)
Gewöhnlich werden die Anti-Vir.Dat-Dateien nicht angezeigt. Deaktivieren
Sie diese Option, wenn Sie normale Dateien, d.h. anzeigbare, bevorzugen.
=> Diese Option wirkt sich nur auf neue Anti-Vir.Dat-Dateien aus.
readonly (ro)
Da TbFile die Read-Only-Attribute ständig überwacht, ist es sehr zu
empfehlen, alle ausführbaren Dateien mit diesem Attribut zu versehen.
So schützen Sie Ihre Dateien vor allen Veränderungen. Mit 'read-only'
setzt TbSetup das Read-Only-Attribut der bearbeiteten ausführbaren
Dateien. Dabei erkennt TbSetup Dateien, die nicht mit dem Read-Only-
Attribut versehen werden dürfen.
nordonly (nr)
Mit dieser Option können Sie die Auswirkungen der Option 'read-only'
rückgängig machen. Aktivieren Sie diese Option, werden die Read-Only-
Attribute aller ausführbaren Dateien entfernt.
set (se)
Diese Option ist nur für fortgeschrittene Anwendern gedacht. Mit 'set'
plazieren Sie nämlich Flags, also Markierungen für bestimmte Eigen-
I - 14
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
schaften, im Anti-Vir.Dat-Datenbestand von Hand. Diese Option erfordert
hexadezimales, bitweises Rechnen, um die Flags richtig zu setzen. Um In-
formationen über die verwendeten Bit-Masken zu erhalten, sehen Sie sich
bitte die Datei TbSetup.Dat an.
Schreibweise der Option: Set = <Flags>
Beispiel: Set = 0001
reset (re)
Rufen Sie diese Option nur dann auf, wenn Sie zu den fortgeschrittenen
Anwendern zählen. Mit 'reset' können Sie von Hand Flags entfernen oder
verhindern, daß Flags im Anti-Vir.Dat-Datenbestand gesetzt werden können.
Diese Option erfordert hexadezimales, bitweises Rechnen, um die Flags
richtig zu setzen. Um Informationen über die verwendeten Bit-Masken zu
erhalten, können Sie sich die Datei TbSetup.Dat anschauen.
Schreibweise der Option: Reset = <Flags>
Beispiel: Reset = 0001
datfile (df)
Hinter der 'datfile'-Option können Sie den Namen der Datendatei, die
verwendet werden soll, angeben.
3.4. Programmablauf
TbSetup unterteilt den Bildschirm in drei Fenster: ein Fenster für die
Informationen, eines für den Scanvorgang und eines für den Status. Im
obersten, dem Informations-Fenster, werden zunächst die Hinweise der
Daten-Dateien angezeigt.
Im linken unteren Fenster werden Sie auf gerade bearbeitete Dateien und
dateispezifische Informationen aufmerksam gemacht.
Beispiel:
TEST.EXE 01234 12AB23CD Added * 0001
| | | | | |
| | | | | |
| | | | | Für Datei gesetzte 'Flags'
| | | | Bedeutet 'spezielle' Datei
| | | Durchgeführte Aktion
| | 32-Bit CRC (Prüfsumme)
| Dateigröße (hexadezimal)
Dateiname
Keine Sorge! Sie müssen die angezeigten Informationen nicht unbedingt
verstehen. Wahrscheinlich benötigen Sie die Informationen nie.
Das Feld 'Durchgeführte Aktion' kann drei verschiedene Meldungen
anzeigen:
Added
Bislang existierte kein Anti-Vir.Dat-Datensatz dieser Datei. Nun
wurde er hinzugefügt.
I - 15
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Changed
Ein Anti-Vir.Dat-Datensatz der Datei existierte bereits, doch die
Datei hat sich verändert. Die Anti-Vir.Dat-Information wurde
aktualisiert.
Updated
Ein Anti-Vir.Dat-Datensatz der Datei existiert bereits. Sie hat sich
nicht verändert. TbSetup hat jedoch einige der Zugriffsinformationen
verändert. Ursache: ein Eintrag der TbSetup.Dat-Datei bzw. die 'Set'-
oder 'Reset'-Angabe in der Befehlszeile.
Sie können TbSetup durch Drücken von Strg-Pause (Ctrl-Break) abbrechen.
Der Zweck der TbSetup.Dat-Datei
Obwohl die Thunderbyte-Utilities mit nahezu jeder Datei korrekt arbei-
ten, gibt es doch einige Dateien, die eine besondere Behandlung benöti-
gen. Um solche Dateien zu erkennen, verwendet TbSetup die Datendatei
TbSetup.Dat. Dabei setzt es besondere Markierungen in die Anti-Vir.Dat-
Datei, mit deren Hilfe die anderen Thunderbyte-Utilities erkennen, wel-
che Ausnahmen für eine solche 'Spezialdatei' gelten sollen.
Beispiele solcher Dateien sind:
In manchen Programmen wird die Konfigurationsinformation in den aus-
führbaren Dateien (EXE, COM) abgelegt. Verändern Sie die Konfigu-
ration eines solchen Programms, verändert sich damit auch der Inhalt
der Programmdatei. Folglich stimmt die neue Prüfsumme mit der alten
nicht mehr überein. Einige Thunderbyte-Utilities benötigen diese
Prüfsumme aber, um die Integrität der Datei zu prüfen oder für die
Virenbeseitigung. Deshalb ist es hilfreich, diese Utilities wissen
zu lassen, daß sich die Prüfsumme erlaubterweise verändern kann.
TbScan ist z. B. mit der 'heuristischen' Analyse in der Lage, bislang
unbekannte Viren zu entdecken. Manchmal enthält eine Datei jedoch
Zeichenfolgen, die einem Virus gleichen. In diesem Fall würde die
heuristische Analyse einen falschen Alarm auslösen. Daher ist es von
großer Hilfe, wenn TbScan erfährt, daß es bei einer solchen Datei
keine heuristische Analyse durchführen darf.
Die Read-Only-Attribute können von einigen Thunderbyte-Utilities
überwacht werden, um zu verhindern, daß sie ohne Erlaubnis des
Anwenders entfernt werden können. Es gibt jedoch einige Programme,
die sich nicht mehr richtig verhalten, wenn ihr Read-Only-Attribut
gesetzt wurde.
Fast immer funktioniert das Standardverfahren beim Scannen mit TbScan
ganz ausgezeichnet. Dennoch müssen manche Dateien einem besonderen
Analyseverfahren unterzogen werden. Eine solche Datei ist die Novell
NET$DOS.SYS-Datei, die trotz ihrer Dateinamenerweiterung kein Geräte-
treiber ist, sondern ein Abbild der Netzwerk-Bootdiskette. Sie muß
vollständig und auf ALLE Signaturen gescannt werden, einschließlich
der Signaturen vom COM- und BOOT-Typ.
I - 16
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Die speicherresidenten Überwachungs-Utilities des TBAV-Programmpa-
kets entdecken alle Formen virenspezifischen Verhaltens. Einige der
"normalen" Programme verhalten sich manchmal so, wie es für Viren
typisch ist. Um zu verhindern, daß TBAV durch die Ausführung solcher
Programme alarmiert wird, muß diesen Programmen ein solches Verhal-
ten gestattet werden.
Die Vorstellung, daß einige Dateien von der heuristischen Analyse aus-
geschlossen werden, verursacht Ihnen vielleicht Unbehagen. Doch sollten
Sie darüber nicht vergessen, daß diese Dateien dennoch auf die herkömm-
liche Art der Signaturenprüfung und dergleichen gescannt werden. Außerdem
müßte eine Datei den gleichen Namen, die gleiche Größe und exakt die
gleiche 32-Bit-CRC-Prüfsumme besitzen, wie in der TbSetup.Dat-Datei an-
gegeben, damit das Flag zum Deaktivieren der heuristischen Analyse
fälschlicherweise in die Anti-Vir.Dat-Datei eingetragen wird. Das stellt
aber noch immer kein Sicherheitsrisiko dar: Wenn eine Datei, die in der
TbSetup.Dat-Datei aufgeführt ist, infiziert sein sollte, dann stimmt die
32-Bit-CRC-Prüfsumme nicht mehr und TbSetup wird die Datei nicht mehr er-
kennen und zulassen. Auch wenn ein Programm nachträglich infiziert wird,
verändert sich die Datei, womit die Angaben in der Anti.Vir-Dat-Datei
nicht mehr mit der Datei übereinstimmen. Damit wird sie automatisch
wieder einer vollständigen heuristischen Analyse unterzogen.
I - 17
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
4. TbDriver
4.1 Der Zweck von TbDriver
TbDriver selbst bietet keinen Schutz vor Viren, muß jedoch geladen
werden, damit die anderen speicherresidenten Thunderbyte Anti-Viren-
Utilities wie TbScanX, TbCheck, TbMem, TbFile und TbDisk korrekt ar-
beiten können. Es stellt einige Routinen zur Verfügung, die von allen
anderen Utilities verwendet werden: am Bildschirm erscheinende Mel-
dungsfenster, die Übersetzungseinheit für die Verwendung Ihrer Mutter-
sprache, Netzwerkunterstützung usw.
Benutzung von TbDriver
TbDriver muß vor allen anderen speicherresidenten TBAV-Utilities
geladen werden. Genauere Anweisungen für das Laden erhalten Sie auf
den folgenden Seiten.
Normalerweise ist es nicht notwendig, die Startoption 'net' von
TbDriver zu verwenden.
Wenn Sie TbDriver auf einem Computer installieren, der von einem
Boot-ROM gebootet (gestartet) wird, müssen Sie die Meldungs-Datei
mit dem Pfad- und Dateinamen angeben, unter dem die Datei gefunden
werden kann, NACHDEM der Computer gebootet ist. Die Datei unter
dem vorgegebenen Namen ist nach dem Booten nicht mehr zugänglich.
4.2. Startoptionen
In der Befehlszeile können beim Programmaufruf Optionen angegeben wer-
den. Die Angabe eines Dateinamens wird als Name der Sprach-Datei ver-
standen. Die ersten drei im folgenden erklärten Optionen sind jederzeit
verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben
werden, wenn TbDriver noch nicht speicherresident geladen ist.
Option Parameter Abk. Erklärung
------ --------- ---- ----------------------------
help ? =Zeigt Hilfetext
net n =Aktiviert besondere LAN-Unterstützung
remove r =Entfernt TbDisk aus dem Speicher
mode =<m|c> m =Gibt den Video-Modus an
noavok =<Laufwerke> o =Keine Meldung bei fehlenden Anti-Vir-Daten
quiet q =Aktivitäten werden nicht angezeigt
secure s =Verhindert die Änderungs-Erlaubnis
notunnel t =Keine Suche nach 'tunneling'
I - 18
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
help (?)
Wenn Sie diese Option wählen, zeigt Ihnen TbDriver die verfügbaren
Startoptionen an, so wie oben aufgelistet.
net (n)
TbDriver arbeitet mit den meisten Netzwerken gut zusammen, deshalb ist
die Option 'net' (abgekürzt mit "n") normalerweise nicht erforderlich.
Die Option 'net' ist nur erforderlich, wenn ALLE folgenden Bedingungen
erfüllt sind: Die Verbindung zu einem Novell-Netzwerk ist aufgebaut,
und TbDriver.Exe wurde gestartet, bevor das Logon-Kommando benutz wurde,
und keine gültigen Anti-Vir.Dat-Daten in dem Verzeichnis sind, wo sich
das Programm NET?.COM befindet, oder das Programm NET?.COM umbenannt
wurde.
remove (r)
Wurde TbDriver bereits speicherresident geladen, so kann es durch den
Aufruf von TbDriver mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbDriver geladen, so könnte die Entfernung des Programms aus
dem Speicher große Probleme verursachen. TbDriver erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
mode (m)
Werden an einem Computer gleichzeitig zwei Video-Systeme dual verwendet,
so verwendet TbDriver den Bildschirm, der aktiv war, als TbDriver auf-
gerufen wurde. Ist dies nicht erwünscht, können Sie den Bildschirm
angeben, der zu verwenden ist: 'mode=m' für monochrome, 'mode=c' für
farbige Systeme.
noavok (o)
Die Option 'noavok' (abgekürzt "o") wird für die normale Verwendung
NICHT empfohlen. Sie können mit ihr Programmen, für die keine Daten in
der Datei Anti-Vir.Dat gespeichert sind, eine automatische Erlaubnis
erteilen. Die Option 'noavok' erfordert einen Parameter, der angibt,
für welche Laufwerke die Erlaubnis gelten soll. Beispiel: Wenn Sie
keine Meldung von TbMem erhalten wollen, wenn ein TSR-Programm ohne
entsprechende Angaben in der Datei Anti-Vir.Dat von Laufwerk g: oder
h: aus gestartet werden soll, müssen Sie 'noavok=gh' als Startparame-
ter von TbDriver angeben.
quiet (q)
Einige der speicherresidenten TBAV-Utilities zeigen ihre Aktivität am
Bildschirm an. TbScanX läßt das Wort "*Scanning*" in der oberen linken
Bildschirmecke aufleuchten, während es scannt. Sie können dies mit der
Option 'quiet' (abgekürzt "q") verhindern. Diese Option von TbDriver
kann nur verwendet werden, wenn TbDriver noch nicht resident geladen ist.
secure (s)
Einige der Thunderbyte-Utilities können in der Anti-Vir.Dat-Datei Erlaub-
nisinformationen abspeichern. Wenn Sie die Veränderung dieser Informatio-
nen verbieten wollen, können Sie die Option 'secure' (abgekürzt "s") ein-
setzen. Diese Option hat keinen Einfluß auf bereits erteilte Erlaubnisse,
so daß Sie sie nach der Installation aller Programme verwenden können.
I - 19
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
notunnel (t)
TbDriver entdeckt normalerweise den Versuch von Viren zu tunneln. Das
Tunneln ist eine von Viren verwendete Technik, um den Speicherplatz
des DOS-System-Codes im Speicher zu entdecken und diese Adresse für di-
rekte Kommunikation mit DOS zu gebrauchen. Damit wird die Überwachung
aller speicherresidenten Antiviren-Programme umgangen. TbDriver ist in
der Lage, Tunnel-Versuche festzustellen und vor ihnen zu warnen. Es
gibt andere Antiviren-Programme, die sich der Tunnel-Technik bedienen,
um speicherresidente Viren zu umgehen. Diese verursachen dabei dann
einen falschen Alarm. Wenn Sie solche anderen Antiviren-Programme
verwenden, können Sie mit der Option 'notunnel' (abgekürzt "t") die
Überprüfung von Tunnelversuchen abschalten.
4.3. Sprachunterstützung
TbDriver verwendet für die am Bildschirm erscheinenden Meldungen
normalerweise die in der Datei TBDRIVER.LNG gespeicherten Texte und
sucht diese Datei in dem Verzeichnis, in dem sich auch die Programm-
datei von TbDriver befindet.
Wenn Sie die Texte in einer anderen Sprache angezeigt haben möchten,
sollten Sie überprüfen, ob eine Sprachdatei für die gewünschte Sprache
verfügbar ist. Ist die Datei vorhanden, können Sie sie mit ihrem voll-
ständigen Pfad- und Dateinamen hinter dem Aufruf von TbDriver angeben.
Sie können die verwendete Sprache auch einfach wechseln, indem Sie
TbDriver noch einmal aufrufen, mit dem Namen der zu benutzenden Sprach-
datei. Hierdurch wird kein zusätzlicher Speicherplatz benötigt.
I - 20
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
5. Systempflege
Jedes System bedarf der Pflege, so auch die TBAV-Utilities. Da immer
neue Viren auftauchen, muß die Signaturendatei von TbScan regelmäßig
upgedated werden. Sie können die jeweils aktuellste Signaturendatei
immer aus einer unserer Support-Mailboxen herunterladen.
Sicherlich wollen Sie ab und an neue Programme und Updates auf Ihrem
System installieren. Vergessen Sie dabei nicht, diese neuen Programme
mit TbSetup aufzunehmen!
Sobald Sie eine neue DOS-Version installieren, wird der Bootsektor ver-
ändert. Verändern Sie die Konfiguration Ihrer Laufwerke, ändert sich die
Partitionstabelle und/oder die CMOS-Einstellungen. In all diesen Fällen
müssen Sie eine neue Rettungsdiskette anlegen.
Updates
Die Thunderbyte Anti-Viren-Utilities werden ständig aktualisiert. Diese
Updates können Sie bei allen Thunderbyte-Support-Mailboxen erhalten.
Aber auch bei vielen anderen Mailboxen können Sie die aktuellsten
Versionen unserer Software beziehen.
Die komplette Fassung trägt die Bezeichnung: TBAVxxx.ZIP. 'xxx' steht
(als Platzhalter) für die dreistellige Versionsnummer der jeweiligen
Thunderbyte Anti-Viren-Utilities.
Um die hohe Zuverlässigkeit der Produkte zu gewährleisten, können Sie
Beta-Versionen beziehen. Diese Versionen werden nur eingeschränkt ver-
trieben, sind also nur bei den Thunderbyte-Support-Mailboxen in den
Niederlanden und den USA zu erhalten. Sie enthalten nur die veränder-
ten Dateien. Beta-Fassungen werden durch ein 'B' in ihrer Bezeichnung
gekennzeichnet: TBAVBxxx.ZIP.
Um die Übertragungskosten so gering wie möglich zu halten, wurden spe-
zielle Upgrade-Archive eingerichtet, die die Dateien enthalten, die
seit der letzten offiziellen Fassung verändert wurden. Sie sind durch
das 'U' in ihrer Bezeichnung gekennzeichnet: TBAVUxxx.ZIP:
Die speicherresidenten Thunderbyte Anti-Viren-Utilities gibt es auch in
prozessoroptimierten Fassungen. Diese prozessoroptimierten Fassungen
sind nur registrierten Anwendern zugänglich und befinden sich in Archi-
ven, die ein 'X' in ihrem Dateinamen tragen: TBAVXxxx.ZIP.
Vertrieb der Signaturendateien
Die Signaturendatei (TBSCAN.SIG) wird jeden Monat aktualisiert. Sie
wird über ein Archiv mit dem Namen TBSIG%##.ZIP (% = Jahr, ## = Nummer
der Ausgabe) vertrieben. In den meisten Mailboxen befindet sich inner-
halb von 48 Stunden, nachdem die Master-Kopie in der Thunderbyte-
Support-Mailbox in den Niederlanden aktualisiert wurde, ebenfalls eine
aktualisierte Version.
I - 21
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
Sprachunterstützung
Die Thunderbyte Anti-Viren-Utilities unterstützen verschiedene Sprachen.
Die Dateien, die die Sprachunuterstützung enthalten, werden in Archiven
unter dem Namen TB<Name><Version>.ZIP vertrieben, wobei <Name> für den
Ländercode und <Version> für die TBAV-Versionsnummer steht. Eine Sprach-
datei, die auf Holländisch die Version 5.00 unterstützt, trägt daher die
Bezeichnung TBNL500.ZIP. Sie erhalten diese Sprachdateien in den meisten
Thunderbyte-Support-Mailboxen.
I - 22
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
6. Netzwerkpflege
Die Signaturendatei TbScan.Sig sollte regelmäßig ersetzt werden. Dies
kann viel Arbeit bedeuten, wenn Sie viele Arbeitsplätze eines Netzwerks
einzeln aktualisieren. Glücklicherweise gibt es mehrere Möglichkeiten,
diesen Arbeitsvorgang automatisch ausführen zu lassen.
6.1 Verwenden von DOS REPLACE
Richten Sie auf dem Server ein Verzeichnis mit dem Namen \TBAV_UPD\
ein. Sollten Sie eine neue Fassung von TBAV oder der Signaturendatei
TbScan.Sig erhalten, so kopieren Sie sie in dieses Verzeichnis.
Sobald sich ein Arbeitsplatzcomputer im Netz anmeldet, sollte eine Batch-
datei automatisch abgearbeitet werden. In den meisten Fällen ist dies so
üblich. Diese Batchdatei sollte die folgenden Zeilen enthalten:
REM Neues Anti-Viren-Produkt installieren, wenn vorhanden.
replace x:\tbav_upd\*.* c:\tbav /u /r
'Replace' ist ein normaler DOS-Befehl. Er kopiert die Dateien, die
durch den ersten Parameter gekennzeichnet werden, nur dann, wenn diese
aktueller sind als die Dateien, die durch den zweiten Parameter angegeben
werden.
Vergewissern Sie sich, daß der Befehl 'replace' in der verwendeten Konfi-
guration in einem Pfad gefunden werden kann, der in der Umgebungsvaria-
blen PATH aufgeführt ist.
In den meisten Fällen wird der Befehl 'replace' nichts bewirken, es sei
denn, Sie aktualisieren Ihr x:\tbav_upd Verzeichnis. Bei dieser Vorge-
hens weise müssen Sie lediglich ein Laufwerk mit der neuesten Signaturen-
datei bzw. Anti-Viren-Software ausstatten, denn alle anderen Arbeits-
platzcomputer führen das Update selbständig durch, sobald sie sich im
Netz anmelden!
Wollen Sie mit Hilfe des REPLACE-Programms alle Verzeichnisse der
Arbeitsplatzcomputer auf zu aktualisierende Dateien durchsuchen lassen,
können Sie die Option /S hinzufügen.
Beachten Sie:
Vergessen Sie nicht, TbSetup für die neuen Utilities im Verzeichnis
x:\tbav_upd zu starten. Dies stellt sicher, daß der Befehl REPLACE auch
die neue Anti-Vir.Dat-Datei kopiert.
6.2. Verwenden von PkUnZip.Exe
Richten Sie auf dem Server ein Verzeichnis mit dem Namen \TBAV_UPD\ ein.
Sollten Sie eine neue Fassung eines gepackten Archivs mit TBAV-Dateien
erhalten, so kopieren Sie diese in das genannte Verzeichnis.
Sobald sich ein Arbeitsplatzcomputer im Netz anmeldet, sollte eine Batch-
datei automatisch abgearbeitet werden. In den meisten Fällen ist dies so
I - 23
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL I
üblich. Diese Batchdatei sollte die folgenden Zeilen enthalten:
REM Neues Anti-Viren-Produkt installieren, wenn vorhanden.
PkUnZip -n -o x:\tbav_upd\TBAV???.ZIP c:\tbav
=> Vergewissern Sie sich, daß der Befehl 'PkUnZip' in der verwendeten
Konfiguration in einem Pfad gefunden werden kann, der in der Umge-
bungsvariablen PATH aufgeführt ist.
In den meisten Fällen wird der Befehl 'PkUnZip' nichts bewirken, es sei
denn, Sie aktualisieren Ihr x:\tbav_upd Verzeichnis. Bei dieser Vorge-
hensweise müssen Sie lediglich ein Laufwerk mit der neuesten Signaturen-
datei bzw. Anti-Viren-Software ausstatten, denn alle anderen Arbeits-
platzcomputer führen das Update selbständig durch, sobald sie sich im
Netz anmelden!
I - 24
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
KAPITEL II. ANTI-VIREN-STRATEGIEN
1. Schutz gegen Viren
1.1. Einführung
Ein zuverlässiges Sicherheitssystem aufrecht zu erhalten setzt voraus,
daß Sie Maßnahmen ergreifen, Ihr System vor einer Vireninfektion zu
schützen, da sich einige Viren perfekt verstecken können, sind sie erst
einmal im Speicher resident geworden. Mindestens einmal pro Woche soll-
ten Sie Ihren Rechner von einer virenfreien und schreibgeschützten Boot-
diskette starten und TbScan ausführen.
Wie eng Ihr Sicherheitssystem ist, hängt im wesentlichen davon ab,
wieviel Zeit Sie bereit sind für Sicherheitsmaßnahmen aufzuwenden und
wie wichtig für Sie das entsprechende Computersystem ist. Für den Ein-
satz auf einem Einzelplatz-Rechner mit weniger riskanten Daten, in ei-
ner Umgebung, in der ein geringer Software-Austausch stattfindet, er-
scheint ein tägliches Scannen ausreichend.
Für gewerbliche Nutzer, in einem Netzwerk, wo Disketten häufig getauscht
werden, wo Datenträger höchst "verwundbare" Informationen tragen, wo
ein Netzwerkabsturz hohe finanzielle Verluste bedeutet, muß der Schutz
so engmaschig wie nur irgend möglich sein.
In Anbetracht dessen kann eine einfache Anleitung, wie die - höchst
flexiblen - TBAV-Utilities eingesetzt werden sollen, nicht gegeben
werden. Alles hängt von Ihren Ansprüchen und Möglichkeiten ab.
Deshalb raten wir Ihnen, dieses Handbuch gründlich zu studieren, damit
Sie in die Lage versetzt werden, Ihre eigenen Sicherheitsmaßnahmen zu
treffen. Um Viren davon abzuhalten, irgendeinen Schaden anzurichten,
sollten Sie zumindest die im folgenden aufgeführten Maßnahmen durch-
führen.
1.2. Grundsätzliche Vorkehrungen
1. Installieren Sie TBAV auf Ihrer Festplatte
Sie können die Installation verfeinern, damit Sie Ihre eigenen Erfor-
dernissen entspricht. Vergewissern Sie sich, daß Sie TbSetup ausgeführt
haben, damit Wiederherstellungs-Informationen für alle ausführbaren Da-
teien Ihres Systems existieren. Bitte ziehen Sie das Installationskapi-
tel (I) dieses Handbuches zu Rate.
In den folgenden Beispielen wird davon ausgegangen, daß alle Utilities
in ein Verzeichnis mit dem Namen TBAV kopiert wurden. In allen Bei-
spiel-Einstellungen wird vorausgesetzt, daß TbSetup ausgeführt wurde.
Sollte Ihr Computer mit mehreren Festplatten oder Partitionen ausge-
stattet sein, müssen Sie den Aufruf von TbSetup für jedes Laufwerk
bzw. jede Partition wiederholen.
In den Beispielen wird außerdem angenommen, daß Sie eine Rettungsdis-
kette angelegt haben.
II - 1
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
Die im folgenden dargestellten Installationsbeispiele sollen Ihnen ledig-
lich als Anhalt für die Verwendung der TBAV-Utilities dienen. Diese Bei-
spiele stellen keine vollständig optimierte Virenschutzvorrichtung dar.
2. Erstellen einer Rettungsdiskette
Eine Rettungsdiskette ist nötig, um irgendwelche Viren in der Zukunft
beseitigen zu können. Ohne eine solche Rettungsdiskette werden Sie einen
Virus niemals entfernen können. Nehmen Sie sich ein paar Minuten Zeit,
um sich diese Diskette jetzt anzulegen!
Verwenden Sie eine neue, leere Diskette und legen Sie sie in Laufwerk a:
ein. Wechseln Sie in Ihr DOS-Verzeichnis und führen Sie folgende Befehle
aus:
Format A:\ /S
Copy SYS.COM A:
Wechseln Sie nun in das TBAV-Verzeichnis:
CD \TBAV
Rufen Sie die Batchdatei MakeResc auf:
MakeResc A:
Die Batch-Datei MakeResc.Bat erstellt eine zuverlässige Rettungsdis-
kette indem Sie folgende Dateien anlegt oder kopiert.
- Ein Backup des Bootsektors, der Partitionstabelle und der CMOS-
konfiguration.
- Eine Config.Sys-Datei mit folgendem Inhalt:
Files=20
Buffers=20
Device=TbDriver.Exe
Device=TbCheck.Exe FullCRC
- Eine Autoexec.Bat-Datei mit folgendem Inhalt:
@echo off
echo off
PATH=A:\
TBAV
Cls
Echo Warnung!!!
Echo Wenn Sie einen Virus vermuten, führen Sie NICHTS
Echo von der Festplatte aus!
II - 2
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
- Die folgenden Dateien:
TBAV.EXE
TBAV.LNG
TBSCAN.EXE
TBSCAN.LNG
TBSCAN.SIG
TBDRIVER.EXE
TBDRIVER.LNG
TBCHECK.EXE
TBCLEAN.EX
TBUTIL.EXE
TBUTIL.LNG
Kopieren Sie nun alle Programme, die Sie im Notfall verwenden möchten,
auf diese Diskette. Einen kleiner Editor - um die Config.Sys und/oder
die AutoExec.Bat verändern zu können - ist sehr zu empfehlen.
Sollte Ihre Festplatte besondere Gerätetreiber für den Zugriff benötigen
(beispielsweise bei Verwendung von Festplattenkomprimierern) kopieren Sie
diese ebenfalls auf die Rettungsdiskette und tragen Sie sie in die
Config.Sys-Datei des Laufwerks a: ein. Weitergehende Hinweise können Sie
den entsprechenden Handbüchern entnehmen.
Die Diskette ist so gut wie angelegt. MACHEN SIE DIE DISKETTE SCHREIB-
GESCHÜTZT, indem Sie einen Schreibschutzaufkleber anbringen oder den
Schreibschutzschieber benutzen. Versehen Sie die Diskette mit der Auf-
schrift "Rettungsdiskette". Bewahren Sie die Diskette an einem sicheren
Ort auf. Benutzen Sie sie nicht, bis Sie sie benötigen!
3. Vermeidung illegaler Software
Viele Firmen wollen verhindern, daß ihre Angestellten unerlaubt Software
installieren oder einsetzen. Oder vielleicht wollen Sie Familienmit-
glieder davon abhalten, Ihren Computer mit allen möglichen Spiele voll-
zuladen. TBAV stellt eine Art "Wachhund"-Option zur Verfügung, die Ihnen
hilft, dies zu durchzusetzen.
Fügen Sie der Datei Config.Sys die folgenden Zeilen hinzu:
Device=C:\TBAV\TbDriver.Exe
Device=C:\TBAV\TbCheck.Exe secure
Wenn Sie die TBAV-Utilities unter Verwendung des TBAV-Installationspro-
gramms installiert, können Sie - anstatt die Datei CONFIG.SYS zu edi-
tieren - die TBSTART.BAT-Datei anpassen, indem Sie die 'secure'-Option
an den Aufruf von TbCheck anfügen.
C:\TBAV\TbDriver
C:\TBAV\TbCheck secure
Führen Sie TbSetup auf Ihrem System aus:
TbSetup C:\
II - 3
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
Starten Sie Ihren Computer erneut durch Drücken der Tastenkombination
<Strg>-<Alt>-<Entf> (<Ctrl>-<Alt>-<Del>). Von jetzt an wird es TbCheck
jeden Anwender unmöglich machen, irgendein Programm zu starten, das
nicht bereits beim Aufruf von TbSetup zugelassen wurde. Wann immer je-
mand ein unbekanntes Programm aufruft, wird TBAV folgende Meldung am
Bildschirm anzeigen:
+---- Unterbrechung durch TBAV --------+
| WARNUNG! |
| Das aufegrufene Programm (GAME.EXE) |
| ist nicht zugelassen und kann nicht |
| ausgeführt werden. |
| Ausführung verhindert! Taste drücken.|
+--------------------------------------+
4. Schutz vor dem Personal
Die meisten TBAV-Utilities sind interaktiv, erfordern eine Kommunikation
mit dem Anwender. In manchen Firmen erscheint es sinnvoll, daß der Sy-
stembetreuer als einziger mit TBAV kommuniziert, wenn etwas wichtiges
passiert. Alle TBAV-Utilities unterstützen die Option 'secure'. Wird
diese Option benutzt, wird der Anwender nicht mehr nach seiner Erlaub-
nis gefragt, ob gefährliche Operationen durchgeführt werden dürfen: TBAV
lehnt generell die Durchführung aller gefährlichen oder verdächtigen
Operationen ab.
5. Benutzen Sie zum Booten niemals 'fremde ' Disketten
Booten Sie nur von Ihrer Festplatte oder Original-DOS-Diskette aus.
Benutzen Sie für den Bootvorgang NIEMALS eine Diskette von jemand
anderem! Nehmen Sie Disketten aus dem Laufwerk a:, bevor Sie Ihren
Computer anschalten oder mit einem Reset erneut booten, sofern Sie
eine Festplatte benutzen.
6. Benutzen Sie öfters ChkDsk
Benutzen Sie regelmäßig das DOS-Programm ChkDsk (ohne die Option /F).
Auch mit ChkDsk können Sie Viren entdecken, da einige von ihnen die
Diskettenstruktur auf unzulässige Weise verändern und dadurch Disketten-
fehler hervorrufen. Achten Sie auf Veränderungen im Verhalten Ihrer
Software oder Ihres Computers. Jede Veränderung im Verhalten ist ver-
dächtig, solange Sie den Grund dafür nicht kennen. Höchst verdächtige
Anzeichen für Viren sind:
- Der verfügbare Speicherplatz hat sich verringert.
- Die Programme benötigen mehr Zeit, um ausgeführt zu werden.
II - 4
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
- Die Programme arbeiten nicht wie gewohnt, oder verursachen nach
einiger Zeit Abstürze oder das Neustarten des Computers.
- Daten verschwinden oder werden beschädigt.
- Die Größe eines oder mehrerer Programme hat zugenommen.
- Die Bildschirmanzeige verhält sich seltsam oder es werden unerwartete
Informationen angezeigt.
- ChkDsk entdeckt viele Fehler.
II - 5
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
2. Was bei einem Virenbefall zu tun ist
2.1. Aufspüren von Viren
Das erste was Sie tun sollten, wenn Sie annehmen, Ihr System wäre von
einem Virus befallen ist, sofort ein Backup aller wichtigen Dateien
anzufertigen. Verwenden Sie nur neue Backup-Medien, und überschreiben
Sie nie ein bereits existierendes Backup. Sie könnten dieses alte Back-
up u.U. brauchen, um infizierte oder verlorengegangene Dateien zu er-
setzen. Beschriften Sie das neue Backup mit "infiziert und unzuver-
lässig".
Wenn Sie annehmen, Ihr System wäre von einem Virus befallen, ist es
absolut wichtig, daß Sie nur von einer virenfreien, schreibgeschützten
Rettungsdiskette aus booten.
Kennen der Symptome
Als nächstes starten Sie TbScan, um herauszufinden, was nicht in Ord-
nung ist, oder booten Sie von einer Rettungsdiskette und vergleichen Sie
die Systemdateien darauf mit jenen auf der Festplatte, um eventuelle
Veränderungen zu erkennen. Während dieses Tests sollten Sie darauf
achten, daß Sie auf Ihrer Systemdiskette bleiben, d.h. nur Dateien aus-
führen, die sich auf dieser befinden.
TbScan meldet den Namen des Virus, sofern er bekannt ist. Ist er unbe-
kannt, werden die Dateiveränderungen angezeigt.
TbScan C:\ logname=lpt1
Starten Sie TbUtil, um den Bootsektor, den Partitions-Code und die CMOS-
Einstellungen durch Vergleich zu überprüfen.
TbUtil compare
Starten Sie KEINESFALLS ein Programm von Ihrer Festplatte! Solange Sie
Ihr System von Viren reinigen wollen, muß dem Virus der Zugriff auf
Ihren Speicher verhindert werden. Sollten Sie versehentlich versuchen,
ein infiziertes oder unerlaubtes Programm von Ihrer Festplatte aufzu-
rufen, wird TbCheck Sie warnen.
Bitte denken Sie daran, daß Dateiviren soviel Programme als möglich
binnen kurzer Zeit infizieren wollen. Daher ist es äußerst unwahr-
scheinlich, daß Sie auf einer Festplatte, mit der regelmäßig gearbeitet
wird, nur wenige infizierte Programme finden. Meldet Ihnen TbScan, daß
nur 1% der Dateien auf der Festplatte von Viren befallen ist, handelt es
sich wahrscheinlich um einen falschen Alarm.
Sollte der Dateien-Vergleich zeigen, daß alle Dateien unverändert sind,
wissen Sie zumindest, daß Sie es nicht mit einem Dateivirus zu tun haben.
Haben Sie einen Virus gefunden, benutzen Sie diese Kopie von TbScan
II - 6
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
NICHT NOCHMALS, um andere Rechner zu durchsuchen, es sei denn, Sie hat-
ten das Programm bereits auf eine schreibgeschützte Diskette kopiert,
bevor Ihr Rechner von Viren befallen wurde. Obwohl TbScan bereits wäh-
rend des Aufrufs einen Virenselbsttest durchführt, gibt es Viren, die in
der Lage sind, eine Selbstkontrolle zu unterlaufen. Daher können selbst
in TbScan Viren verborgen sein, ohne daß das Programm sie bemerkt. Die
Unfähigkeit, Stealthviren (Tarnkappenviren) zu entdecken, ist ALLEN Pro-
grammen gemein, die eine Selbstkontrolle durchführen. Deshalb raten wir
Ihnen, eine virenfreie Version von TbScan auf einer schreibgeschützten
Diskette aufzubewahren. Sollten Sie einen Virus auf Ihrem Rechner ent-
deckt haben, sollten Sie andere Computer nur mit Hilfe dieser Diskette
prüfen.
Identifizierung der Charakteristika
Identifizieren Sie den Virus. Sobald Sie wissen, um welchen Virus es
sich handelt, wissen Sie, welchen Schaden er anrichtet, und ob die
Daten-Dateien betroffen sind oder nicht.
Zur Identifizierung des Virus können Sie einen Scanner verwenden. Sobald
Sie seinen Namen ermittelt haben, sollten Sie sich Zusatzinformationen
beschaffen. Melden Sie sich in unserer Support-Mailbox, schlagen Sie in
entsprechender Literatur nach oder bitten Sie einen Virenexperten um
Rat. Solange der Virus nur ausführbare Dateien befallen hat, brauchen
Sie auch nur die ausführbaren Dateien zu ersetzen. Sollte der Virus aber
jedesmal einige Bytes zufälliger Stellen Ihrer Festplatte vertauschen,
wenn Sie ein Programm starten, müssen Sie auch Ihre Daten-Dateien er-
setzen, selbst dann, wenn Sie in den Daten-Dateien keine Veränderungen
feststellen können.
Verfallen Sie nicht in Panik! Panik hilft Ihnen nicht, da Sie in Ruhe
vorgehen müssen, um die Situation zu meistern. In der Vergangenheit
wurde bei Vireninfektionen meist größerer Schaden durch die Anwender als
durch die Viren selbst verursacht. Identifizieren Sie nur den Virus und
beschaffen Sie sich Informationen über ihn. Das schlimmste, was Sie
jetzt tun könnten, wäre die sofortige Neuformatierung Ihrer Fest-
platte(n).
Sobald Sie wissen, was der entdeckte Virus bewirkt, können Sie eine
Strategie zu seiner Beseitigung entwickeln.
2.2. Beseitigung von Viren
Für die Beseitigung eines Virus ist es unerläßlich, von einer nicht in-
fizierten, schreibgeschützten DOS-Diskette aus neu zu starten. Starten
Sie AUF KEINEN FALL ein Programm, das sich auf Ihrer Festplatte befindet!
Während der Virenbeseitigung muß dem Virus der Zugriff auf den Speicher
unbedingt verweigert werden.
Ersetzen Sie die DOS-Systemdateien und den Master-Bootsektor mit Hilfe
des DOS-Befehls SYS von der Systemdiskette. Sollte der Bootsektor oder
Partitionscode einen Virus enthalten, können Sie diesen mittels TbUtil
wieder loswerden indem Sie den virenfreien Sektor wiederherstellen:
TbUtil restore
II - 7
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL II
Viele moderne Festplatten, insbesondere IDE- oder AT-Bus-Platten werden
durch besondere Verfahren vom Hersteller Low-Level-formatiert und brau-
chen vom Anwender nur noch partitioniert und mit dem DOS-Befehl forma-
tiert zu werden. Versuchen Sie nicht, eine solche Festplatte selbst
einer Low-Level-Formatierung zu unterziehen. Es ist in jedem Fall bes-
ser, mit einem Utility wie TbUtil ein Backup der Partitionstabelle anzu-
fertigen und diese mit TbUtil auch wiederherzustellen - ohne Neufor-
matierung.
Handelt es sich um einen Dateivirus, müssen alle infizierten Dateien
entfernt werden (unter Verwendung von TbDel) und die ausführbaren Da-
teien von einer virenfreien Quelle kopiert oder reinstalliert werden.
Ein Utility wie TbClean, das Viren beseitigt, kann den Original-Pro-
grammcode nicht immer hundertprozentig wiederherstellen und sollte des-
halb nur als letzter Rettungsanker verwendet werden, wenn Sie z.B. kein
zuverlässiges Backup haben. Es könnte erforderlich sein, auch Datenda-
teien zu ersetzen, sofern der Virus in der Lage war, auch in diesen Be-
reichen Schaden anzurichten.
Nachdem Sie sich versichert haben, daß Ihr System wieder absolut viren-
frei ist, sollten Sie daran gehen, sorgfältig alle Disketten, Backups
usw. überprüfen, um sämtliche Spuren des Virus zu beseitigen. Eine ein-
zige infizierte Diskette kann Ihnen immer wieder denselben Ärger be-
scheren.
II - 8
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
KAPITEL III. VERWENDUNG DER TBAV-UTILITIES
1. TbScan
1.1. Der Zweck von TbScan
TbScan ist ein Virenscanner, der speziell für das Entdecken von Viren,
Trojanischen Pferden und anderen derartigen Angriffen auf Ihre wert-
vollen Daten entwickelt wurde.
Mit einem Virenscanner können Sie vorgegebene Virensignaturen aufspüren.
Die meisten Viren enthalten eine eindeutige charakteristische Abfolge
von Befehlen und damit Zeichen, die als Signatur bezeichnet werden. Die
Suche nach solchen Signaturen in den Dateien ermöglicht daher eine Ent-
scheidung, ob Ihr Programm infiziert ist oder nicht.
Indem Sie sämtliche Programmdateien auf die Signaturen aller bislang be-
kannten Viren prüfen, finden Sie schnell heraus, ob Ihr System infiziert
ist, und wenn ja, von welchem Virus.
Schnelles Scannen
TbScan ist einer der schnellsten (im Moment der absolut schnellste)
Virenscanner, die erhältlich sind. Dies lädt die Anwender geradezu ein,
den Scanner jeden Morgen von der AUTOEXEC.BAT-Datei aus zu starten.
TbScan wurde so entwickelt, daß die Geschwindigkeit auch bei größer-
werdender Zahl von zu vergleichenden Virensignaturen nicht abnimmt. Es
macht daher keinen Unterschied, ob Sie Ihre Programme auf 10 oder 1000
Signaturen prüfen lassen.
Wird TbScan gestartet, überprüft sich das Programm selbst. Sollte es
dabei entdecken, daß es von Viren befallen ist, so wird das Programm an
dieser Stelle mit einem Fehler abbrechen. Dieses Vorgehen verringert das
Risiko, daß TbScan selbst einen Virus überträgt und das System infiziert.
Heuristisches Scannen
TbScan erkennt sogar ihm unbekannte Viren, da der eingebaute Dis-
assembler verdächtige Instruktionssequenzen und einen ungewöhlichen
Programmaufbau aufspüren kann. Dieser Vorgang wird 'heuristisches
Scannen' genannt und wird für die meisten Dateien standardmäßig ein-
gesetzt. Die heuristische Suche wird in Dateien und Bootsektoren aus-
geführt, wodurch es TbScan möglich ist, dort neue und bisher unbe-
kannte Viren zu entdecken.
=> Beachten Sie: Ein Virenscanner verrät Ihnen lediglich, ob Ihr System
von einem Virus befallen wurde, und wenn ja, ob bereits Schaden ent-
standen ist. Zu diesem Zeitpunkt können nur noch nicht-infizierte
Sicherheitskopien oder ein Wiederherstellungsprogramm wie TbClean die
Vireninfektion vollständig ungeschehen machen.
Scan Scheduling
Einen Virenscanner sollte jede/r PC-Benutzer/in regelmäßig einsetzen.
Es ist das Mindeste, was Sie tun können, um Schäden durch Viren zu ver-
meiden. In diesem Zusammenhang ist es sehr ratsam, eine spezielle
TbScan-Bootdiskette zu erstellen.
III - 1
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Folgende Verhaltensregeln sollten Sie beachten (gedacht als Vorrang-
liste):
Führen Sie TbScan einmal wöchentlich von einer schreibgeschützten,
bootfähigen Diskette aus. Booten Sie von dieser Diskette bevor Sie
den Scanner aufrufen. Das Booten von einer Diskette ist der einzige
Weg um sicherzustellen, daß noch kein Stealth-Virus speicherresident
geworden ist.
Führen Sie einmal täglich einen Scan-Vorgang durch. Sie können TbScan
mit der Option 'once' aus der AUTOEXEC.BAT-Datei heraus aufrufen, um den
täglichen Scandurchlauf automatisch ausführen zu lassen. Für diese täg-
liche Routine ist es nicht nötig, von der bootfähigen TbScan-Diskette
aus zu booten.
Scannen Sie neue Disketten.
1.2. Benutzung von TbScan
Für den Alltagsgebrauch können Sie TbScan von der DOS-Befehlszeile aus
aufrufen (z.B. in der Autoexc.Bat) oder über das TBAV-Menü. Für den wö-
chentlichen Gebrauch, wenn Sie von der TbScan-Diskette scannen, können
Sie den DOS-Aufruf verwenden. Die entsprechenden Startoptionen, die
Ihnen hierbei zur Verfügung stehen, sind in Abschnitt 1.3 diese Kapitels
aufgeführt.
Das 'TbScan'-Menü
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start scanning |
| TbSca| Files/Paths to scan |
| TbUti| Options menu |
| TbCLe| Advanced options |
| TBAV | If virus found |
| Docum| Path configuration |
| Quit | Log file menu |
| eXit | View log file |
+-------+-----------------------+
Files/path to scan
Laufwerk und Pfad geben TbScan an, wo es den Scan-Vorgang durchführen
soll. Um die Laufwerke C: und D: zu scannen, geben Sie ein:
C:\ D:\
Geben Sie keinen Dateinamen, sondern ein Laufwerk und/oder einen Pfad
an, so wird der genannte Pfad als übergeordneter Pfad behandelt. Alle
Unterverzeichnisse dieses Pfads werden ebenfalls gescannt. Wurde dage-
gen ein Dateiname angegeben, wird nur im angegebenen Pfad gesucht. Un-
terverzeichnisse werden nicht gescannt.
III - 2
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Platzhalter in Dateinamen sind zulässig. Sie können sogar '*.*' angeben,
wodurch alle Dateien gescannt würden.
View log file
Wurde eine der 'log file'-Optionen aktiviert (siehe unten), können Sie
mit dieser Option die Protokolldatei (=Logfile) ansehen.
Das 'TbScan options'-Menü
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start+-----TbScan options------+
| TbSca| Files| Use TBAV.INI file |
| TbUti| Optio| Prompt for pause |
| TbCLe| Advan| Quick scan |
| TBAV | If vi| Non-executable scan |
| Docum| Log f| Maximum Compatibility |
| Quit | View |v Bootsector scan |
| eXit +-------|v Memory scan |
+---------------| HMA scan forced |
|v Upper memory scan |
|v Sub-Directory scan |
| Repeat scanning |
|v Abort on Ctrl-Break |
+-------------------------+
Use TBAV.INI file
Wenn Sie diese Option auswählen, ist die Konfiguration von TbSetup, so
wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des
Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da
die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS-
Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2
('Konfiguration').
Prompt for pause
Wenn Sie die Option 'pause' aufrufen, wird TbScan innehalten, nachdem der
Inhalt eines Fensters überprüft wurde. Dadurch erhalten Sie Gelegenheit,
die Ergebnisse zu überprüfen, ohne die Protokolldatei anschauen zu müssen.
Quick scan
TbScan sucht anhand der Anti-Vir.Dat-Dateien nach Dateien, die sich
seit dem letzten Scandurchlauf verändert haben. Nur Dateien, die sich
verändert haben (CRC-Veränderung) oder die noch nicht in die Anti-
Vir.Dat-Datei aufgenommen sind, werden gescannt.
III - 3
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Non-executable scan
Diese Option veranlaßt TbScan auch zum Scannen der nicht-ausführbaren
Dateien (Dateien ohne Erweiterung wie COM, EXE, SYS oder BIN). Sollte
TbScan dabei herausfinden, daß eine solche Datei keine vom Prozessor
ausführbaren Anweisungen enthält, wird sie übersprungen. Andernfalls
wird sie auf COM-, EXE- und SYS-Signaturen geprüft. Jedoch wird TbScan
diese Dateien keiner heuristischen Analyse unterziehen. Da Viren keine
nicht-ausführbaren Dateien befallen, ist es nicht nötig, diese zu
scannen. Wir empfehlen Ihnen daher, diese Option nicht anzuwenden, so-
lange Sie keinen besonderen Grund haben, alle Dateien zu scannen.
Nochmals: ein Virus muß ausgeführt werden, um das anzurichten, für
das er hergestellt wurde. Da nicht-ausführbare Dateien nicht ausgeführt
werden, kann ein Virus in einer solchen Datei auch keinen Schaden an-
richten. Aus diesem Grund versuchen Viren nicht einmal, diese Dateien
zu infizieren.
Maximum compatibility
Wenn Sie diese Option aufrufen, versucht TbScan System-kompatibler zu
arbeiten. Wenden Sie diese Option nur dann an, wenn das Programm nicht
wie erwartet arbeitet oder sogar den Computer zum Stillstand bringt. Da
diese Option die Scangeschwindigkeit vermindert, sollte Sie auch nur in
solchen Fällen verwendet werden.
=> Beachten Sie, daß diese Option an den Scan-Ergebnissen nichts ändert.
Bootsector scan
Ist diese Option aktiviert, scannt TbScan den Bootsektor ebenfalls.
Memory scan
Ist diese Option aktiviert, scannt TbScan auch den Speicher des PCs.
HMA scan forced
TbScan erkennt das Vorhandensein eines XMS-Treibers und überprüft auto-
matisch die HMA (den oberen Speicherbereich). Sollten Sie mit einem HMA-
Treiber arbeiten, der nicht mit dem XMS-Standard kompatibel ist, können
Sie mit dieser Option TbScan veranlassen, die HMA auf jeden Fall zu
überprüfen.
Upper memory scan
TbScan erkennt und prüft den RAM-Speicher auch jenseits der DOS-Grenzen.
Das bedeutet, daß der Bildschirmspeicher und die aktuellen EMS-Seiten
III - 4
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
überprüft werden. Mit dieser Option aktivieren Sie die Überprüfung des
Nicht-DOS-Speichers.
Subdirectory scan
TbScan sucht normalerweise auch in den Unterverzeichnissen nach ausführ-
baren Dateien, außer es wird ein Dateiname (Platzhalter sind gestattet)
angegeben. Mit dieser Option können Sie das Durchsuchen der Unterver-
zeichnisse verhindern.
Repeat scanning
Diese Option ist sehr nützlich, wenn Sie eine große Anzahl von Disketten
scannen wollen. Nachdem eine Diskette überprüft worden ist, kehrt TbScan
nicht einfach auf die DOS-Ebene zurück, sondern fordert Sie einfach auf,
eine neue Diskette in das Laufwerk einzulegen.
Das 'TbScan advanced options'-Menü
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start+----TbScan advanced options----+
| TbSca| Files| Full heuristic scan |
| TbUti| Optio| Extract signatures |
| TbCLe| Advan|v Auto heuristic level adjust |
| TBAV | If vi+-------------------------------+
| Docum| Path configuration >|
| Quit | Log file menu >|
| eXit | View log file |
+-------+-----------------------+
Full heuristic scan
TbScan unterzieht die zu überprüfenden Dateien immer einer heuristischen
Analyse. Allerdings meldet TbScan erst dann eine Infektion, wenn die
Datei sehr wahrscheinlich infiziert ist. Wenn Sie diese Option verwen-
den, wird TbScan sozusagen 'sensibler'. Ohne daß für sie eine Signatur
existiert, werden mit diesem Modus 90% aller neuen, unbekannten Viren
entdeckt. Allerdings können auch einige Fehlalarme auftreten. Lesen
Sie dazu das Kapitel 3.1. 'Die heuristische Suche'.
Extract signatures
Diese Option steht nur registrierten Anwendern zu Verfügung. Schlagen
Sie im Kapitel IV-5 nach, um zu erfahren, wie Sie die Option 'extract'
anwenden können.
III - 5
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Auto heuristic level adjust
TbScan wechselt automatisch zur heuristischen Analysestufe nachdem ein
Virus gefunden wurde. Dies bedeutet maximale Such-Fähigkeiten wenn sie
gebraucht werden, bei gleichzeitiger Verringerung der Fehlalarme, die
in der 'Natur' der heursitischen Analyse begründet sind. Mit anderen
Worten: Sobald ein Virus gefunden wurde, verhält sich TbScan so, als ob
die Option 'heuristic' spezifiziert wurde.
Das 'If virus found'-Menü
In diesem Menü können Sie einstellen, wie sich TbScan verhalten soll,
wenn es einen Virus entdeckt.
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start+--What if a virus is found?--+
| TbSca| Files|v Present action menu |
| TbUti| Optio| Just continue (log only) |
| TbCLe| Advan| Delete infected file |
| TBAV | If vi| Rename infected file |
| Docum| Log f+-----------------------------+
| Quit | View log file |
| eXit +-----------------------+
+------------------+
Present action menu
Wenn TbScan einen Virus entdeckt, öffnet sich ein Menü, das Ihnen meh-
rere mögliche Maßnahmen zur Auswahl stellt: Fortfahren, Löschen oder
Umbenennen der infizierten Datei.
Just continue (log only)
Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender
aufgefordert, die infizierte Datei zu löschen oder umzubenennen. Wenn
Sie diese Option wählen, wird TbScan ohne diese Aufforderungen fort-
fahren. In diesem Fall sollte unbedingt eine Protokoll-Datei (LOG-File)
verwendet werden, da ein Scan-Durchlauf, dessen Ergebnisse nicht gelesen
werden, wenig Sinn macht (siehe auch 'Startoptionen')
Delete infected file
Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender
aufgefordert, die infizierte Datei zu löschen oder umzubenennen bzw.
ohne weitere Eingriffe fortzufahren. Haben Sie diese Option angegeben,
III - 6
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
wird TbScan Sie nicht länger fragen, was zu tun ist, sondern die infi-
zierte Datei automatisch löschen. Benutzen Sie diese Option, wenn Sie
sicher sind, daß Ihr Computer infiziert worden ist. Vergewissern Sie
sich, daß Sie eine virenfreie Sicherheitskopie haben, und daß Sie alle
infizierten Dateien auf einmal beseitigen wollen.
Rename infected file
Sobald TbScan einen Dateivirus gefunden hat, wird der Anwender aufge-
fordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne
weitere Eingriffe fortzufahren. Wenn Sie die Option 'rename' angegeben
haben, wird TbScan den Anwender nicht länger fragen, was zu tun ist,
sondern die infizierte Datei selbständig umbenennen. Dabei wird das erste
Zeichen der Dateinamenserweiterung normalerweise durch den Buchstaben 'V'
ersetzt. Eine .EXE-Datei wird also in .VXE und eine .COM-Datei in .VOM
umbenannt. Durch diese Umbenennung verhindern Sie, daß die infizierten
Dateien ausgeführt werden können und damit die Infektion weiter um sich
greifen kann. Gleichzeitig können die infizierten Dateien für eine
spätere Überprüfung und Wiederherstellung aufbewahrt werden.
Das 'TbScan LOG'-Menü
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start+-------TbScan LOG menu-------+
| TbSca| Files| Output to log file |
| TbUti| Optio| Log file path/name |
| TbCLe| Advan| Specify log-level >|
| TBAV | If vi| Append to existing log |
| Docum| Log f| No heuristic descriptions |
| Quit | View +-----------------------------+
| eXit +-----------------------+
+------------------+
Output to logfile
Mit dieser Option veranlassen Sie TbScan, eine Protokolldatei anzulegen.
In dieser Protokolldatei werden alle infizierten Programmdateien aufge-
führt, die Ergebnisse der heuristischen Suche (siehe Anhang B) sowie die
vollen Pfadnamen.
Log file path/name
Mit dieser Option können Sie den Namen der Protokolldatei angeben,
die angelegt oder erweitert werden soll. Der vorgegebene Dateiname
lautet TBSCAN.LOG und wird im aktuellen Verzeichnis erstellt. Um die
Ergebnisse auszudrucken, können Sie anstelle eines Dateinamens einen
Druckeranschluß angeben (logname=lpt1).
=> Beachten Sie: die Option ist mit der Option 'log' zu benutzen.
III - 7
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Append to existing log
Durch diese Option überschreibt TbScan eine bestehende Protokolldatei
nicht, sondern fügt die neuen Informationen an sie an. Sollten Sie mit
dieser Option häufig arbeiten, dann empfehlen wir Ihnen, die Protokoll-
datei hin und wieder zu löschen oder sie zu verkürzen, um deren unkon-
trolliertes Anwachsen zu verhindern.
=> Beachten Sie: die Option ist mit der Option 'log' zu benutzen.
No heuristic descriptions
Wenn Sie diese Option benutzen, wird TbScan die ausführliche Beschrei-
bung der heuristischen Meldungen in der Protokolldatei nicht mehr an-
zeigen. Die Beschreibung der heuristischen Flags finden Sie in ANHANG B.
Das 'LOG level'-Menü
+----Main menu-----+
| Confi+------TbScan menu------+
| TbSet| Start+-------TbScan LOG menu-------+
| TbSca| Files| Log f+--------Log-level menu--------+
| TbUti| Optio| Outpu| 0: Log only infected files |
| TbCLe| Advan| Speci|v 1: Log summary too |
| TBAV | If vi| Appen| 2: Log suspected too |
| Docum| Log f| No he| 3: Log all warnings too |
| Quit | View +-------| 4: Log clean files too |
| eXit +---------------+------------------------------+
+------------------+
Loglevel
Mit diesen Levels legen Sie fest, welche Dateien in die Protokollda-
tei aufgenommen werden sollen. Vorgegeben ist Protokoll-Level 1. Sie
können zwischen fünf Protokoll-Levels wählen:
0 Nur infizierte Dateien werden protokolliert. Falls keine infi-
zierten Dateien gefunden werden, soll die Protokolldatei weder
angelegt noch die bestehende verändert werden.
1 In die Protokolldatei wird eine Zusammenfassung und eine Zeitanga-
be geschrieben. Nur infizierte Dateien sollen protokolliert werden.
2 Das gleiche wie unter 1, zusätzlich werden auch 'verdächtige' Da-
teien aufgenommen. Verdächtig sind Dateien, die den heuristischen
Alarm auslösen, wenn die Option 'heuristic' benutzt worden ist.
3 Das gleiche wie unter 2, aber alle Dateien, die mit einer Warnmel-
dung angezeigt werden, werden auch aufgeführt.
4 Alle Dateien, die überprüft wurden, werden in der Protokolldatei
aufgenommen.
III - 8
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
1.3. Startoptionen
Wenn Sie TbScan von der DOS-Befehlszeile aus aufrufen, können Sie
Optionen angeben. Diese können ausgeschrieben oder abgekürzt angegeben
werden. Ausgeschrieben sind die Optionen leichter zu merken, weshalb
sie in diesem Handbuch so verwendet werden. TbScan sucht in seinem
Verzeichnis nach einer Datei namens TBAV.INI.
Wurde im [TbScan]-Abschnitt der TBAV.INI-Datei das Schlüsselwort
'UseIni' spezifiziert, sind diese Optionen auch wirksam, wenn Sie
TbScan von der Befehlszeile aus aufrufen. Geben Sie also acht, da
die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf
DOS-Ebene nicht außer Kraft gesetzt werden können.
Option Parameter Abk. Erklärung
------ --------- ---- --------------------------------------------
help he = Hilfe
pause pa = das 'Pause'-Prompt wird aktiviert
mono mo = verwendet am Bildschirm Monochrommodus
quick qs = Schnellscan (verwendet Anti-Vir.Dat)
allfiles af = Scannen auch nicht-ausführbarer Dateien
heuristic hr = aktiviert die heuristische Alarmbereitschaft
extract ex = Signaturen erstellen (nur registr. Anwender)
once oo = nur einmal täglich
secure se = Abbruch durch Anwender nicht erlaubt
(nur registrierte Anwender)
compat co = maximaler Kompatibilitäts-Modus
ignofile in = Fehlermeld. 'Keine Dateien gefunden'
unterlassen
noboot nb = Bootsektorprüfung übergehen
nomem nm = Speicherprüfung übergehen
hma hm = HMA-Prüfung erzwingen
nohmem nh = UMB/HMA-Prüfung übergehen
nosub ns = Unterverzeichnisse übergehen
noautohr na = keine Anpassung d. heuristischen
Empfindlichk.
repeat rp = mehrere Disketten überprüfen
batch ba = Batch-Modus (keine Anwendereingabe nötig)
delete de = infizierte Dateien werden gelöscht
log lo = Ausgabe in Protokolldatei
append ap = Ausgabe an Protokolldatei anhängen
expertlog el = keine heuristischen Beschreibungen in
Protokolldatei aufnehmen
logname =<Dateiname> ln = Pfad/Name der Protokolldatei
loglevel =<0..4> ll = Protokoll-Level festlegen
rename [=<ext-mask>] rn = infizierte Dateien umbenennen
help (he)
Wenn Sie dies Option aufrufen, wird TbScan die oben aufgeführte Liste der
Startoptionen anzeigen.
III - 9
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Pause (pa)
Wenn Sie die Option 'pause' aufrufen, wird TbScan innehalten, nachdem
der Inhalt eines Fensters überprüft wurde. Dadurch können Sie die Ergeb-
nisse zu überprüfen, ohne die Protokolldatei anschauen zu müssen.
mono (mo)
Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm
unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb-
emulierenden Schwarzweiß-Systemen verbessert werden.
quick (qs)
Wenn Sie diese Option verwenden, wird TbScan mittels der Anti-Vir.Dat-
Dateien nach Dateien suchen, die sich seit dem letzten Scandurchlauf ver-
ändert haben. Dateien, die sich verändert haben (CRC-Veränderung) oder
noch nicht in die Anti-Vir.Dat-Datei aufgenommen sind, werden gescannt.
allfiles (af)
Diese Option veranlaßt TbScan auch zum Scannen der nicht-ausführbaren
Dateien (Dateien ohne Erweiterung wie COM, EXE, SYS oder BIN). Sollte
TbScan dabei herausfinden, daß eine solche Datei keine vom Prozessor aus-
führbaren Anweisungen enthält, wird sie übersprungen. Andernfalls wird
sie auf COM-, EXE- und SYS-Signaturen geprüft. Jedoch wird TbScan diese
Dateien keiner heuristischen Analyse unterziehen.
Da Viren keine nicht-ausführbaren Dateien befallen, ist es nicht nötig,
diese zu scannen. Wir empfehlen Ihnen daher, diese Option nicht anzuwen-
den, solange Sie keinen besonderen Grund haben, wirklich alle Dateien zu
scannen. Nochmals: ein Virus muß ausgeführt werden, um das anzurichten,
für das er hergestellt wurde. Da nicht-ausführbare Dateien nicht ausge-
führt werden, kann ein Virus in einer solchen Datei auch keinen Schaden
anrichten. Aus diesem Grund versuchen Viren nicht einmal, diese Dateien
zu infizieren.
heuristic (hr)
Die zu überprüfenden Dateien werden von TbScan immer einer heuristischen
Prüfung unterzogen. Allerdings meldet TbScan erst dann eine Infektion,
wenn die Datei sehr wahrscheinlich infiziert ist. Wenn Sie die Option
'heuristic' verwenden, wird TbScan sozusagen 'sensibler'. Ohne daß für
sie eine Signatur existiert, werden mit diesem Modus 90% aller neuen,
unbekannten Viren entdeckt. Allerdings können auch einige Fehlalarme
auftreten. Lesen Sie dazu Abschnitt 3.1. 'Die heuristische Suche' in
diesem Kapitel.
extract (ex)
Diese Option steht nur registrierten Anwendern zu Verfügung. Schlagen
Sie in Kapitel 'TbGensig' (IV-5) nach, um zu erfahren, wie Sie die Op-
tion 'extract' anwenden können.
once (oo)
Wenn Sie diese Option aufgerufen haben, 'merkt sich' TbScan nach dem
Scanvorgang, daß es an diesem Tag bereits aufgerufen wurde, und daß es am
selben Tag mit dieser Option nicht nochmals gestartet werden darf. Diese
III - 10
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Option ist äußerst nützlich, wenn Sie sie in Verbindung mit einer Listen-
datei in Ihre AUTOEXEC.BAT integrieren:
TbScan @Täglich.Lst once rename
Nun wird TbScan alle Dateien und/oder Pfade, die in der Datei
TÄGLICH.LST aufgeführt sind, während des ersten Bootvorgangs eines
jeden Tages scannen.
Sollte das System an diesem Tag noch öfter gebootet werden, wird
sich TbScan sofort beenden. Die Option 'once' beeinträchtigt die normale
Verwendung von TbScan keineswegs. Wenn Sie TbScan ohne die Option 'once'
aufrufen, so wird das Programm immer arbeiten, und zwar unabhängig davon,
ob Sie TbScan vorher bereits mit der Option 'once' gestartet hatten.
Beachten Sie, daß TbScan 'once' unabhängig davon arbeitet, ob Sie an
diesem Tag bereits einen normalen Scanvorgang durchgeführt haben.
=> Sollte es TbScan nicht möglich sein, in die TBSCAN.EXE-Datei zu schrei-
ben, weil sie mit dem 'read-only'-Attribut versehen wurde oder sie sich
auf einer schreibgeschützten Diskette befindet, so funktioniert die
'once'-Option nicht, und der Scanner wird arbeiten, ohne sie zu beachten.
secure (se)
Diese Option steht nur registrierten Anwendern zur Verfügung. Sobald Sie
diese Option aufgerufen haben, kann TbScan nicht mehr durch Drücken von
Strg-Pause (Ctrl-Break) abgebrochen werden. Es ist auch nicht möglich,
auf die Fragen des Viren-Alarmfensters zu antworten.
compat (co)
Wenn Sie diese Option aufrufen, wird TbScan System-kompatibler arbeiten.
Wenden Sie diese Option nur dann an, wenn das Programm nicht wie erwartet
arbeitet oder sogar den Computer zum Stillstand bringt. Da diese Option
die Scangeschwindigkeit vermindert, sollte Sie auch nur in solchen Fällen
verwendet werden. An den Ergebnissen des Scannens ändert sich durch die
Option 'compat' natürlich nichts.
ignofile (in)
Wurde diese Option verwendet und es kann keine Datei gefunden werden, so
wird TbScan weder mit der Meldung 'keine ausführbaren Dateien gefunden'
reagieren, noch mit dem Errorlevel 1 seine Arbeit beenden. Diese Option
kann bei einer automatischen Inhaltsüberprüfung von Archiven nützlich
sein. Sollte das Archiv keine ausführbaren Dateien enthalten, gibt
TbScan dennoch keinen Errorlevel zurück.
noboot (nb)
Mit dieser Option scannt TbScan den Bootsektor nicht.
nomem (nm)
Wenn Sie diese Option verwenden, wird TbScan den Speicher Ihres Compu-
ters nicht nach Viren durchsuchen.
hma (hm)
TbScan erkennt das Vorhandensein eines XMS-Treibers und überprüft auto-
matisch die HMA (den oberen Speicherbereich). Sollten Sie mit einem
HMA-Treiber arbeiten, der nicht mit dem XMS-Standard kompatibel ist,
III - 11
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
dann können Sie durch die Option 'hma' TbScan veranlassen, die HMA auf
jeden Fall zu überprüfen.
nohmem (nh)
TbScan erkennt und prüft entsprechend seinen Voreinstellungen den RAM-
Speicher jenseits der DOS-Grenzen. Das bedeutet, daß der Bildschirm-
speicher und die aktuellen EMS-Seiten normalerweise überprüft werden. Mit
der Option 'nohmem' wird die voreingestellte Überprüfung des Nicht-DOS-
Speichers abgeschaltet.
nosub (ns)
TbScan sucht normalerweise auch in den Unterverzeichnissen nach aus-
führbaren Dateien, außer es wird ein Dateiname (Platzhalter sind zu-
lässig) angegeben. Mit dieser Option können Sie das Durchsuchen der
Unterverzeichnisse verhindern.
noautohr (na)
TbScan paßt die Empfindlichkeitsstufe der heuristischen Analyse auto-
matisch an, sobald ein Virus gefunden wurde. Dies garantiert Ihnen
maximale Suchleistung, wenn sie nötig ist, aber unter normalen Bedin-
gungen möglichst wenige, durch die heuristische Analyse verursachte,
Fehlalarme. Mit anderen Worten: sobald ein Virus entdeckt wurde, wird
TbScan in der Annahme, daß noch weitere Dateien infiziert worden sind,
so verfahren, als ob die Option 'heuristic' angegeben worden wäre. Wenn
Sie das nicht wollen, müssen Sie die Option 'noautohr' benutzen.
repeat (rp)
Diese Option ist sehr nützlich, wenn Sie eine große Anzahl von Disketten
scannen wollen. Nachdem eine Diskette überprüft worden ist, kehrt TbScan
nicht einfach auf die DOS-Ebene zurück, sondern fordert Sie einfach auf,
eine neue Diskette in das Laufwerk einzulegen.
batch (ba)
Wenn Sie diese Optio aktivieren sucht TbScan, ohne Meldungen am
Bildschirm anzuzeigen. In diesem Fall sollte unbedingt eine
Protokoll-Datei (LOG-File) verwendet werden.
delete (de)
Sobald TbScan einen Virus in einer Datei gefunden hat, wird der Anwender
aufgefordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne
weitere Eingriffe fortzufahren. Wenn Sie die Option 'delete' angegeben
haben, wird TbScan Sie nicht länger fragen, was zu tun ist, sondern die
infizierte Datei automatisch löschen. Benutzen Sie diese Option, wenn Sie
sicher sind, daß Ihr Computer infiziert worden ist. Vergewissern Sie
sich, daß Sie eine virenfreie Sicherheitskopie haben, und daß Sie alle
infizierten Dateien auf einmal beseitigen wollen.
log (lo)
Mit dieser Option veranlassen Sie TbScan, eine Protokolldatei anzulegen.
In dieser Protokolldatei werden alle infizierten Programmdateien aufge-
führt, die Ergebnisse der heuristischen Suche in Großbuchstaben sowie die
vollen Pfadnamen und - je nach 'loglevel' - die vollständige Meldung.
append (ap)
Durch diese Option überschreibt TbScan eine bestehende Protokolldatei
nicht, sondern fügt die neuen Informationen an sie an. Sollten Sie mit
III - 12
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
dieser Option häufig arbeiten, dann empfehlen wir Ihnen, die Protokoll-
datei hin und wieder zu löschen oder sie zu verkürzen, um deren unkon-
trolliertes Anwachsen zu verhindern.
=> Beachten Sie: die Option muß zusammen mit der Option 'log' benutzt
expertlog (el)
Wenn Sie diese Option benutzen, wird TbScan die ausführliche Beschreibung
der heuristischen Meldungen in der Protokolldatei nicht mehr anzeigen.
Die Beschreibung der heuristischen Flags finden Sie in ANHANG B.
logname =<Dateiname> (ln)
Mit der 'log'-Option können Sie den Namen der Protokolldatei angeben,
die angelegt oder erweitert werden soll. Der vorgegebene Dateiname
lautet TBSCAN.LOG und wird im aktuellen Verzeichnis erstellt.
Um die Ergebnisse auszudrucken, können Sie anstelle eines Dateinamens
einen Druckeranschluß angeben (logname=lpt1).
=> Beachten Sie: die Option muß zusammen mit der Option 'log' benutzt werden.
loglevel =0..4 (ll)
Mit der Option 'loglevel' legen Sie fest, welche Dateien in die Proto-
kolldatei aufgenommen werden sollen. Vorgegeben ist Protokoll-Level 1.
Sie können zwischen fünf Protokoll-Levels wählen:
0 Nur infizierte Dateien werden protokolliert. Falls keine infi-
zierten Dateien gefunden werden, soll die Protokolldatei weder
angelegt noch die bestehende verändert werden.
1 In die Protokolldatei wird eine Zusammenfassung und eine Zeitanga-
be geschrieben. Nur infizierte Dateien sollen protokolliert werden.
2 Das gleiche wie unter 1, zusätzlich werden auch 'verdächtige' Da-
teien aufgenommen. Verdächtig sind Dateien, die den heuristischen
Alarm auslösen, wenn die Option 'heuristic' benutzt worden ist.
3 Das gleiche wie unter 2, aber alle Dateien, die mit einer Warnmel-
dung angezeigt werden, werden auch aufgeführt.
4 Alle Dateien, die überprüft wurden, werden in der Protokolldatei
aufgenommen.
=> Beachten Sie: die Option muß mit der Option 'log' kombiniert werden.
rename [=<Ext-Maske>](re)
Sobald TbScan einen Dateivirus gefunden hat, wird der Anwender aufge-
fordert, die infizierte Datei zu löschen oder umzubenennen bzw. ohne
weitere Eingriffe fortzufahren. Wenn Sie die Option 'rename' angegeben
haben, wird TbScan den Anwender nicht länger fragen, was zu tun ist,
sondern die infizierte Datei selbständig umbenennen. Dabei wird das erste
Zeichen der Dateinamenserweiterung normalerweise durch den Buchstaben 'V'
ersetzt. Eine .EXE-Datei wird also in .VXE und eine .COM-Datei in .VOM
umbenannt. Durch diese Umbenennung verhindern Sie, daß die infizierten
Dateien ausgeführt werden können und damit die Infektion weiter um sich
greifen kann. Gleichzeitig können die infizierten Dateien für eine
spätere Überprüfung und Wiederherstellung aufbewahrt werden.
Sie können dieser Option auch einen Parameter hinzufügen, um die zu ver-
gebende Dateinamenerweiterung selbst zu bestimmen. Dieser Parameter muß
III - 13
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
drei Buchstaben enthalten. Fragezeichen als Platzhalter sind zulässig.
Die voreingestellte Dateinamenerweiterung ist 'V??'.
Beispiele:
TbScan c:\ noboot
Alle ausführbaren Dateien im Hauptverzeichnis sowie seiner Unterver-
zeichnisse werden überprüft. Die Bootsektorprüfung wird übergangen.
TbScan \*.*
Alle Dateien im Hauptverzeichnis werden überprüft, Unterverz. nicht.
TbScan c:\ log logname=c:\test.log loglevel=2
Es werden alle ausführbaren Dateien in Laufwerk C: überprüft. Eine
Protokolldatei mit der Bezeichnung c:\test.log wird erstellt. Die Pro-
tokolldatei wird alle infizierten und verdächtigen Dateien enthalten.
TbScan \ log logname=lpt1
TbScan wird das Hauptverzeichnis samt Unterverzeichnissen prüfen. Die
Ergebnisse werden zum Drucker umgeleitet und nicht in die Protokoll-
datei ausgegeben.
1.4. Der Scan-Vorgang
Wählen Sie 'Start scanning' im TbScan-Menü oder starten Sie TbScan
von der DOS-Befehlszeile aus. Der Scan-Vorgang beginnt sofort.
+-----------------------------------------------------------------+
|Thunderbyte virus detector v6.07 - (C) 1989-93, Thunderbyte B.V. |
| |
| TBAV wird alle zwei Monate aktualisiert. Alle registrierten An- |
| wender erhalten kostenlosen Hotline-Support über Telefon, Fax u.|
| Mailboard. Lesen Sie die umfassenden Dokumentationsdateien für |
| detailierte Informationen. BBS: +31- 85- 212 395 |
| C:\DOS\ |
| ** Unregistered evaluation version. Don't forget to register! **|
| |
| ANSI.SYS scanning..> OK signatures: 986 |
| COUNTRY.SYS skipping..> OK |
| DISKCOPY.COM tracing...> OK file system: OWN |
| DISPLAY.SYS scanning..> OK |
| DRIVER.SYS scanning..> OK directories: 01 |
| EGA.CPI skipping..> OK total files: 17 |
| FASTOPEN.EXE looking...> OK executables: 12 |
| FDISK.EXE looking...> OK CRC verified: 10 |
| FORMAT.COM tracing...> E OK changed files: 00 |
| GRAFTABL.COM tracing...> OK infected items: 00 |
| GRAPHICS.COM tracing...> OK |
| GRAPHICS.PRO skipping..> OK elapsed time: 00:05 |
| Kb /second: 57 |
| |
+-----------------------------------------------------------------+
III - 14
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
TbScan unterteilt den Bildschirm in drei Fenster: in ein Informations-
Fenster, ein Scan-Fenster und ein Status-Fenster. Das oberste Fenster ist
das Informations-Fenster, das Ihnen zu Beginn die Kommentare aus der ver-
wendeten Daten-Datei zeigt.
Während des Scannens
Sollte TbScan infizierte Dateien finden, so werden Virus- und Dateiname
im oberen Fenster angezeigt. Die Informationen werden angesammelt und
aus dem Sichtbereich gerollt, wenn mehr Meldungen angezeigt werden, als
in dem Fenster Platz haben.
Das linke, untere Fenster zeigt die Namen der Dateien an, die gerade be-
arbeitet werden, den angewandten Algorithmus sowie abgekürzt Informatio-
nen und Ergebnisse der heuristischen Analyse. In der letzten Spalte die-
ses Fensters wird ein OK oder der Name des entdeckten Virus angezeigt.
Beispiel:
TEST.EXE <Scanning...> FR OK
| | | |
| | | Resultat des Scannens
| | Ergebnis der heuristischen Analyse (Abk.)
| Verwendeter Scan-Algorithmus
Name der untersuchten Datei
Nach jedem Dateinamen werden Meldungen wie diese erscheinen: 'Looking',
'Checking', 'Tracing', 'Scanning' oder 'Skipping'. Diese Meldungen be-
ziehen sich auf die verschiedenen Algorithmen, mit denen die Dateien
geprüft werden.
Andere Meldungen, die TbScan hier anzeigen kann, sind die Ergebnisse der
heuristischen Suche. Für weitere Informationen über diese abgekürzten
Warnhinweise schlagen Sie bitte im Kapitel 1.3., 'Die heuristischen
Flags' nach.
Das rechte, untere Fenster ist das Status-Fenster. Hier werden Anzahl und
Namen der abzuarbeitenden Dateien und die Anzahl der entdeckten Viren
angezeigt. Auch das benutzte Dateisystem wird angezeigt: entweder 'DOS'
oder 'OWN'. 'OWN' besagt, daß TbScan das Betriebssystem DOS umgeht, um
alle Dateien mit direktem Zugriff zu lesen, um die Sicherheit und die
Geschwindigkeit des Scannens zu erhöhen.
Das Scannen kann mit Strg-Pause (Ctrl-Break) abgebrochen werden.
Virenentdeckung
Sobald ein infiziertes Programm entdeckt wurde, wird der Name des Virus
angezeigt. Sollten Sie keine der Optionen 'batch', 'rename' oder 'delete'
verwendet haben, so wird TbScan Sie fragen, ob die infizierte Datei umbe-
nannt oder gelöscht werden soll oder ob einfach fortzufahren ist. Wenn
Sie die Datei umbenennen, wird der erste Buchstabe der Dateinamenser-
weiterung durch ein 'V' ersetzt. Mit dieser 'Umbenennung' verhindern Sie,
III - 15
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
daß die Datei aus Versehen ausgeführt wird, noch bevor eine gründliche
Analyse vorgenommen werden konnte.
Entdeckt TbScan eine infizierte Datei, so erscheint eine der folgenden
Meldungen am Bildschirm:
infiziert von [Name des Virus]
Die Datei wurde von dem genannten Virus infiziert.
Schlepper von [Name des Virus]
Ein 'Schlepper' ist ein Programm, das selbst nicht infiziert ist,
aber einen Bootsektorvirus enthält, den es in Ihrem Bootsektor
installieren kann.
zerstört von [Name des Virus]
Einige Viren beschädigen Dateien. Die beschädigte Datei enthält
selbst - im Gegensatz zu einer infizierten Datei - keinen Virus,
wurde aber von einem Virus beschädigt.
überschrieben von [Name des Virus]
Manche Viren überschreiben Dateien. Die überschriebene Datei
enthält selbst - im Gegensatz zu einer infizierten Datei -
keinen Virus, wurde aber mit unsinnigem Inhalt überschrieben.
Trojanisches Pferd namens [Name des Trojanischen Pferdes]
Die Datei ist ein Trojanisches Pferd. Führen Sie das Programm
nicht aus, sondern löschen Sie es.
Ein Witzprogramm namens [Name des Witzprogramms]
Es gibt Programme, die eine Vireninfektion vortäuschen. Ein
'Witzprogramm' ist jedoch vollkommen harmlos.
Es kann vorkommen, daß TbScan auf eine Datei stößt, die infiziert zu
sein scheint, obwohl aber keine Signatur gefunden werden kann. In einem
solchen Fall stellt TbScan der Virenmeldung ein 'wahrscheinlich' voran.
Programme zulassen
Entdeckt TbScan eine Datei die er als verdächtig einstuft und darauf ein
Alarmfenster öffnet, haben Sie die Möglichkeit, künftige Fehl-Alarme
durch Eingabe von 'V' (Validate program = Programm zulassen) zu unter-
binden. Beachten Sie, daß dies nur funktioniert, sofern ein entspre-
chender Datensatz zu dieser Datei in der Anti-Vir.Dat vorhanden ist.
Wurde ein Programm zugelassen, bleibt es künftig von der heuristischen
Analyse ausgeschlossen. Wird eine Datei jedoch hinterher verändert (wie
im Falle einer Vireninfektion) ändert sich auch die Checksumme in der
Anti-Vir.Dat-Datei, und die Infektion wird erkannt.
=> Beachten Sie: Ein Programm, das zugelassen wurde, wird bei der normalen
Signaturensuche nicht übergangen.
III - 16
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Heuristische Suche
Haben Sie die Option 'heuristic' angegeben, ist es leicht möglich, daß
TbScan Dateien findet, die wie ein Virus aussehen. In diesem Fall ver-
wendet TbScan als Meldungspräfix den Ausdruck 'Möglicherweise', um Sie
hierüber zu informieren. TbScan zeigt dann eine der folgenden Meldungen:
Wahrscheinlich infiziert von einem unbekannten Virus (Level 1)
oder:
Möglicherweise infiziert von einem unbekannten Virus (Level 2)
Das bedeutet jedoch nicht unbedingt, daß die Datei infiziert ist. Es
gibt viele Dateien, die Viren ähnlich sehen aber keine sind.
=> Die heuristischen Levels sind im Kapitel IV (Seite 9) erklärt.
Falscher Alarm
=> Wichtig!
Falsche Alarme sind beim heuristischen Scannen unvermeidlich. Im vorein-
gestellten Modus ist es sehr unwahrscheinlich, daß TbScan einen Fehl-
alarm auslöst. Sollten Sie jedoch die Option 'heuristic' verwendet haben,
können einige Fehlalarme vorkommen. Wie soll mit diesem Fehlalarm umge-
gangen werden? Glaubt TbScan einen Virus entdeckt zu haben, so werden Sie
über den Grund dieses Verdachts informiert. In den meisten Fällen können
Sie die Begründungen beurteilen, indem Sie sich über den Zweck der bean-
standeten Datei klar werden.
Denken Sie immer daran, daß Viren andere Programme infizieren. Daher ist
es höchst unwahrscheinlich, daß Sie lediglich ein paar infizierte Datei-
en auf einer Festplatte finden, mit der regelmäßig gearbeitet wird. So-
lange die heuristische Analyse nur wenige Dateien als infiziert entdeckt,
sollten Sie dieses Ergebnis ignorieren. Aber wenn sich Ihr Computer unge-
wöhnlich verhält und mehrere Programme von TbScan mit denselben ernsten
Meldungen beanstandet werden, ist es sehr wahrscheinlich, daß eine In-
fektion mit einem (bisher unbekannten) Virus vorliegt.
Heuristische Flags
Die Ergebnisse der heuristischen Suche werden abgekürzt als einzelne
Buchstaben dargestellt, die hinter den Dateinamen geschrieben werden,
sobald die Datei bearbeitet wurde. Es gibt zwei Arten von Abkürzungen:
die informierenden werden in Kleinbuchstaben, die ernsten in Großbuch-
staben angegeben.
Die Kleinbuchstaben weisen auf bestimmte Eigenschaften
der bearbeiteten Datei hin, während die Warnungen in Großbuchstaben ge-
gebenenfalls einen Virus melden. Wenn der 'loglevel' 3 oder höher ist,
werden nicht nur die Warnungen als Großbuchstaben angezeigt, sondern
es wird außerdem eine ausführliche Beschreibung in die Protokolldatei
geschrieben.
Wie soll mit den Meldungen der heuristischen Suche umgegangen werden?
III - 17
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Die weniger wichtigen Meldungen in Kleinbuchstaben haben den Zweck, Sie
zu informieren. Sie liefern Ihnen Dateiinformationen, die für Sie inter-
essant sein können. Die wesentlich ernsteren Meldungen in Großbuchstaben,
KÖNNTEN auf einen Virus hinweisen. In Ihrem System gibt es jedoch ziem-
lich sicher einige Dateien, die eine ernste Großbuchstaben-Meldungen
hervorrufen.
Die Beschreibung der heuristischen Flags finden Sie in ANHANG B.
2. TbScanX
2.1. Der Zweck von TbScanX
Es wurden bisher schon viele Virenscanner entwickelt. Das Problem mit all
diesen Scannern ist, daß man Sie ausführen muß. Man kann beispielsweise
ihren Aufruf in die autoexec.bat einfügen, um immer beim Einschalten des
Computers alle Programme überprüfen zu lassen. Werden dabei keine Viren
gefunden, wird angenommen, daß kein Virus das System befallen hat. Um
aber sicher zu sein, daß der Computer nicht durch einen Virus infiziert
werden kann, müßte man den Scanner bei jedem Kopieren eines Programms auf
die Festplatte, bei jedem Laden einer Datei aus einer Mailbox und bei
jedem Entpacken eines Programms von einer Archiv-Datei starten. Ganz
ehrlich: Rufen Sie jedesmal den Virenscanner auf, wenn ein neues Programm
auf Ihrem Rechner hinzugefügt wird? Wenn nicht, riskieren Sie, daß in
wenigen Stunden alle Dateien von einem Virus infiziert sein können...
Wurde TbScanX gestartet, bleibt das Programm resident im Speicher und
scannt AUTOMATISCH alle Dateien, die Sie ausführen, alle ausführbaren
Dateien, die kopiert oder erstellt werden, die aus einer Mailbox ge-
laden werden, die verändert oder aus einem Archiv dekomprimiert werden!
Die gleiche Methode wird gegen Bootsektorviren eingesetzt: Immer wenn
eine Diskette in ein Laufwerk gesteckt wird, wird deren Bootsektor
gescannt. Sollte die Diskette von einem Bootsektorvirus infiziert sein,
warnt TbScanX Sie rechtzeitig!
TbScanX ist voll Netzwerk-kompatibel. Es ist nicht nötig, den Scanner
nach dem Einloggen ins Netz nochmals zu laden.
2.2. Benutzung von TbScanX
Es wird empfohlen, TbScanX automatisch starten zu lassen. Dazu sollte
es in die config.sys oder die autoexec.bat aufgenommen werden. Es ist
wichtig, TbScanX so früh wie möglich nach dem Starten des Computers
aufzurufen. Wir empfehlen daher den Aufruf von der config.sys aus.
=> Beachten Sie, daß TbDriver vor TbScanX geladen werden muß!
Aufruf von TBScanX
Es gibt drei verschiedene Möglichkeiten, um TbScanX aufzurufen:
III - 18
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
1. von der DOS-Befehlszeile aus oder in der autoexec.bat:
<Pfad>TbScanX
2. von der config.sys aus als speicherresidentes Programm (ab DOS 4.0):
Install=<Pfad>TbScanX.Exe
3. von der config.sys aus als Gerätetreiber:
Device=<Pfad>TbScanX.Exe
=> Der Aufruf von TbScanX als Gerätetreiber in der config.sys mit "device="
funktioniert nicht mit allen OEM-DOS-Versionen (von Computerherstellern
veränderte DOS-Versionen). In diesem Fall versuchen Sie die Verwendung
von "Install=" oder laden Sie TbScanX von der autoexec.bat aus.
Anders als andere Anti-Viren-Programme können die Thunderbyte Anti-
Viren-Programme geladen werden, bevor das Netzwerk gestartet wird,
ohne den Schutz vor Viren im Netzwerk zu verlieren.
Hochladen von TBScanX
Zusätzlich zu den drei oben genannten Aufrufbeispielen besteht für
Benutzer der DOS-Version 5.0 (und neuer) außerdem die Möglichkeit,
TbScanX in den UMB (Upper Memory Block) zu laden. Verwenden Sie zum
Programmaufruf in der autoexec.bat:
LoadHigh <Pfad>TbScanX.Exe
In der config.sys wird entsprechend der folgende Aufruf verwendet:
DeviceHigh=<Pfad>TbScanX.Exe
TbScanX und MS-Windows
Benutzer von MS-Windows sollten TbScanX starten, bevor Windows ge-
startet wird. In diesem Fall befindet sich TbScanX nur einmal im
Speicher, aber jedes DOS-Fenster hat trotzdem den vollen Nutzen des
Programms. TbScanX stellt den Start von Windows fest und schaltet
sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem
DOS-Fenster kann TbScanX abgeschaltet werden, ohne die Funktion des
Programms in den anderen DOS-Fenstern zu beeinflussen.
2.3. Startoptionen
TbScanX kann von der Befehlszeile aus konfiguriert werden. Die ersten
vier im folgenden erklärten Optionen sind jederzeit verfügbar, die
anderen Optionen können nur beim ersten Aufruf angegeben werden, wenn
TbScanX noch nicht speicherresident geladen ist.
III - 19
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Option Abk. Erklärung
------ ---- -------------------------------------
help ? =Zeigt Hilfetext
off d =Schaltet Scannen ab
on e =Schaltet Scannen ein
remove r =Entfernt TbScanX aus dem Speicher
noexec n =Beim Ausführen nie Scannen
allexec a =Beim ausführen immer Scannen
noboot b =Bootsektor nicht scannen
ems me =Verwendung von Expanded Memory (EMS)
xms mx =Verwendung von Extended Memory (XMS)
secure s =Zugriff ohne nachzufragen verweigern
lock l =PC anhalten, wenn ein Virus entdeckt wurde
compat c =Kompatibilität erhöhen
help (?)
Die Option help (abgekürzt mit "?") bewirkt die Anzeige eines Hilfe-
textes. Wurde TbScanX bereits speicherresident geladen, werden nur noch
die dann verfügbaren Optionen angezeigt.
off (d)
Wenn Sie die Option off (abgekürzt mit "d") verwenden, so wird TbScanX
vorübergehend abgeschaltet, aber bleibt weiter speicherresident ge-
laden.
on (e)
Wurde TbScanX mit der Option off abgeschaltet, so kann es mit der
Option on (abgekürzt "e") wieder angeschaltet werden.
remove (r)
Wurde TbScanX bereits speicherresident geladen, so kann es durch den
Aufruf von TbScanX mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbScanX geladen, so könnte die Entfernung des Programms aus
dem Speicher große Probleme verursachen. TbScanX erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
compat (c)
In den meisten Fällen arbeitet TbScanX ohne Probleme. Es ist jedoch
möglich, daß sich ein anderes speicherresidentes Programm nicht mit
TbScanX verträgt. Wenn das andere TSR-Programm zuerst geladen wird,
entdeckt TbScanX normalerweise den Konflikt und verwendet einen anderen
Interrupt. Wenn das andere TSR-Programm nach TbScanX geladen wird und
sich mit der Meldung, daß es schon installiert sei, beendet, können Sie
beim ersten Starten von TbScanX die Option 'compat' verwenden.
Es ist ebenfalls möglich, daß TbScanX sich mit anderen TSR-Programmen
nicht verträgt, wenn diese EMS oder XMS benutzen. In diesem Fall hängt
sich der Computer auf. Die Option 'compat' kann auch dieses Problem
lösen, allerdings kann das häufige Speicherauslagern die Geschwindigkeit
von TbScanX verringern.
III - 20
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
noexec (n)
TbScanX scannt normalerweise Dateien, die sich auf einem wechselbaren
Datenträger (also Disketten) befinden, in dem Moment, bevor sie ausge-
führt werden sollen. Wenn Sie das nicht wollen, können Sie mit der Option
'noexec' diese Art der Überprüfung ganz abstellen.
allexec (a)
TbScanX scannt normalerweise auszuführende Programme nur auf wechselbaren
Datenträgern. Programme auf der Festplatte werden normalerweise nicht
überprüft, da sie ja bereits beim Kopieren oder Downloaden auf die Fest-
platte automatisch von TbScanX gescannt worden sein müßten. Wenn Sie alle
Programme vor ihrem Starten überprüft haben möchten, egal ob sie sich auf
Festplatte oder auf einer Diskette befinden, können Sie die Option
'allexec' verwenden.
noboot (b)
TbScanX überwacht die Diskettenlaufwerke: Immer wenn der Bootsektor ge-
lesen wird, scannt TbScanX ihn, um Bootsektorviren aufzuspüren. Wenn Sie
eine Diskette wechseln, versucht DOS als erstes den Bootsektor zu lesen,
um herauszubekommen, welcher Diskettentyp eingelegt worden ist.
Und sobald DOS den Bootsektor liest, überprüft TbScanX ihn auf Viren.
Wenn Sie diese Arbeitsweise nicht wollen oder sie Probleme verursacht,
können Sie sie mit der Option 'noboot' abschalten. Wenn Sie diese Option
verwenden, benötigt TbScanX weniger Speicherplatz, da die Signaturen der
Bootsektorviren nicht in den Speicher geladen werden müssen.
secure (s)
TbScanX fragt normalerweise den Anwender, ob die Verarbeitung fortgesetzt
oder abgebrochen werden soll, wenn es einen Virus entdeckt. In manchen
beruflichen Umgebungen sollte diese Entscheidung nicht den Angestellten
überlassen werden. Durch die Verwendung der Option 'secure' ist es nicht
länger möglich, verdächtige Operationen fortzusetzen.
lock (l)
Wenn Sie der Betreuer von Computern sind, können Sie die Option 'lock'
benutzen, um den Computer von TbScanX anhalten zu lassen, wenn es einen
Virus entdeckt hat.
ems (me)
Wenn Sie die Option 'ems' verwenden, benutzt TbScanX Expanded Memory,
wie er von LIM/EMS-Speichererweiterungskarten oder von 386-Speicher-
Managern zur Verfügung gestellt wird, um dort die Signaturen und einen
Teil des Programmcodes zu speichern. Expanded Memory wird in 16 KByte-
großen Blöcken belegt. Da der konventionelle Hauptspeicher für Ihre
Programme von größerem Nutzen ist als das Expanded Memory, ist die
Benutzung des EMS-Speichers zu empfehlen. TbScanX kann bis zu 64 KByte
EMS-Speicher belegen.
xms (mx)
Mit der Option 'xms' weisen Sie TbScanX an, die Signaturen und Teile des
Programmcodes in das Extended Memory zu laden. Ein Erweiterungsspeicher-
Manager, wie beispielsweise HIMEM.SYS muß installiert werden, um die
Option 'xms' verwenden zu können. Auf XMS-Speicher kann von DOS aus nicht
direkt zugegriffen werden, so daß die Signaturen für jedes Scannen in den
III - 21
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
konventionellen Speicher kopiert werden müssen.
Um den Originalinhalt des Speichers zu sichern, braucht TbScanX daher die
doppelte Menge an XMS-Speicher. Das Speicherauslagern ist bei XMS-Speicher
langsamer als bei EMS-Speicher, so daß dem EMS-Speicher (sofern vorhanden)
der Vorzug zu geben ist, Es könnte sein, daß das Auslagern von XMS-Spei-
cherbereichen Konflikte mit anderen Programmen verursacht. Falls Probleme
auftreten, sollten Sie TbScanX ohne die 'xms'-Option aufrufen. TbScanX
kann etwa 2*50 KByte Extended Memory benutzen.
Beispiel:
Device=C:\utils\TbScanX.Exe xms noboot
2.4. Der Scan-Vorgang
Jedesmal, wenn ein Programm versucht in eine ausführbare Datei (also eine
Datei mit einer Dateinamenerweiterung .com oder .exe) zu schreiben, ist
der Text "*Scanning*" in der linken oberen Bildschirmecke zu sehen, bis
TbScanX das Scannen abgeschlossen hat. Da TbScanX jedoch für das Scannen
nur sehr wenig Zeit benötigt, erscheint die Meldung nur sehr kurz. Der
Text "*Scanning*" erscheint ebenfalls, wenn ein Programm direkt von einer
Diskette aus gestartet wird, und wenn DOS auf den Bootsektor eines
Diskettenlaufwerks zugreift.
Entdecken von Viren
Wenn TbScanX entdeckt, daß eine Virensignatur in eine Datei geschrieben
wird, so erscheint eine Meldung am Bildschirm:
+-----Unterbrechung durch TBAV-----+
| WARNING! |
|TbScanX entdeckte, daß <Dateiname>|
|infiziert ist durch |
|(Name des Virus) |
|Abbrechen? (Y/N) |
+----------------------------------+
Drücken Sie die Taste "N" um fortzufahren, jede andere Taste um den Vor-
gang abzubrechen.
Entdeckt TbScanX eine Signatur in einem Bootsektor, erscheint folgende
Meldung:
+-------Unterbrechung durch TBAV------+
| WARNUNG! |
|TbScanX entdeckte, daß der Bootsektor|
|des Laufwerks <Lw>: infiziert ist |
|durch (Name des Virus) |
|Booten Sie NICHT von diesem Laufwerk!|
+-------------------------------------+
Auch wenn ein Virus im Bootsektor des genannten Laufwerks zu sein
scheint, so kann er jedoch nichts tun, bis er ausgeführt wird. Erst
III - 22
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
wenn Sie Ihren Computer mit einer solchen infizierten Diskette booten,
überträgt sich der Virus auf Ihre Festplatte.
Um den Namen des Virus anzugeben, benötigt TbScanX noch einmal die Signa-
turendatei. Wenn die Signaturendatei fehlt (wenn sie gelöscht ist, oder
Sie die Diskette mit ihr aus dem Laufwerk genommen haben), oder keine
weiteren Dateien mehr geöffnet werden können ('files=' in config.sys),
entdeckt TbScanX auch weiterhin Viren, nur kann es deren Namen nicht
mehr angeben. Es zeigt statt dessen [Name unbekannt] an.
3. TbCheck
3.1. Der Zweck von TbCheck
TbCheck überprüft die Unversehrtheit von Programmdateien. Das Programm
verwendet dabei die der Datei Anti-Vir.Dat gespeicherten Informationen,
die von TbSetup erzeugt wurden. Diese Informationen enthalten Angaben
über die Größe und die Prüfsumme jeder einzelnen Programm-Datei. Durch
Vergleichen der abgespeicherten Daten mit den aktuellen können alle
Veränderungen an den überprüften Dateien festgestellt werden. Auf diese
Weise können auch durch Viren-Infektion verursachte Veränderungen be-
merkt werden.
Angenommen Sie verwenden einen gewöhnlichen Integritätsprüfer, dessen
Aufruf Sie in die Autoexec.Bat eingefügt haben, um immer beim Einschalten
des Computers alle Programme überprüfen zu lassen. Wurden keine Pro-
grammveränderungen festgestellt, so scheint Ihr Computer nicht von Viren
infiziert zu sein. Um aber sicher zu sein, daß kein Virus den Computer
befallen hat, muß der Test immer wieder durchgeführt werden.
Wurde hingegen TbCheck aufgerufen, bleibt es resident im Speicher und
überprüft nun automatisch all jene Programme, die gestartet werden sollen.
TbCheck ist voll Netzwerk-kompatibel. Ein erneuter Aufruf nach dem Ein-
loggen ins Netz ist nicht nötig.
3.2. Benutzung von TbCheck
Wir empfehlen Ihnen, TbCheck automatisch starten zu lassen. Dazu sollte
es in die config.sys oder die autoexec.bat aufgenommen werden. Es ist
wichtig, TbCheck so früh wie möglich nach dem Starten des Computers
aufzurufen, am besten also von der config.sys aus.
=> Stellen Sie sicher das TbDriver bereits geladen ist - TbCheck kann sonst
nicht gestartet werden.
Aufruf von TBCheck
Es gibt drei verschiedene Möglichkeiten, um TbCheck aufzurufen:
1. von der DOS-Befehlszeile aus oder in der autoexec.bat:
<Pfad>TbCheck
III - 23
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
2. von der config.sys aus als speicherresidentes Programm (ab DOS 4.0):
Install=<Pfad>TbCheck.Exe
Der Befehl "Install=" in der config.sys steht in den DOS-Versionen
vor der DOS-Version 4.0 nicht zur Verfügung.
3. von der config.sys aus als Gerätetreiber:
Device=<Pfad>TbCheck.Exe
Der Aufruf von TbCheck als Gerätetreiber in der config.sys mit "device="
funktioniert nicht mit allen OEM-DOS-Versionen (von Computerherstellern
modifizierte DOS-Versionen). In diesem Fall versuchen Sie "Install="
einzusetzen oder laden Sie TbCheck von der autoexec.bat aus.
Anders als andere Anti-Virus-Programme können die Thunderbyte Anti-
Virus-Programme geladen werden, bevor das Netzwerk gestartet wird, ohne
den Schutz vor Viren im Netzwerk zu verlieren.
Hochladen von TbCheck
Zusätzlich zu den drei oben genannten Aufrufbeispielen besteht für
Benutzer der DOS-Version 5.0 (und neuer) außerdem die Möglichkeit,
TbCheck in den UMB (Upper Memory Block) zu laden. Verwenden Sie zum
Programmaufruf in der autoexec.bat:
LoadHigh <path>TbCheck.Exe
Von der Config.Sys aus kann TbCheck ebenfalls hochgeladen werden:
DeviceHigh=<path>TbCheck.Exe
TbCheck und MS-Windows
Benutzer von MS-Windows sollten TbCheck starten, bevor Windows ge-
startet wird. In diesem Fall befindet sich TbCheck nur einmal im
Speicher, aber jedes DOS-Fenster hat trotzdem den vollen Nutzen des
Programms. TbCheck stellt den Start von Windows fest und schaltet
sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem
DOS-Fenster kann TbCheck abgeschaltet werden, ohne die Funktion des
Programms in den anderen DOS-Fenstern zu beeinflussen.
3.3. Startoptionen
In der Befehlszeile können beim Programmaufruf Optionen angegeben
werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit
verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben
werden, wenn TbCheck noch nicht speicherresident geladen ist.
III - 24
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Option Parameter Abk. Erklärung
------ --------- ---- ----------------------------
help ? =Zeigt Hilfetext
off d =Schaltet Überprüfung ab
on e =Schaltet Überprüfung an
remove r =Entfernt TbCheck aus dem Speicher
noavok [=<Laufw.>] o =Ignoriert das Fehlen von Anti-Vir-Daten
fullcrc f =Überprüfung der ganzen Dateien (langsam!)
secure s =Unbekannte oder veränderte Programme abbrechen
help (?)
Mit dieser Option zeigt TbCheck die oben abgebildete Optionen-Liste an.
off (d)
Deaktiviert TbCheck, das Programm verbleibt aber im Speicher und kann
wieder reaktiviert werden.
on (e)
TbCheck kann damit wieder aktiviert werden, nachdem es mit der 'off'-
Option abgeschaltet wurde.
remove (r)
Wurde TbCheck bereits speicherresident geladen, so kann es durch den
Aufruf von TbCheck mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbCheck geladen, so würde die Entfernung des Programms aus
dem Speicher große Probleme verursachen. TbCheck erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
noavok (o)
TbCheck zeigt eine Meldung an, wenn es bei der Überprüfung eines Pro-
gramms in der Datei Anti-Vir.Dat keine Informationen findet, oder wenn
diese Datei nicht vorhanden ist. Dies dient dazu, davor zu warnen, wenn
die Datei Anti-Vir.Dat vielleicht in böser Absicht gelöscht wurde oder
jemand ein neues Programm auf Ihrem Computer installiert hat.
Auch wenn es empfehlenswert ist, Anti-Vir.Dat-Dateien auf allen Laufwer-
ken anzulegen, so ist dies nicht immer sinnvoll bzw. möglich. So etwa
auf Disketten, RAM-Disks und auf CD-ROM. Mit der Option noavok (abge-
kürzt "o") kann das Anzeigen der Meldung, daß keine Anti-Vir.Dat-Infor-
mationen gefunden wurden, für ganze Laufwerke verhindert werden. Soll
die Warnmeldung für Überprüfungen auf den Diskettenlaufwerken A: und B:
und auf der RAM-Disk E: nicht mehr angezeigt werden, so ist die Option
wie folgt anzugeben:
"NoAvOk=ABE".
Wird die Option noavok ohne die Nennung von Laufwerken angegeben, werden
alle Meldungen über fehlende anti-vir.dat-Informationen unterdrückt.
=> Bedenken Sie, daß dies ein Sicherheitsrisiko darstellt: Löscht ein Virus
III - 25
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
die Datei Anti-Vir.Dat, erhalten Sie keine Warnungen mehr über weitere
Infektionen.
=> Die Option noavok verhindert nicht die Überprüfung der aufgerufenen
Programme. Wenn Informationen verfügbar sind, wird bei der Feststellung
von Veränderungen an der Programmdatei weiterhin eine Alarmmeldung aus-
gegeben.
fullcrc (f)
Normalerweise überprüft TbCheck Programmdateien nur in der Nähe des
Einsprungpunktes, da Viren sich beim Infizieren eines Programms immer
in diesem Bereich durch Veränderungen bemerkbar machen. Es reicht für
die Suche nach Viren also völlig aus, nur diesen Bereich zu überprüfen.
Manche Programme speichern interne Informationen am Ende der Programm-
datei ab. Diese Veränderungen führen normalerweise nicht zum Alarm.
Soll aus irgendeinem Grund eine volle Überprüfung der gesamten Datei
erfolgen, so kann dies mit der Option fullcrc (abgekürzt "f") veranlaßt
werden. Bedenken Sie, daß dies die Überprüfung bemerkbar verlangsamen
kann. Diese Option wird für den normalen Gebrauch der Viren-Überwachung
nicht empfohlen!
secure (s)
Wenn eine Datei verändert wurde oder keine anti-vir.dat-Informationen
vorliegen, fragt TbCheck normalerweise den Benutzer ob der Programmstart
abgebrochen werden soll, oder ob das Programm starten darf. Mit der
Option secure (abgekürzt "s") kann verhindert werden, daß Unbefugte
neue oder unbekannte Programme auf einem Computer starten können. Die
Ausführung veränderter oder unbekannter Programme wird ohne Auswahl-
möglichkeiten abgebrochen.
3.4. Während der Überprüfung
Jedesmal, wenn ein Programm, also eine Datei mit der Erweiterung .COM
oder .EXE gestartet werden soll, prüft TbCheck, ob dieser Aufruf zu-
lässig ist. Für kurze Zeit erscheint in der oberen linken Ecke des Bild-
schirms der Text "*Checking*". Während der gesamten Überprüfung ist diese
Meldung zu sehen. Da TbCheck sehr schnell arbeitet, werden Sie diese
Meldung nur kurze Zeit sehen.
Feststellen von Datei-Veränderungen
TbCheck überprüft ein aufgerufenes Programm in sehr kurzer Zeit. Werden
dabei Änderungen an der überprüften Programmdatei feststellt, erscheint
ein Fenster auf dem Bildschirm, das eine Meldung in Ihrer Sprache an-
zeigt. Sie können dann wählen, ob Sie den Programmaufruf abbrechen oder
das aufgerufene Programm starten lassen wollen.
Wenn in der Datei anti-vir.dat keine Informationen über das zu über-
prüfende Programm vorliegen, so informiert Sie TbCheck auch hierüber.
Sie können in diesem Fall den Programmaufruf abbrechen, oder das Programm
ohne Überprüfung starten lassen.
III - 26
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
3.5. TbCheck testen
Natürlich würden Sie dieses Programm, das Sie nun benutzen, gerne einmal
testen. Anders als etwa ein Textverarbeitungsprogramm ist TbCheck nur
sehr schwierig zu testen. Wenn Sie zum Beispiel 25 zufällige Bytes eines
Programms verändern, so ist es sogar wahrscheinlich, daß TbCheck keine
Veränderungen feststellt. TbCheck untersucht standardmäßig nur den von
Viren immer veränderten Einsprungbereich des Programms, und die Wahr-
scheinlichkeit, daß Sie mit Ihren Veränderungen genau diesen Bereich
treffen, ist sehr gering.
4. TbClean
4.1. Der Zweck von TbClean
TbClean ist ein Programm, mit dessen Hilfe Viren aus infizierten Dateien
entfernt werden können. Nachdem der Virus entfernt wurde, kann das Pro-
gramm wie zuvor benutzt werden, ohne daß ein Risiko besteht, daß andere
Dateien infiziert oder beschädigt werden könnten.
Konventionelle Virenbeseitigung
TbClean arbeitet vollkommen anders als konventionelle Virenbeseitiger.
Das Wichtigste dabei ist, daß TbClean im Gegensatz zu diesen herkömm-
lichen Programmen keine Viren kennen muß. Die Virenbeseitigung wird mit
einer völlig anderen Methode durchgeführt, die mit jedem Virus zurecht-
kommt - auch unbekannten. TbClean kann Viren mit zwei verschiedenen
Verfahren entfernen: einem wiederherstellenden und einem heuristischen.
Keine Informationen verfügbar?
Bei der heuristischen Virenbeseitigungsmethode benötigt TbClean keinerlei
Informationen über den Virus und auch keine Informationen über das Pro-
gramm in seinem ursprünglichen Zustand. Diese Methode ist besonders dann
hervorragend, wenn Ihr Computer von einem unbekannten Virus befallen wur-
de, und Sie versäumt haben, mit TbSetup Anti-Vir.Dat-Dateien zu erstellen.
Bei heuristische Virenbeseitiung lädt TbClean die infizierte Datei und
emuliert dabei den Programmcode, um herauszufinden, welcher Teil des Pro-
grammcodes zur Originaldatei gehört und welcher zum Virus.
Das Ergebnis wird dann als erfolgreich bewertet, wenn die Funktionsfähig-
keit des Originalprogramms wieder vollkommen hergestellt ist, und die
Funktionstüchtigkeit des Virus vollständig zerstört wurde.
=> Beachten Sie, daß das nicht bedeutet, daß die desinfizierte Datei der
Originaldatei 100%ig entspricht.
Wenn das Programm von TbClean mit der heuristischen Methode desinfiziert
wurde, wird die Datei höchstwahrscheinlich mit dem ursprünglichen Zustand
nicht vollkommen übereinstimmen. Dies ist weder ein Anzeichen für das
III - 27
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Versagen von TbClean, noch bedeutet es, daß die Datei immer noch infi-
ziert wäre. Es ist ganz normal, wenn die heuristisch bearbeitete Datei
größer ist, als das Original. TbClean versucht kein Risiko einzugehen
und will verhindern, daß zuviel aus der Datei gelöscht wird. Die Bytes,
die am Ende der Datei stehengelassen werden, sind 'toter' Code, da diese
Instruktion nie wieder ausgeführt werden können, nachdem der Sprung zu
ihnen am Anfang der Datei entfernt wurde.
Sollte es sich bei der bereinigten Datei um eine EXE-Datei handeln, so
dürften sich einige Bytes am Programmbeginn - im Exe-Programmkopf - ge-
ändert haben. Es gibt mehrere brauchbare Lösungen, den Exe-Programmkopf
zu rekonstruieren, und TbClean kann den ursprünglichen Programmzustand
natürlich niemals kennen. Die Funktionsfähigkeit der wiederhergestellten
Datei ist selbstverständlich die gleiche.
=> Beachten Sie, daß sich dies nur auf die heuristische Methode der Virenbe-
seitigung bezieht. Wenn die notwendigen Informationen in der Anti-
Vir.Dat-Datei verfügbar gewesen sind, so wird das desinfizierte Programm
normalerweise mit der virenfreien Original-Datei vollkommen überein-
stimmen.
Es ist möglich, daß die infizierte Datei von mehreren Viren oder mehreren
Instanzen des gleichen Virus infiziert worden ist. Manche Viren infizie-
ren ein und dieselbe Datei immer wieder, wodurch diese natürlich immer
größer wird. Sollte TbClean mit der heuristischen Methode gegen den Virus
vorgegangen sein, dann ist es sehr wahrscheinlich, daß nur eine Instanz
des Virus gelöscht wurde. In diesem Fall muß der Virenbeseitigungsvorgang
unbedingt so oft wiederholt werden, bis Ihnen TbClean meldet, daß nichts
weiter gelöscht werden kann.
4.2. Benutzung von TbClean
Nachdem Sie einen oder mehrere Viren ausfindig gemacht haben, ist alles
was Sie zu tun haben, die 'Start cleaning'-Option im TbClean-Menü auszu-
wählen. Nachdem Sie die betreffenden Dateinamen angegeben haben, startet
TbClean. Zuvor gestattet TbClean die Angabe zusätzlicher Parameter. Diese
werden im folgenden besprochen.
Das TbClean-Menü
Sie können TbClean in Verbindung mit einigen nützlichen Parametern,
welche im TbClean-Menü aufgelistet sind, ausführen. Sie können diese
Parameter aktivieren, indem Sie den Cursorbalken auf die entsprechende
III - 28
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Zeile bewegen und Ihre Wahl mit <Enter> bestätigen. Eine kleine Marke
zeigt Ihnen, das der entsprechende Parameter aktiviert ist.
+----Main menu-----+
| Confi+-----TbClean menu-----+
| TbSet| Start cleaning |
| TbSca| List-file name |
| TbUti| Use TBAV.INI file |
| TbCLe| Prompt for pause |
| TBAV |v Use Anti-Vir.Dat |
| Docum|v Expanded memory |
| Quit | Show program loops |
| eXit | Make list file |
+-------+----------------------+
List-file name
Wenn Sie diese Option wählen, müssen Sie den Namen der Datei angeben,
die als Listendatei verwendet werden soll (siehe auch Option 'make list-
file').
Use TBAV.INI file
Wenn Sie diese Option auswählen, ist die Konfiguration von TbClean, so
wie sie in der Datei TBAV.INI abgespeichert ist, auch bei Aufruf des
Programms von der Befehlszeile aus, gültig. Geben Sie also acht, da
die Optionen, die in der Datei TBAV.INI spezifiziert wurden, auf DOS-
Ebene nicht außer Kraft gesetzt werden können. Siehe auch Kapitel I-2
('Konfiguration').
Prompt for pause
TbClean hält die Ausgabe der Disassembling-Informationen nach jeder
vollen Bildschirmseite an, damit Sie die Ergebnisse genauer studieren
können.
Use Anti-Vir.Dat
Wird diese Option abgeschaltet, verhält sich TbClean so, als wären keine
Anti-Vir.Dat-Informationen verfügbar und führt daher die heuristische
Virenbeseitigung durch.
Show program loops
Normalerweise versucht TbClean die Bedingungen von Schleifen nachzuvoll-
ziehen, um Schleifen, die mehrere tausend mal emuliert werden, nicht am
Bildschirm anzuzeigen. Mit dieser Option arbeitet TbClean jedoch jede
Programmschleife normal ab.
=> Bedenken Sie, daß die Geschwindigkeit von TbClean dabei drastisch ab-
III - 29
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
nimmt. Kombinieren Sie diese Option NICHT mit der Option 'list', die
Protokolldatei könnte sonst auf mehrere Megabyte an Daten anwachsen.
Expanded Memory
Wenn TbClean das Vorhandensein von Expanded Memory (EMS) entdeckt, so
wird dieser automatisch bei der heuristischen Virenbeseitigung benutzt.
Sollte Ihr EMS-Speicher jedoch sehr langsam sein, bzw. der Speicherma-
nager nicht besonders stabil arbeiten, können Sie den Gebrauch des
EMS-Speichers mit dieser Option verhindern.
Make list file
TbClean erstellt eine Protokolldatei, in der chronologisch das Dis-
assemblieren des zu entfernenden Virus protokolliert wird.
4.3. Startoptionen
Beim Aufruf von TbClean können Optionen angegeben werden. Diese können
ausgeschrieben oder abgekürzt angegeben werden. Ausgeschrieben sind die
Optionen besser zu merken, weshalb sie in diesem Handbuch auch in dieser
Form verwendet werden.
Option Parameter Abk. Erklärung
------ --------- ---- --------------------------------------------
help he =Hilfetext (-? = Kurze Hilfe)
pause pa =Das 'Pause'-Prompt wird aktiviert
mono mo =Verwendet am Bildschirm Monochrommodus
noav na =Ant-Vir.Dat-Dateien nicht verwenden
noems ne =EMS-Speicher nicht verwenden
showloop sl =Jede Schleifeniteration anzeigen
list [=<Dateiname>] li =Eine Protokolldatei erstellen
Im folgenden werden alle Startoptionen kurz erklärt.
help (he)
Wenn Sie diese Option benutzen, zeigt TbClean den Inhalt der TBCLEAN.HLP-
Datei an, sofern sie sich im Verzeichnis von TbClean befindet. Mit der
Option '?' erhalten Sie eine zusammengefaßte Hilfeinformation, wie oben
aufgeführt.
pause (pa)
Wenn Sie die Option 'pause' angeben, wird TbClean nach jeder Bildschirm-
seite mit Disassembler-Informationen eine Pause machen. Damit haben Sie
die Möglichkeit, die Ergebnisse genauer anzusehen.
mono (mo)
Mit dieser Option wird die Verwendung von Farben auf Ihrem Bildschirm
unterlassen. Dadurch kann die Darstellung auf LCD-Bildschirmen oder farb-
emulierenden Schwarzweiß-Systemen verbessert werden.
III - 30
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
noav (na)
Mit dieser Option verhält sich TbClean, als ob keine Anti-Vir.Dat-Infor-
mationen zur Verfügung stünden.
noems (ne)
Wenn TbClean das Vorhandensein von Expanded Memory (EMS) entdeckt, so
wird dieser automatisch bei der heuristischen Virenbeseitigung benutzt.
Sollte Ihr EMS-Speicher jedoch sehr langsam sein, bzw. der Speichermana-
ger nicht besonders stabil arbeiten, können Sie den Gebrauch des EMS-Spei-
chers mit der Option 'noems' verhindern.
showloops (sl)
Normalerweise versucht TbClean die Bedingungen von Schleifen nachzuvoll-
ziehen, um Schleifen, die mehrere tausend mal emuliert werden, nicht am
Bildschirm anzuzeigen. Mit dieser Option arbeitet TbClean jedoch jede
Programmschleife normal ab.
=> Bedenken Sie, daß die Geschwindigkeit von TbClean dabei drastisch ab-
nimmt. Kombinieren Sie diese Option NICHT mit der Option 'list', denn
die Protokolldatei könnte sonst auf mehrere Megabyte an Daten anwachsen.
list [=<Dateiname>] (li)
Wenn Sie diese Option benutzen, wird Ihnen TbClean eine Protokolldatei
erstellen, in der chronologisch das Disassemblieren des zu entfernenden
Virus protokolliert wird.
Beispiele
TbClean VIRUS.EXE
TbClean legt unter dem Namen VIRUS.VIR eine Sicherheitskopie an und
desinfiziert VIRUS.EXE.
TbClean VIRUS.EXE TEST.EXE
TbClean kopiert VIRUS.EXE nach TEST.EXE und desinfiziert TEST.EXE.
4.4. Der Cleaning-Prozeß
Wählen Sie 'Start cleaning' im TBAV-Menü. Nun spezifizieren Sie den
Namen der Datei, die desinfiziert werden soll. Angenommen, Sie wollen
die Programmdatei virus.exe desinfizieren:
Geben Sie den Namen der zu säubernden Datei ein, TbClean erstellt zuerst
ein Backup!
C:\VIRUS\VIRUS.EXE
Das ThunderBYTE Utility säubert nach einem Datei-für-Datei-Ansatz: Eine
Datei säubern, das Resultat überprüfen und dann mit der nächsten Datei
fortfahren. Dies hat für Sie den Vorteil, daß Sie genau mitverfolgen
können, welche Datei sauber ist, welche beschädigt wurde und durch ein
Backup ersetzt werden muß, und welche immer noch infiziert ist.
Geben Sie den Namen der desinfizierten Datei an. Darf das infizierte
Programm geändert werden, tragen Sie nichts ein.
C:\VIRUS\TEST.EXE
III - 31
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Durch Spezifizieren eines anderen Dateinamens (z.B. 'test.exe') geben
Sie an, daß die desinfizierte Datei die Original-.EXE-Datei nicht über-
schreiben darf. In unserem Beispiel wird TbClean die Datei VIRUS.EXE
nach TEST.EXE kopieren und TEST.EXE desinfizieren. Der Säuberungsprozeß
wird dann in Gang gesetzt.
Wenn Sie keinen Backup-Dateinamen angeben, erzeugt TbClean selbst ein
Backup mit der Extension '.vir' (z.B. VIRUS.VIR) und desinfiziert die
.EXE-Datei.
+-----------------------------------------------------------------+
| Thunderbyte clean utility v6.03 (C) 1992-93 Thunderbyte B.V. |
+---------Infected state----------++---------Original state-------+
| Entry point (CS:IP) 34BF:0012 || Entry point (CS:IP) 34BF:0012|
| File length || File length UNKNOWN! |
| Cryptographic CRC 9F90F52A || Cryptographic CRC UNKNOWN! |
+---------------------------------++------------------------------+
| |
| Starting clean attempt. Analyzing infected file... |
| Anti-Vir not found: original state unknown. Trying emulation... |
| Emulation terminated: |
| |
| C:\VIRUS\TEST.EXE |
| CS:IP Instruction AX BX CX DX DS SI ES DI SS SP |
| 9330:0101 mov ah,40 FFFE9330FFFFEFFFD382FFEDEFFEFFFF9520007E|
| 9330:0103 mov bx,0002 40FE9330FFFFEFFFD382FFEDEFFEFFFF9520007E|
| 9330:0106 mov cx,0016 40FE0002FFFFEFFFD382FFEDEFFEFFFF9520007E|
| 9330:0109 mov dx,cs 40FE00020016EFFFD382FFEDEFFEFFFF9520007E|
| 9330:010B mov ds,dx 40FE000200169330D382FFEDEFFEFFFF9520007E|
| 9330:010D mov dx,0117 40FE0002001693309330FFEDEFFEFFFF9520007E|
| 9330:0110 int 21 40FE0002001601179330FFEDEFFEFFFF9520007E|
| 9330:0112 mov ax,4CFF 40FE0002001601179330FFEDEFFEFFFF9520007E|
| 9330:0115 int 21 4CFF0002001601179330FFEDEFFEFFFF9520007E|
| 9330:0115 <End of emulation> |
+-----------------------------------------------------------------+
Während der Virenbeseitigung
TbClean zeigt soviel Informationen wie möglich über die momentan ab-
laufende Operation, so wie oben abgebildet. Alle wichtigen Aktionen
werden im Emulationsfenster angezeigt, eine Disassemblierung und die
Registerinhalte des Programms, das sich in Arbeit findet zusammen mit
einem Bericht wie weit das Verfahren ist. Das Status-Fenster zeigt
nützliche Detailinformationen der infizierten Datei und - falls TbClean
eine entsprechende Anti-Vir.Dat-Datei findet - deren Originalzustand.
Sie können den Desinfizierungs-Vorgang durch Drücken von <Strg-Pause>
(= <Ctrl-Break>) abbrechen.
Die Arbeit ist noch nicht ganz erledigt
Eine erfolgreiche Säuberung ist nicht das Ende der Geschichte! Ihre Ar-
beit ist erst teilweise getan. Einige Viren beschädigen Datendateien.
Sie können zufällig Bytes auf Ihrer Disk ändern, Sektoren vertauschen
oder andere üble Tricks anwenden. Ein Clean-Utility kann niemals Ihre
III - 32
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Daten reparieren! Überprüfen Sie Ihre Daten genauestens und ziehen Sie
einen Virenexperten zu Rate, um herauszufinden, wozu der Virus über-
haupt in der Lage war. Sollten irgendwelche Zweifel bestehen, ist ein
Wiederherstellen der Daten die angemessenste Option.
=> Unter keinen Umständen sollten Sie mit desinfizierter Software weiter-
arbeiten!
Desinfizieren ist eine vorübergehende Lösung, um es Ihnen zu ermögli-
chen, eine umfassende Wiederherstellung auf den ersten verfügbaren
Zeitraum zu verschieben, in dem keine alltäglichen Arbeitsabläufe un-
terbrochen werden müssen (z.B. am Wochenende). Sie sollten sich nicht
längere Zeit auf ein desinfiziertes Programm verlassen. Verstehen Sie
dies bitte nicht als Abwertung von Virenbeseitigungs-Unternehmen. Wenn
Ihnen Ihre Daten etwas wert sind, sollten Sie für diese so gut als mög-
lich Sorge tragen. Sich einzig auf Original-Software zu verlassen, ist
hierbei nichts anderes als eine elementare Vorkehrung. Mit anderen Wor-
ten: Installieren Sie die Original-Programme sobald als möglich!
Grenzen der Virenbeseitigung
Obwohl TbClean eine hohe Erfolgsrate aufweisen kann und Programme
desinfiziert, die andere Anti-Viren-Programme nicht einmal bearbeiten,
können dennoch nicht alle Viren gelöscht und nicht alle Dateien
desinfiziert werden.
Viren, die aus einer infizierten Datei nicht gelöscht werden können:
Überschreibende Viren.
Überschreibende Viren hängen sich selbst nicht am Ende des Original-
programms an, sondern kopieren sich über die Originaldatei. Diese
Viren versuchen nicht, das Originalprogramm aufzurufen und danach
einfach auf die DOS-Ebene zurückzukehren. Diese Viren verursachen
normalerweise einen Systemabsturz oder springen zur DOS-Ebene zurück.
Da die Originaldatei überschrieben und beschädigt wurde, kann kein
Anti-Viren-Programm diesen Virus löschen.
Einige verschlüsselte Viren.
Normalerweise entschlüsselt TbClean den Virus. Manche Viren arbeiten
jedoch mit Anti-Debugger-Fähigkeiten, mit denen TbClean bis jetzt
noch nicht fertig wird.
Programme, die aufgrund Ihrer besonderen Konstruktion nicht desinfiziert
werden können:
EXE-Programme mit internen Overlays.
TbScan schreibt hinter diese Programme ein 'i'. Diese Programme können
nicht infiziert werden, ohne dabei beschädigt zu werden. Einige Viren
erkennen dies und infizieren sie daher nicht. Die meisten Viren infi-
zieren diese Programme jedoch und beschädigen dabei die Datei endgültig.
III - 33
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Einen solchen Schaden kann kein Anti-Viren-Programm beheben.
Programme mit Selbsttest-Routinen.
Manche Programme - meist Anti-Viren-Software oder kopiergeschützte
Programme - führen eine Art Selbstkontrolle durch. Die heuristische
Virenbeseitigung in einer infizierten Datei führt normalerweise dazu,
daß das desinfizierte Programm mit dem Originalprogramm nicht mehr
vollständig identisch ist. Obwohl der Virus aus der Datei gelöscht
wurde, und das desinfizierte Programm mit dem Originalprogramm
funktionell identisch ist, wird eine Selbstkontrolle diese Ver-
änderungen (die Bytes, die dem Programm hinzugefügt wurden oder den
etwas veränderten Stack) normalerweise entdecken.
Virenbeseitigung in mehreren Dateien
TbClean wurde mit keinen Vorkehrungen ausgestattet, um mehrere Programme
in einem Durchlauf von Viren zu befreien. Hierfür gibt es zwei Gründe:
- TbClean kann nicht automatisch nach Viren suchen, da es keine Viren
kennt.
- Wir empfehlen Ihnen dringend, Ihren Computer Datei für Datei von
einem Virus zu befreien. Beseitigen Sie zuerst die Viren der einen
Datei, überprüfen Sie dann das Ergebnis und beseitigen Sie erst da-
nach den Virus der nächsten Datei. Dadurch können Sie den Überblick
darüber behalten, welche Dateien wiederhergestellt wurden, welche
zerstört wurden und von einer Sicherheitskopie wieder hergestellt
werden müssen und welche Dateien noch von Viren befallen sind.
III - 34
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
5. Fortlaufende Viren-Prävention: TbMon
Der Zweck der TbMon-Utilities
TbMon ist ein Set, bestehend aus drei speicherresidenten Anti-Viren-
Utilities:
TbMem entdeckt den Versuch von Programmen, im Speicher resident
zu werden und stellt sicher, daß sich kein Programm ohne
Erlaubnis im Speicher festsetzt.
TbFile entdeckt den Versuch von Programmen, andere Programme zu
infizieren.
TbDisk entdeckt den Versuch von Programmen, direkt auf Datenträger zu
schreiben (unter Umgehung von DOS), Formatierversuche, etc.
Anleitungen, wie Sie diese Utilities einsetzen können, sind im folgenden
aufgeführt.
Benutzung des TbMon-Programms
Laden der TBMon-Programme
Die TbMon-Programme werden alle auf dieselbe Weise geladen. Für spezi-
fische Informationen zu jedem Einzelprogramm, wie etwa Startoptionen,
schlagen Sie bitte im entsprechenden Kapitel nach.
Es gibt drei verschiedene Möglichkeiten, die TbMon-Programme zu starten:
Von der DOS-Befehlszeile oder der Autoexec.Bat-Datei:
<Pfad>Tbxx
Von der Config.Sys aus als TSR (ab Dos 4.0):
Install=<Pfad>Tbxxx.Exe
Der "Install="-Befehl in der Config.Sys ist in den DOS-Versionen 3.xx
NICHT verfügbar.
Um ein TbMon-Programm von der Config.Sys aus als Gerätetreiber zu
installieren:
Device=<Pfad>Tbxxx.Exe
Das Ausführen von TbMon-Programmen als Gerätetreiber, funktioniert nicht
in allen OEM-Versionen von DOS. Sollte es also nicht richtig arbeiten,
verwenden Sie den "install='-Befehl oder laden Sie das Programm von der
Autoexec.Bat aus.
Ein TbMon-Programm sollte immer richtig arbeiten, wenn es von der Auto-
exec.Bat gestartet wird. Anders als andere Anti-Viren-Programme können
die Thunderbyte Anti-Viren-Programme geladen werden, bevor das Netzwerk
gestartet wird, ohne den Schutz vor Viren im Netzwerk zu verlieren.
III - 35
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Hochladen von TBMon-Programmen
Zusätzlich zu den drei oben genannten Aufruf-Möglichkeiten, können An-
wender, die DOS 5.0 (oder höher) verwenden, TbMon-Programme in den UMB
(Upper Memory Block) "hochladen", sofern dieser vorhanden ist.
LoadHigh <Pfad>Tbxxx.Exe
Von der Config.Sys aus kann ein TbMon-Programm ebenfalls hochgeladen
werden:
DeviceHigh=<Pfad>Tbxxx.Exe
TBMon und MS-Windows
Benutzer von MS-Windows sollten ein TbMon-Programm starten, bevor
Windows aufgerufen wird. In diesem Fall befindet sich das TbMon-Pro-
gramm nur einmal im Speicher, aber jedes DOS-Fenster hat trotzdem den
vollen Nutzen des Programms. Das TbMon-Programm stellt den Start von
Windows fest und schaltet sich, wenn nötig, in einen speziellen Multi-
tasking-Modus. In einem DOS-Fenster kann das TbMon-Programm abgeschaltet
werden, ohne die Funktion des Programms in den anderen DOS-Fenstern zu
beeinflussen.
Startoptionen
Alle TbMon-Utilities können mit verschiedenen Optionen eingesetzt wer-
den. Die unten aufgelisteten Optionen können bei allen drei Utilities
eingesetzt werden. Die jeweils spezifischen Optionen finden Sie in den
entsprechenden Kapiteln.
help (?)
Mit dieser Option zeigt Ihnen das TbMon-Programm eine Optionen-Liste an.
off (d)
Deaktiviert das TbMon-Programm, dieses verbleibt aber im Speicher und
kann wieder reaktiviert werden.
on (e)
Das TbMon-Programm kann damit wieder aktiviert werden, nachdem es mit
der 'off'-Option abgeschaltet wurde.
remove (r)
Wurde ein TbMon-Programm bereits speicherresident geladen, so kann es
durch seinen nochmaligen Aufruf mit der Option remove (abgekürzt "r")
wieder aus dem Speicher entfernt werden. Wurden andere ähnliche spei-
cherresidente Programme nach dem TbMon-Programm geladen, so würde die
Entfernung des Programms aus dem Speicher große Probleme verursachen.
Die TbMon-Programme erkennen dies und umgehen solche Probleme, indem
sie sich in diesem Fall nicht aus dem Speicher entfernen, sondern nur
komplett abschalten.
III - 36
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
5.1. TbMem
Der Zweck von TbMem
Die meisten Viren bleiben resident im Speicher, nachdem sie einmal
aktiviert wurden. Während sie speicherresident geladen sind, können
sie unbemerkt andere Programme infizieren, Operationen des Systems
stören, sich selbst vor Virenscannern oder Prüfsummenprogrammen ver-
stecken und gleichzeitig auch noch andere üble Dinge anstellen.
Auf der anderen Seite sind viele Viren leicht zu entdecken, indem man
den Vorgang des Residentwerdens im Speicher überwacht.
TbMem überwacht das System und stellt sicher, daß kein Programm
unerlaubt resident im Speicher bleibt! Damit zieht jedes Programm
die Aufmerksamkeit auf sich, wenn es speicherresident bleiben will.
Die Wahrscheinlichkeit, daß ein Virus unentdeckt bleibt, wird hier-
durch deutlich verringert. TbMem schützt auch den Inhalt des CMOS-
Konfigurationsspeichers.
Was ist ein speicherresidentes Programm?
Die meisten Programme werden von der DOS-Befehlszeile aus aufgerufen,
um irgendeine Tätigkeit auszuführen. Nach Beendigung des Programms
befinden Sie sich wieder da, wo Sie begonnen haben: auf der Befehlszeile.
Einige Programme arbeiten allerdings weiter, nachdem sie beendet wurden.
Diese Programme laden sich in den Speicher ihres PCs, bleiben resident
im Speicher, um im Hintergrund der anderen Programme bestimmte Dinge
zu erledigen. Beispiele dafür sind schnelle Festplatten- und Disketten-
zwischenspeicher-Programme, Drucker-Spooler zum Beschleunigen des
Druckens, Netzwerksoftware usw. Diese Programme werden häufig kurz als
'TSR'-Programme bezeichnet, was 'Terminate-and-Stay-Resident', also
'Beendet-und-speicherresident-bleibend' bedeutet.
Die meisten Viren bleiben ebenfalls speicherresident, und das ist der
Grund, warum der Vorgang des Speicherresidentwerdens in irgendeiner
Weise kontrolliert werden sollte, vorzugsweise mit TbMem.
TbMem gibt Ihnen die Möglichkeit, ein Programm zu unterbrechen, bevor
es resident werden kann. TbMem überwacht den Aufruf von DOS-TSR-Funk-
tionen und beobachtet wichtige Interrupt-Aufrufe und Speicherstrukturen.
TbMem benutzt die Aufzeichnungen in der Datei Anti-Vir.Dat, um zu ent-
scheiden, ob ein Programm resident im Speicher bleiben darf.
Dabei werden viele übliche speicherresidente Programme von TbSetup
erkannt. Falls TbSetup ein solches TSR-Programm nicht erkannt hat, so
fragt TbMem nach Ihrer Erlaubnis, ob dieses Programm speicherresident
werden darf. Diese Information wird in der Datei anti-vir.dat gespei-
chert, um Sie davor zu bewahren, daß TbMem Sie jedesmal plagt, wenn
ein bereits genehmigtes Programm erneut als TSR im Speicher bleiben will.
III - 37
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
TbMem überprüft nach jedem Programmende den CMOS-Speicher, und gibt
Ihnen die Möglichkeit, die CMOS-Informationen wieder herzustellen, wenn
sie verändert wurden. Wenn Sie TbMem einmal beigebracht haben, welche
Programme als TSR-Programme auf einem Computer erlaubt sind, können Sie
TbSetup verwenden, um diesen Programmen auf anderen Computern in der
Datei Anti-Vir.Dat ebenfalls die Erlaubnisinformation zu erteilen.
TbMem installiert einen 'hot key', also eine besondere Tastenkombina-
tion, mit der Sie aus nahezu jedem Programm herauskommen können.
TbMem is vollständig netzwerkkompatibel. Sie sind nicht gezwungen,
das Programm nach dem Einloggen ins Netz noch einmal zu starten.
Benutzung von TbMem
Da TbMem ein speicherresidentes Programm ist, kann es von der DOS-
Befehlszeile oder aus einer Batch-Datei heraus gestartet werden.
TbMem sollte auf jeden Fall automatisch aufgerufen werden, sobald der
Computer gebootet wird - vorzugsweise also bei der Ausführung der
Config.Sys- oder der Autoexec.Bat-Datei.
=> Stellen Sie sicher das TbDriver bereits geladen ist - TbCheck kann sonst
nicht gestartet werden.
Startoptionen
In der Befehlszeile können beim Programmaufruf Optionen angegeben
werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit
verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben
werden, wenn TbMem noch nicht speicherresident geladen ist.
Option Parameter Abk. Erklärung
------ --------- ---- ----------------------------
help ? =Zeigt Hilfetext
off d =Schaltet Überprüfung ab
on e =Schaltet Überprüfung an
remove r =Entfernt TbMem aus dem Speicher
secure s =Nicht zugelassene TSR nicht ausführen
keycode =<keycode> k =Gibt Tastatur-Scancode für den Hotkey an
nocancel n =Programmbeendigungs-Hotkey nicht installieren
nocmos m =CMOS-Speicher nicht überwachen
help (?)
Mit dieser Option zeigt TbMem die oben abgebildete Optionen-Liste an.
off (d)
Deaktiviert TbMem, das Programm verbleibt aber im Speicher und kann
wieder reaktiviert werden.
III - 38
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
on (e)
TbMem kann damit wieder aktiviert werden, nachdem es mit der 'off'-
Option abgeschaltet wurde.
remove (r)
Wurde TbMem bereits speicherresident geladen, so kann es durch den
Aufruf von TbMem mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbMem geladen, so würde die Entfernung des Programms aus
dem Speicher große Probleme verursachen. TbMem erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
secure (s)
TbMem fragt normalerweise den Benutzer, ob der Vorgang, wenn ein
Programm resident im Speicher bleiben will, fortgesetzt werden darf
oder abgebrochen werden soll. In manchen beruflichen Umgebungen sollten
solche Fragen nicht von Angestellten beantwortet werden. Durch Ver-
wendung der Option secure (abgekürzt "s") ist es nicht länger möglich,
neue oder unbekannte Programme ausführen zu lassen.
hotkey (k)
Der Hotkey, um die Ausführung eines beliebigen Programmes abbrechen zu
lassen, ist die Tastenkombination Strg-Alt-Einfg. Wenn Sie wollen,
können Sie eine andere Tastenkombination für diese Aufgabe verwenden.
Sie verwenden dazu die Option 'hotkey =<keycode>'. Dabei ist 'keycode'
der Tastatur-Scancode, in vierziffriger hexadezimaler Angabe. Das linke
Byte gibt den Status der Shift-Tasten, der Alt-, Ctrl-, Num-, Rollen-
und der Einfg-Taste an, während das rechte Byte den Scancode der ge-
drückten normalen Taste angibt. Ziehen Sie für weitere Informationen
Ihre Computerhandbücher zu Rate. Der vorgegebene Wert ist 0C52h (Strg-
-Alt-Einfg). Die Tastenkombination Strg-Alt-Esc hat den Wert 0C01h.
nocancel (n)
TbMem verwendet normalerweise den Programmbeendigungs-Hotkey (Strg-
Alt-Einfg). Verwenden Sie die Option 'nocancel' (abgekürzt "n"), wenn
Sie keinen Hotkey verwenden wollen. Der Speicherbedarf von TbMem wird
dadurch etwas verringert.
nocmos (m)
TbMem schützt normalerweise den CMOS-Speicher, sofern vorhanden. Wenn
Sie diesen Schutz nicht verwenden möchten, geben Sie diese Option an.
Beispiele:
C:\utils\TbMem
oder:
Device=C:\utils\TbMem.Exe
III - 39
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Arbeitsweise von TbMem
Wenn TbMem den Versuch eines Programmes entdeckt, speicherresident zu
werden, wird eine Meldung in Ihrer Sprache am Bildschirm angezeigt, die
Sie hierüber informiert. Sie können die Fortsetzung des Vorgangs erlauben
oder das Programm sofort abbrechen lassen.
Wenn Sie auf die Frage 'Aus dem Speicher entfernen?' mit 'NO' antworten,
fährt das Programm ungestört fort, und TbMem speichert die Information,
daß das Programm speicherresident werden darf, in der Datei anti-vir.dat
ab. TbMem wird Sie beim nächsten Aufruf dieses Programms dann nicht mehr
stören.
Es gibt eine ganze Menge von speicherresidenten Programmen, wie z. B.
Cache-Programme, Drucker-Spooler usw. Wie unterscheidet TbMem diese
von Viren?
TbMem verwendet die Informationen der von TbSetup erzeugten Datei
anti-vir.dat, um zu unterscheiden, ob ein TSR-Programm normal ist
oder nicht. Die meisten üblichen residenten Programme werden von TbSetup
als normal erkannt und als solche in der Datei anti-vir.dat gekenn-
zeichnet, so daß Sie sich nicht um diese Programme kümmern müssen.
Wenn TbMem eine Meldung anzeigt, daß ein Programm versucht resident
im Speicher zu bleiben, müssen Sie sich klar werden, was die Aufgabe
des aufgerufenen Programms ist. Soll das Programm irgendwelche Arbeiten
im Hintergrund durchführen? Dies ist offensichtlich richtig, wenn das
Programm ein Cache-Programm, ein Drucker-Spooler, ein auf Tasten-
druck aktivierbares Hintergrundhilfsprogramm oder etwa ein Programm
zur Erweiterung von Systemfunktionen ist.
Erscheint diese Meldung hingegen, nachdem Sie mit Ihrer Textverarbei-
tung gearbeitet haben, oder ein Datenbank- oder ein Tabellenkalkula-
tionsprogramm beendet haben, dann ist das äußerst verdächtig! Verhindern
Sie den Vorgang und überprüfen Sie Ihren Computer mit einem Virenscanner.
Das gleiche gilt, wenn ein Programm, das normalerweise nicht speicher-
resident arbeitet, plötzlich sein Verhalten ändert, und versucht, im
Speicher zu bleiben.
5.2. TbFile
Der Zweck von TbFile
Es gibt verschiedene Kategorien von Viren. Die zwei wichtigsten sind
die Bootsektorviren und die Dateiviren. Den Dateiviren ist gemeinsam, daß
Sie Programme infizieren. Das Infizieren von Programmen ist eine ganz
spezielle Operation, die sich von anderen Zugriffen auf Dateien unter-
scheidet, und dadurch ist es möglich diesen Vorgang zu entdecken.
TbFile überwacht das System und entdeckt die Versuche eines Programms,
ein anderes zu infizieren. Anders als andere Dateiwächter überwacht
TbFile nur virenspezifische Dateiveränderungen. TbFile verursacht keinen
Alarm, wenn ein Programm seine eigene Datei verändert, um Konfigurations-
III - 40
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Daten zu ändern. Auch meldet es nicht, wenn ein Programm durch eine neue
Version ersetzt wird, wenn Sie selbst Programme schreiben. In einem
normalen System werden Sie nie einen falschen Alarm erhalten!
TbFile stellt nicht nur Infektionsversuche fest, sondern läßt
Sie den Infektionsvorgang unterbrechen und das Programm fortsetzen.
TbFile stellt auch andere verdächtige Vorgänge fest, wie zum Beispiel
das Verändern der Sekunden auf einen unerlaubten Wert.
TbFile hat einen sehr hochentwickelten Mechanismus, um Infektionen
festzustellen und schlägt deshalb beim Ausführen von standardmäßigen
Dateizugriffen keinen falschen Alarm. In normalen Konfigurationen
wird nie ein falscher Alarm gemeldet werden!
Dateien können gegen unbeabsichtigte Veränderungen mit Hilfe des
Dateiattributs Read-Only geschützt werden. Ohne TbFile kann dieser
DOS-Standardschutz leicht umgangen werden. TbFile dagegen sorgt
dafür, daß ein Versuch, das Read-Only-Attribut zu sabotieren, nicht
unbemerkt bleibt. Dies gibt Ihnen eine zusätzliche Sicherheit, indem
Sie eine unkomplizierte Methode anwenden, die Ihre Dateien voll-
ständig gegen Zerstörung und Infektion schützt.
TbFile is vollständig netzwerkkompatibel. Sie sind nicht gezwungen,
das Programm nach dem Einloggen ins Netz noch einmal zu starten.
Andere speicherresidente Anti-Virus-Programme lassen dem Anwender die
Wahl zwischen dem Virenschutz bevor das Netzwerk gestartet wurde,
oder nachdem das Netzwerk gestartet wurde. Beides ist nicht möglich.
Startoptionen
In der Befehlszeile können beim Programmaufruf Optionen angegeben
werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit
verfügbar, die anderen Optionen können nur beim ersten Aufruf angegeben
werden, wenn TbFile noch nicht speicherresident geladen ist.
Option Abk. Erklärung
------ ---- ----------------------------
help ? =Zeigt Hilfetext
off d =Schaltet Überprüfung ab
on e =Schaltet Überprüfung an
remove r =Entfernt TbFile aus dem Speicher
secure s =Genehmigungen nicht gestatten
allattrib a =Überprüfung aller Read-Only-geschützten Dateien
help (?)
Mit dieser Option zeigt TbFile die oben abgebildete Optionen-Liste an.
off (d)
Deaktiviert TbFile, das Programm verbleibt aber im Speicher und kann
wieder reaktiviert werden.
III - 41
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
on (e)
TbFile kann damit wieder aktiviert werden, nachdem es mit der 'off'-
Option abgeschaltet wurde.
remove (r)
Wurde TbFile bereits speicherresident geladen, so kann es durch den
Aufruf von TbFile mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbFile geladen, so würde die Entfernung des Programms aus
dem Speicher große Probleme verursachen. TbFile erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
secure (s)
TbFile fragt normalerweise den Benutzer, ob verdächtige Aktionen
fortgesetzt werden dürfen oder abgebrochen werden sollen. In manchen
beruflichen Umgebungen sollten solche Fragen nicht von Angestellten
beantwortet werden. Durch Verwendung der Option secure (abgekürzt "s")
ist es nicht länger möglich, verdächtige Operationen fortführen zu
lassen.
allattrib (a)
TbFile schützt normalerweise nur die Read-Only-Attribute von aus-
führbaren Dateien (Programmdateien mit der Erweiterung .com oder .exe).
Wenn Sie die Read-Only-Attribute von allen Dateien überwachen lassen
wollen, müssen Sie die Option allattrib (abgekürzt mit "a") verwenden.
In diesem Fall werden Sie alarmiert, wenn ein Read-Only-Attribut von
irgendeiner Datei entfernt werden soll.
Beispiele:
C:\utils\TbFile allattrib
oder:
Device=C:\utils\TbFile.Exe allattrib
5.3. TbDisk
Der Zweck von TbDisk
Viele Viren versuchen Daten auf Laufwerken zu zerstören. Dies er-
reichen Sie, indem sie beispielsweise die FAT überschreiben oder
Sektoren vertauschen. Fast alles ist möglich.
Es gibt eine heimtückische Programmsorte die als 'bootsector virus
droppers' ('dropper' = 'Schlepper') bezeichnet werden und Bootsektorvi-
ren auf Disketten installieren. Diese Programme sind selbst keine Viren,
sie installieren nur einen Virus. Eben deshalb ist es für Virenscanner
schwer, sie zu entdecken. Die einzige Möglichkeit, ist die Überwachung
ihres Verhaltens.
Keines dieser Programme verwendet für seine Schreibversuche DOS-
Funktionen, sondern benutzt für seinen Zugriff direkte Aufrufe von
BIOS-Funktionen, unter Umgehung von DOS.
TbDisk überwacht das System und stellt sicher, daß kein Programm
III - 42
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
ohne Erlaubnis direkt auf die Laufwerke schreiben darf. Damit
wird auf alle Programme aufmerksam gemacht, die direkt auf die
Laufwerke schreiben wollen. Die Wahrscheinlichkeit, daß ein Virus
unentdeckt bleibt, wird hierdurch reduziert. Ebenso können Viren
daran gehindert werden, Daten zu zerstören. Die "bootsector virus
droppers" können entdeckt werden.
Außerdem kann TbDisk dazu eingesetzt werden, Festplatten vor Schreib-
zugriffen zu schützen. Das kann nützlich für Sie sein, wenn Sie neue
Programme ausprobieren wollen.
TbDisk informiert Sie nicht nur über Versuche von Programmen, auf
die Laufwerke direkt zuzugreifen, sondern läßt Sie den Vorgang
auch abbrechen, bevor Schaden angerichtet werden kann.
TbDisk entdeckt auch 'stealth'-Techniken. TbDisk stellt Versuche
fest, in einzelnen Schritten auf den BIOS-Handler zuzugreifen. Es
zeigt ebenfalls die Verwendung undokumentierter Aufrufe an, die
Schäden auf den Datenträgern anrichten können.
TbDisk ist in der Lage, direkte Schreibzugriffe über Aufrufe des
Interrupt 13h festzustellen. Um dies zu erreichen, muß zwischen
DOS und Anwendersoftware unterschieden werden, da es DOS erlaubt
ist, zu schreiben, und anderer Software normalerweise nicht.
TbDisk benutzt die Aufzeichnungen in der Datei anti-vir.dat, um zu
entscheiden, ob ein Programm direkt auf die Laufwerke zuzugreifen darf.
Viele übliche Hilfsprogramme für die Dateiverwaltung werden von TbSetup
erkannt. Falls TbSetup ein solches Programm nicht erkannt hat, so fragt
TbDisk nach Ihrer Erlaubnis, ob dieses Programm direkt auf die Laufwerke
zugreifen darf. Diese Information wird in der Datei anti-vir.dat gespei-
chert. TbDisk wird Sie beim nächsten Aufruf des betreffenden Programmes
nicht mehr unnötig warnen.
TbDisk is vollständig netzwerkkompatibel. Sie sind nicht gezwungen,
das Programm nach dem Einloggen ins Netz noch einmal zu starten.
Andere speicherresidente Anti-Virus-Programme lassen dem Anwender die
Wahl zwischen dem Virenschutz bevor das Netzwerk gestartet wurde,
oder nachdem das Netzwerk gestartet wurde. Beides ist nicht möglich.
Benutzung von TbDisk
TBDisk aufrufen
Eine ungeeignete Installation kann eine große Anzahl an Fehlalarmen
und sogar Datenverlust zur Folge haben. Wenn Sie TbDisk von der Datei
autoexec.bat oder config.sys aus aufrufen lassen wollen, ist es sehr
empfehlenswert, fürs erste die Option "install" zu verwenden. Wenn
sich Ihr System auch weiterhin normal verhält, und TbDisk keinen fal-
schen Alarm auslöst, wenn Sie Dateien auf ihre Festplatte kopieren,
ist TbDisk korrekt installiert, und Sie können die Option install
wieder entfernen.
III - 43
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
TbDisk in Ihrer Installation
Wenn TbDisk Fehlalarme auslöst, sollten Sie den Aufruf des Programms
in Ihrer config.sys oder autoexec.bat weiter nach hinten verschieben,
bis es fehlerfrei arbeitet.
Anders als andere TBAV-Programme, sollten Sie TbDisk nach anderen
speicherresidenten Programmen starten! Dies nicht zu befolgen, kann
viele falsche Alarme auslösen!
TbDisk und MS-Windows
TbDisk stellt den Start von Windows fest und schaltet
sich, wenn nötig, in einen speziellen Multitasking-Modus. In einem
DOS-Fenster kann TbDisk abgeschaltet werden, ohne die Funktion des
Programms in den anderen DOS-Fenstern zu beeinflussen.
Wenn Sie Windows für die Verwendung des 32-Bit Zugriffs eingestellt
haben, und Windows einen Fehler meldet, kann es erforderlich sein, die
Option 'win32' zu benutzen.
Startoptionen
In der Befehlszeile können beim Programmaufruf Optionen angegeben
werden. Die ersten vier im folgenden erklärten Optionen sind jederzeit
verfügbar, alle übrigen können nur beim ersten Aufruf angegeben
werden, wenn TbDisk noch nicht speicherresident geladen ist.
Option Parameter Abk. Erklärung
------ --------- ---- ----------------------------
help ? =Zeigt Hilfetext
remove r =Entfernt TbDisk aus dem Speicher
off d =Schaltet Überprüfung ab
on e =Schaltet Überprüfung an
wrprot p =Schreibschutz für Festplatten
nowrprot n =Kein Schreibschutz mehr für Festplatten
win32 w =Erlaubt Windows 32bit-Laufwerkszugriff
secure s =Verbietet Zugriff ohne nachzufragen
nostealth a =Keine Suche nach 'stealth'-Zugriffen
notunnel t =Keine Suche nach 'tunneling'
install i =Installations-Test-Modus
help (?)
Mit dieser Option zeigt TbDisk die oben abgebildete Optionen-Liste an.
Wurde TbDisk bereits speicherresident geladen, werden nur noch die
dann verfügbaren Optionen angezeigt.
remove (r)
Wurde TbDisk bereits speicherresident geladen, so kann es durch den
Aufruf von TbDisk mit der Option remove (abgekürzt "r") wieder aus dem
Speicher entfernt werden. Wurden andere ähnliche speicherresidente Pro-
gramme nach TbDisk geladen, so könnte die Entfernung des Programms aus
III - 44
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
dem Speicher große Probleme verursachen. TbDisk erkennt dies und um-
geht diese Probleme, indem es sich in diesem Fall nicht aus dem Speicher
entfernt, sondern nur abschaltet.
off (d)
Wenn Sie die Option off verwenden, so wird TbDisk vorübergehend abge-
schaltet, aber bleibt weiter speicherresident geladen.
on (e)
Wurde TbDisk mit der Option off abgeschaltet, so kann es mit der
Option on wieder angeschaltet werden.
wrprot (p)
Disketten können einfach durch Bekleben der Schreibschutzkerbe oder
durch Verschieben des Schreibschutzschiebers geschützt werden. Für
Festplatten ist dies leider nicht möglich. Dies erhöht die Gefahr,
wenn Sie beispielsweise neue Programme ausprobieren, um festzustellen,
was diese mit ihrer Festplatte machen und wie Daten beeinflußt werden.
Die Option wrprot kann zum Schreibschutz Ihrer Festplatte eingesetzt
werden. Versucht ein Programm, auf eine so geschützte Festplatte zu
schreiben, erhalten Sie eine Fehlermeldung wie:
"Schreibschutzfehler beim Schreiben auf Laufwerk c: A)bort, R)etry, I)gnore?".
Sie können dann eine der Möglichkeiten auswählen.
=> Beachten Sie, daß ein solcher Software-Schreibschutz nicht hundertpro-
zentig zuverlässig. Auch wenn nahezu kein Virus einen solchen Schutz
umgehen kann, so ist das doch nicht unmöglich. Trotzdem ist das Verfah-
ren ein wertvoller Schutz gegen die meisten heimtückischen Programme.
nowrprot (n)
Die Option nowrprot (abgekürzt "n") macht die Option wrprot rückgängig.
win32 (w)
Windows verwendet im erweiterten Modus für 386-PC einige undokumentierte
DOS-Aufrufe, um den originalen BIOS-Disk-Handler zu ersetzen, wenn der
32Bit-Zugriff erlaubt wurde. Da TbDisk solche Aufrufe überwacht, werden
diese 32Bit-Zugriffe verhindert. Soll Windows die Erlaubnis für solche
Aufrufe haben, so können Sie die Option win32 (abgekürzt "w") verwenden.
Die Sicherheit vor Viren wird dadurch jedoch etwas reduziert.
=> Achtung: Verwenden sie diese Option (welche die Sicherheit gegen Viren
etwas vermindert) nur, wenn sie Windows im erweiterten 386-Modus den
schnellen 32-Bit-Festplattenzugriff erlaubt haben.
secure (s)
TbDisk fragt normalerweise den Benutzer, ob direkte Schreibversuche
fortgesetzt werden dürfen oder abgebrochen werden sollen. In manchen
beruflichen Umgebungen sollten solche Fragen nicht von Angestellten
beantwortet werden. Durch Verwendung der Option secure (abgekürzt "s")
ist es nicht länger möglich, neuen oder unbekannten Programmen die
Erlaubnis für direkte Zugriffe auf ein Laufwerk zu gestatten.
III - 45
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
nostealth (a)
TbDisk versucht direkte Aufrufe ins BIOS zu entdecken. Wird ein solcher
Versuch unternommen, meldet TbDisk, daß auf das Laufwerk in unüblicher
Weise zugegriffen werden soll. Sollte diese Fähigkeit falsche Alarme aus-
lösen, so kann sie mit der Option 'nostealth' (abgekürzt 'a') abgeschal-
tet werden.
notunnel (t)
TbDisk entdeckt normalerweise den Versuch von Viren zu tunneln. Das
Tunneln ist eine von Viren verwendete Technik, um den Speicherplatz
des BIOS-Codes im Speicher zu entdecken und diese Adresse für direkte
Kommunikation mit dem BIOS zu gebrauchen. Damit wird die Überwachung
aller speicherresidenten Antiviren-Programme umgangen. TbDisk ist in
der Lage, Tunnel-Versuche festzustellen und vor ihnen zu warnen. Es
gibt andere Antiviren-Programme, die sich der Tunnel-Technik bedienen,
um speicherresidente Viren zu umgehen. Diese verursachen dabei dann
einen falschen Alarm. Wenn Sie solche anderen Antiviren-Programme
verwenden, können Sie mit der Option 'notunnel' (abgekürzt "t") die
Überprüfung von Tunnelversuchen abschalten.
install (i)
Wenn TbDisk nicht korrekt installiert ist, kann es eine Vielzahl von
Fehlalarmen auslösen. Um Sie davor zu bewahren, bei solchen Fehlalarmen
erlaubte Schreibzugriffe abzubrechen, können Sie die Option install
(abgekürzt "i") verwenden, wenn Sie TbDisk in der config.sys oder der
autoexec.bat installieren.
Die Arbeitsweise von TbDisk
Was sind direkte Laufwerkszugriffe?
Programme greifen oft auf Dateien über das Betriebssystem DOS (Disk
Operating System) zu. Wenn ein Programm eine Datei auf den neusten Stand
bringen will, so fordert es DOS auf, die Daten in die Datei auf die Disk
zu schreiben. Es gibt aber auch noch andere Wege, um auf ein Laufwerk zu
schreiben, und zwar unter Umgehung von DOS. Diese Schreibzugriffe werden
als direkte Laufwerkszugriffe bezeichnet (direct disk access).
Normale Programme schreiben nicht direkt. Es gibt allerdings Programme,
die dies tun müssen. Folgende Programmgruppen gehören dazu:
- Programme zur Formatierung von Disketten und Festplatten. Eine
Formatierung kann nur mit direktem Zugriff durchgeführt werden.
- Diagnose Utilities für Disketten und Festplatten (Bsp.: der NORTON
disk doctor, das DOS-Programm chkdsk usw.)
- Disk-Optimierungsprogramme.
Die meisten Viren bedienen sich ebenfalls des direkten Zugriffs auf
die Laufwerke. Deshalb sollte diese Zugriffsart auf irgendeine Weise
kontrolliert werden, vorzugsweise mit TbDisk.
III - 46
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Entdecken direkter Laufwerkszugriffe
Wenn TbDisk den Versuch eines Programmes entdeckt, direkt auf ein Lauf-
werk zuzugreifen, erscheint eine Meldung am Bildschirm, die Sie hierüber
in Ihrer Sprache informiert. Sie können wählen, ob Sie den Zugriff ge-
statten oder abbrechen.
Wenn TbDisk die Meldung anzeigt, daß ein Programm versucht, direkt auf
ein Laufwerk zuzugreifen, so müssen Sie sich den Zweck des laufenden
Programms überlegen. Soll das Programm zum Beispiel Disketten formatieren
oder Sektoren editieren? Erlauben Sie den Zugriff, wenn es sich um ein
Formatierungsprogramm oder etwa ein Disketten- oder Festplatten-
optimierungsprogramm handelt.
Wenn jedoch eine Meldung angezeigt wird, während Sie mit einem Textver-
arbeitungsprogramm, einer Datenbank oder einer Tabellenkalkulation
arbeiten, ist das extrem verdächtig! Sie sollten das Programm abbrechen
und Ihren Computer mit einem Virenscanner untersuchen.
III - 47
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
6. TBAV-Tools
6.1. TbUtil
Der Zweck von TbUtil
TbUtil stellt einen wirksamen Schutz gegen Partitionstabellen- und
Bootsektor-Viren dar:
Es kann die Partitionstabelle, den Bootsektor und die CMOS-Daten in
einer Datei sichern. Mit diesem Tool läßt sich die Partitionstabelle,
der Bootsektor und der CMOS-Datenbereich nach einem Virenbefall ver-
gleichen und rekonstruieren.
TbUtil kann einen Partitionstabellen-Virus beseitigen, ohne eine Low-
level-Formatierung der Festplatte vorzunehmen, selbst wenn kein Backup
der Partitionstabelle existiert.
Es kann Bootsektor-Viren beseitigen.
Es ist in der Lage, eine Partitionstabelle erzeugen, die über einen
integrierten Virenschutz verfügt.
Es kann den infizierten oder den sauberen Bootsektor durch einen solchen
ersetzen, der dem Standard-Bootsektor überlegen ist.
Was ist eine Partitionstabelle?
Eine Partition ist ein Logisches Laufwerk auf einer Festplatte. Ein
physikalisches Laufwerk kann mehrere DOS-Partitionen umfassen. Jede
DOS-Partition hat ihre eigene Laufwerkskennung (z.B. C: D: E:).
Die Partitionstabelle enthält Start- und Endzylinder jeder Partition.
Sie enthält auch Informationen über das Betriebssystem einer Partition
und welche Partition zum Booten verwendet werden soll. Die Partitions-
tabelle befindet sich immer auf dem ersten Sektor der Festplatte, wel-
cher als "Master-Boot-Record" (MBR) bezeichnet wird.
Formatierung unnötig
Im Gegensatz zu den meisten Datei-Viren sind Partitionstabellen-
Viren schwer zu beseitigen. Die einzige Lösung ist eine Low-Level-
Formatierung der Festplatte und die Erstellung einer neuen Partitions-
tabelle oder die Verwendung nicht-dokumentierter DOS-Befehle.
TbUtil erstellt ein Backup von Partitionstabelle und Bootsektor.
Dieses Backup kann zum Vergleichen und Wiederherstellen der ursprüng-
lichen Partitionstabelle und des Bootsektors nach einer Infektion
eingesetzt werden. Sie müssen Ihre Festplatte also nicht mehr forma-
tieren, um einen Partitionstabellen- oder Bootsektor-Virus loszuwerden.
Das Programm kann zudem die CMOS-Konfiguration wiederherstellen.
III - 48
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Wenn Sie es wünschen, ersetzt TbUtil den Code der Partitionstabelle
durch einen wesentlich virenresistenteren. Der Partitionscode von TbUtil
wird ausgeführt, ehe der Bootsektor die Kontrolle übernimmt. Dadurch ist
es möglich den Bootsektor in einer sauberen Umgebung zu prüfen. Ist der
Bootsektor bereits ausgeführt, ist seine Überprüfung problematisch, da
der Virus dann bereits resident im Speicher sitzt und jeden Schutz an
der Nase herumführen kann. Anstatt jedesmal von einer sauberen DOS-
Diskette zu starten, nur um den Bootsektor zu untersuchen, führt der
Partitionscode von TbUtil eine CRC-Berechnung (eine spezielle Prüfsumme)
durch, bevor dem Bootsektor die weitere Kontrolle überlassen wird.
Sollte sich der Bootsektor verändert haben, wird Sie der Partitions-
code von TbUtil hierüber informieren. Der TbUtil-Partitionscode prüft
aber auch das RAM-Layout und informiert Sie über Veränderungen an
diesem - jedesmal wenn Sie von Ihrer Festplatte booten.
TbUtil kann infizierte und virenfreie Bootsektoren durch einen neuen
ersetzen, der gegenüber dem Standard-Bootsektor wesentliche Vorteile
bietet. Er besitzt die Fähigkeit, Viren zu entdecken, führt eine
Selbstüberprüfung durch und lenkt den Bootvorgang automatisch auf die
Festplatte um wenn sich in einem Diskettenlaufwerk eine nichtbootfähige
Diskette befindet.
Benutzung von TbUtil
The TbUtil module contains several programs, which can be executed from
the TbUtil menu or in case of an emergency from a TbUtil recovery
diskette using the DOS command line. TbUtil allows some additional menu
options. These options are discussed below. The corresponding command
line parameters are listed in chapter 6 of this section.
Das System Maintenance-Menü
Dieses Menü enthält das eigentliche TbUtil-Programm. Das Programm kümmert
sich um das Sichern, Wiederherstellen oder Vergleichen der Systemkonfi-
guration Ihres PCs. Die Backup-Systemkonfiguration wird auf Diskette in
einer Datei gespeichert. Diese trägt einen Standardnamen - Sie können
aber auch einen Namen spezifizieren.
=> Beachten Sie, daß Sie eine Systemkonfiguration nur mittels einer Daten-
datei restaurieren, die auf exakt diesem PC erstellt wurde. Sollte dies
nicht der Fall sein, würde das Restaurieren einer solchen Datei Ihren
PC unzugänglich machen!
III - 49
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
+----Main menu-----+
| Confi+-----------TbUtil menu-----------+
| TbSet| Syste+-------System maintenance-------+
| TbSca| Immun| Execute TbUtil |
| TbUti| Immun| Name of TbUtil data file |
| TbCLe| Immun| Describe this machine |
| TBAV +-------| Save system configuration |
| Documentation|v Compare system configuration |
| Quit and save| Restore system configuration |
| eXit (no save|v process CMOS memory |
+---------------|v process Partition code |
|v process Bootsector |
+--------------------------------+
Execute TbUtil
Bevor Sie diese Option auswählen, müssen Sie zunächst eine der möglichen
Funktionen angeben: 'save' (speichern), 'compare' (vergleichen) oder
'restore' (wiederherstellen) der Systemkonfiguration. Fahren Sie mit dem
Cursorbalken auf den gewünschten Menüpunkt und bestätigen Sie mit
<ENTER>. Eine kleine Markierung zeigt Ihnen an, daß die Option ausge-
wählt wurde.
Name of TbUtil data file
Die 'save'-Option bewirkt, daß die Systemkonfiguration in einer Datei
gespeichert wird. Sie können dieser Datei eine Beschreibung einfügen,
die es Ihnen erleichtert, die Datendatei dem richtigen Rechner zuzu-
ordnen.
Describe this machine
Geben Sie eine sinnvolle Beschreibung des Rechners ein. Beispiels-
weise "AT 12MHz, 4MB, Raum 12, Herr Schmid". Sie müssen sich das also
NICHT zu merken, TbUtil zeigt es Ihnen an, wenn Sie die Option 'compare'
oder 'restore' wählen. Damit können Sie eine TbUtil-Datendatei problem-
los dem richtigen Rechner zuordnen.
Save system configuration
Diese Option speichert die Partitionstabelle, den Bootsektor und den
CMOS-Datenbereich in der TbUtil-Datendatei.
=>> Achtung! Da der PC für DOS absolut unzugänglich ist, wenn die Parti-
tionstabelle beschädigt wurde, RATEN wir Ihnen DRINGEND, sowohl die
TbUtil-Datendatei als auch das Programm TbUtil.Exe selbst, auf einer
Diskette abzuspeichern! Es ist nicht gerade schön, wenn die Partitions-
tabelle zerstört ist und die einzige Lösung für dieses Problems auf
derselben nichtzugänglichen Disk liegt...
Wenn Sie TbUtil von der Befehlszeile starten, müssen Sie hinter der
III - 50
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
'store'-Option einen Dateinamen angeben. Erfolgt der Aufruf über das
TBAV-Menü, können Sie den voreingestellten Dateinamen 'TBUTIL.DAT' ver-
wenden. Falls Sie mehr als einen PC besitzen, ist es ratsam, eine
TbUtil-Diskette anzulegen, auf der sich die Datendateien aller Ihrer
PCs befinden. Setzen Sie dann die Dateinamens-Erweiterung zur Identi-
fizierung des jeweiligen PCs ein: z.B.: a:TbUtil.<Nummer>.
a:TbUtil.<number>
Compare system configuration
Mit dieser Option können Sie prüfen, ob noch alles in Ordnung ist.
Geben Sie diese Option an, vergleicht TbUtil die Informationen in der
TbUtil-Datendatei mit der Partitionstabelle, dem Bootsektor und dem
CMOS-Datenbereich. Zudem werden die Bemerkungen, die in der TbUtil-
Datendatei gespeichert sind, angezeigt. Zuguterletzt können Sie durch
Verwendung dieser Option sichergehn, daß Ihre TbUtil-Datendatei noch
lesbar ist.
Restore system configuration
Mit der Option 'restore' können Sie die Partitionstabelle, den Bootsek-
tor und den CMOS-Datenbereich wiederherstellen. Sie müssen bestätigen,
daß die vorhandene TbUtil-Datendatei zu eben diesem Rechner gehört. Zu-
letzt wird die Partitionstabelle, der Bootsektor jener Partition, die
zum Booten verwendet wird und der CMOS-Datenbereich wiederhergestellt.
Process Partition code/Bootsector/CMOS memory
TbUtil stellt standardmäßig die Partitionstabelle, den Bootsektor und
den CMOS-Datenbereich wieder her. Geben Sie eine der oben genannten
Opionen in Verbindung mit der Option 'restore' an, wird nur entspre-
chende Teil restauriert.
Das TbUtil-Menü
Neben dem 'System Maintenance'-Menü, stellt das TbUtil-Menü einige
weitere nützliche Programme zur Verfügung, mit denen Sie präventiv
gegen Bootsektor-Viren vorgehen oder falls nötig beseitigen können.
+----Main menu-----+
| Confi+-----------TbUtil menu-----------+
| TbSet| System maintenance menu >|
| TbSca| Immunize/clean bootsector A: |
| TbUti| Immunize/clean bootsector B: |
| TbCLe| Immunize/clean partition code |
| TBAV +---------------------------------+
| Documentation >|
| Quit and save |
| eXit (no save) |
+------------------+
III - 51
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Immunize/clean diskette
Mit dieser Option können Sie Disketten von Bootsektor-Viren befreien.
Sie können sie aber auch dazu verwenden, den Standard-Bootsektor einer
Diskette durch einen dem Original-Bootsektor überlegenen zu ersetzen:
Er ist in der Lage Viren zu erkennen. Der Bootsektor prüft selbst, ob
er sich noch auf dem richtigen Platz auf der Diskette befindet und daß
der Interrupt 13h und/oder der 40h sich noch im ROM befinden. Damit
lassen sich sogar Tarnkappen-Viren aufspüren.
Der TBAV-Bootsektor ist in der Lage, die Systemdateien zu laden wenn
sie auf der Diskette vorhanden sind. Befinden sich die DOS-Systemda-
teien jedoch nicht auf der Diskette, öffnet der TBAV-Bootsektor ein
kleines Menü, das Ihnen zwei Auswahlmöglichkeiten bietet: Sie können
den Bootvorgang mit einer anderen Diskette nochmal versuchen oder von
der Festplatte booten. Entscheiden Sie sich für letzteres, ist es nicht
notwendig die Verriegelung des Diskettenlaufwerks zu lösen.
Immunize/clean hard disk
'Immunize' ist eine sehr leistungsfähige Option. Sie kann zum
Desinfizieren einer virenbefallenen Partitionstabelle eingesetzt
werden, wenn keine TbUtil-Datendatei vorhanden ist. Zudem wird
der vorhandene Code der Partitionstabelle durch einen neuen ersetzt,
der Virenabwehr-Funktionen besitzt. Der Original-Partitionscode wird
in einer Datei gespeichert. Starten Sie TbUtil von einem Disketten-
laufwerk aus oder spezifizieren Sie den Dateinamen unter dem der
Original-Partitionscode gespeichert werden soll. Das angegebene Lauf-
werk sollte ein Diskettenlaufwerk sein.
Falls die Original-Partitionstabelle so zerstört ist, daß sie für
die Erstellung einer neuen unbrauchbar ist, sucht TbUtil im Stan-
dardlaufwerk nach Informationen über die ursprüngliche Diskbele-
gung. Es sucht sogar auf der Festplatte nach TbUtil-Datendateien.
Wir raten Ihnen jedoch dringend, diese Datendatei auf einer Diskette
zu speichern. Eine zusätzliche Kopie auf der Festplatte zu belassen,
ist eine gute Idee - für alle Fälle!
Wenn sich Ihre Systemkonfiguration ändert, d.h. wenn Sie Ihre DOS-
Version updaten oder die Speichergröße ändern, müssen Sie auch die
Informationen in der immunisierten Partition aktualisieren. Hierzu
verwenden Sie einfach diese Option.
Für den sehr unwahrscheinlichen Fall, daß Ihr System nicht mehr korrekt
bootet, können Sie die Original-Partitionstabelle mit Hilfe der TbUtil-
Option 'restore' oder durch Verwenden des DOS-Befehls 'FDISK /MBR' (erst
ab DOS 5.0) wiederherstellen. Letzterer erstellt eine neue Partitionsta-
belle.
Arbeitet der neue Partitionscode hingegen einwandfrei, sollten
Sie diesen mit der TbUtil-Option 'store' auf Diskette sichern.
III - 52
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Startoptionen
In der Befehlszeile können Sie Startoptionen spezifizieren. Diese
können Sie als vollständiges Wort oder abgekürzt eingeben. Der
besseren Verständlichkeit wegen werden die Wörter im vorliegenden
Handbuch bevorzugt.
Option Parameter Abk. Erläuterung
---------- --------- ---- ---------------------------------------
immunize <Laufwerk> im = Immunisieren/Desinfizieren des
Boot-/Masterbootrecords von <Laufwerk>
store [<Dateiname>] st = Speichern der Systeminformation
restore [<Dateiname>] re = Wiederherstellen der Systeminformation
compare [<Dateiname>] co = Vergleichen der Systeminformation
Unteroption der Option 'Immunize':
norepeat nr = Keine weitere Diskette anfordern
Unteroption der Option 'Store':
description =<Beschr.> de = Beschreibung an Datendatei anfügen
Unteroption der Option 'Restore':
part pt = Wiederherstellen der Partitionstabelle
boot bo = Wiederherstellen des Bootsektors of HD???
cmos cm = Wiederherstellen des CMOS
Im folgenden werden diese Startoptionen kurz erläutert.
immunize diskette <drive> (im)
Mit dieser Option können Sie Disketten von Bootsektor-Viren befreien.
Sie können sie aber auch dazu verwenden, den Standard-Bootsektor einer
Diskette durch einen dem Original-Bootsektor überlegenen zu ersetzen:
- Er ist in der Lage Viren zu erkennen. Der Bootsektor prüft
selbst, ob er sich noch auf dem richtigen Platz auf der Diskette
befindet und daß der Interrupt 13h und/oder der 40h sich noch im
ROM befinden. Damit lassen sich sogar Tarnkappen-Viren aufspüren.
- Der TBAV-Bootsektor ist in der Lage, die Systemdateien zu laden
wenn sie auf der Diskette vorhanden sind. Befinden sich die DOS-
Systemdateien jedoch nicht auf der Diskette, öffnet der TBAV-
Bootsektor ein kleines Menü, das Ihnen zwei Auswahlmöglichkeiten
bietet: Sie können den Bootvorgang mit einer anderen Diskette
nochmal versuchen oder von der Festplatte booten. Entscheiden
Sie sich für letzteres, ist es nicht notwendig die Verriegelung
des Diskettenlaufwerks zu lösen.
Immunize c: (im c:)
'Immunize' ist eine sehr leistungsfähige Option. Sie kann zum
Desinfizieren einer virenbefallenen Partitionstabelle eingesetzt
werden, wenn keine TbUtil-Datendatei vorhanden ist. Zudem wird
der vorhandene Code der Partitionstabelle durch einen neuen ersetzt,
der Virenabwehr-Funktionen besitzt. Der Original-Partitionscode wird
in einer Datei gespeichert. Starten Sie TbUtil von einem Disketten-
laufwerk aus oder spezifizieren Sie den Dateinamen unter dem der
Original-Partitionscode gespeichert werden soll. Das angegebene Lauf-
werk sollte ein Diskettenlaufwerk sein.
III - 53
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Falls die Original-Partitionstabelle so zerstört ist, daß sie für
die Erstellung einer neuen unbrauchbar ist, sucht TbUtil im Stan-
dardlaufwerk nach Informationen über die ursprüngliche Diskbele-
gung. Es sucht sogar auf der Festplatte nach TbUtil-Datendateien.
Wir raten Ihnen jedoch dringend, diese Datendatei auf einer Diskette
zu speichern. Eine zusätzliche Kopie auf der Festplatte zu belassen,
ist eine gute Idee - für alle Fälle!
Wenn sich Ihre Systemkonfiguration ändert, d.h. wenn Sie Ihre DOS-
Version updaten oder die Speichergröße ändern, müssen Sie auch die
Informationen in der immunisierten Partition aktualisieren. Hierzu
verwenden Sie einfach diese Option. Für den sehr unwahrscheinlichen
Fall, daß Ihr System nicht mehr korrekt bootet, können Sie die Origi-
nal-Partitionstabelle mit Hilfe der TbUtil-Option 'restore' oder durch
Verwenden des DOS-Befehls 'FDISK /MBR' (erst ab DOS 5.0) wiederher-
stellen. Letzterer erstellt eine neue Partitionstabelle. Arbeitet der
neue Partitionscode hingegen einwandfrei, sollten Sie diesen mit der
TbUtil-Option 'store' auf Diskette sichern.
store [<Dateiname>] (st)
Diese Option speichert die Partitionstabelle, den Bootsektor und den
CMOS-Datenbereich in der TbUtil-Datendatei.
=>> Achtung! Da der PC für DOS absolut unzugänglich ist, wenn die Parti-
tionstabelle beschädigt wurde, RATEN wir Ihnen DRINGEND, sowohl die
TbUtil-Datendatei als auch das Programm TbUtil.Exe selbst, auf einer
Diskette abzuspeichern! Es ist nicht gerade schön, wenn die Partitions-
tabelle zerstört ist und die einzige Lösung für dieses Problems auf
derselben nichtzugänglichen Disk liegt...
Wenn Sie TbUtil von der Befehlszeile starten, müssen Sie hinter der
'store'-Option einen Dateinamen angeben. Erfolgt der Aufruf über das
TBAV-Menü, können Sie den voreingestellten Dateinamen 'TBUTIL.DAT' ver-
wenden. Falls Sie mehr als einen PC besitzen, ist es ratsam, eine
TbUtil-Diskette anzulegen, auf der sich die Datendateien aller Ihrer
PCs befinden. Setzen Sie dann die Dateinamens-Erweiterung zur Identi-
fizierung des jeweiligen PCs ein: z.B.: a:TbUtil.<Nummer>.
restore [<Dateiname>] (re)
Mit der Option 'restore' können Sie die Partitionstabelle, den Bootsek-
tor und den CMOS-Datenbereich wiederherstellen. Sie müssen bestätigen,
daß die vorhandene TbUtil-Datendatei zu eben diesem Rechner gehört. Zu-
letzt wird die Partitionstabelle, der Bootsektor jener Partition, die
zum Booten verwendet wird und der CMOS-Datenbereich wiederhergestellt.
compare [<Dateiname>] (co)
Mit dieser Option können Sie prüfen, ob noch alles in Ordnung ist.
Geben Sie diese Option an, vergleicht TbUtil die Informationen in der
TbUtil-Datendatei mit der Partitionstabelle, dem Bootsektor und dem
CMOS-Datenbereich. Zudem werden die Bemerkungen, die in der TbUtil-
Datendatei gespeichert sind, angezeigt. Zuguterletzt können Sie durch
Verwendung dieser Option sichergehn, daß Ihre TbUtil-Datendatei noch
lesbar ist.
III - 54
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
norepeat (nr)
Nachdem Sie eine Diskette immunisiert haben, fordert Sie TbUtil ge-
wöhnlich auf, eine weitere Diskette einzulegen. Mit der Option 'norepeat'
wird dies unterdrückt.
description <Beschreibung> (de)
Geben Sie eine sinnvolle Beschreibung des Rechners ein. Beispiels-
weise "AT 12MHz, 4MB, Raum 12, Herr Schmid". Sie müssen sich das
also NICHT zu merken, TbUtil zeigt es Ihnen an, wenn Sie die Option
'compare' oder 'restore' wählen. Damit können Sie eine TbUtil-
Datendatei problemlos dem richtigen Rechner zuordnen.
part (pt)
boot (bo)
cmos (cm)
Wenn Sie TbUtil mit der Option 'restore' aufrufen, wird automatisch
der Partitionscode, der Bootsektor und das CMOS wiederhergestellt.
Setzen Sie jedoch die Option 'restore' in Verbindung mit einer der
Optionen 'part', 'boot' oder 'cmos' ein, restauriert TbUtil nur den
so spezifizierten Teilbereich.
Beispiele:
TbUtil store
TbUtil st
TbUtil store A:TbUtil.Dat
TbUtil store A:TbUtil.Dat description = "Test-Rechner"
TbUtil compare A:TbUtil.Dat
TbUtil restore A:TbUtil.Dat part cmos
TbUtil immunize A:
Type A:TbUtil.Dat
Benutzung der Anti-Virus-Partition
Wenn Sie den Thunderbyte-Partitionscode installieren (mit 'TbUtil
immunize'), erscheinen beim Booten eines nicht-infizierten Systems
folgende Meldungen:
Thunderbyte anti-virus partition v5.00 (C) 1992 Thunderbyte BV.
Checking bootsector CRC -> OK!
Checking available RAM -> OK!
Checking INT 13h -> OK!
Befindet sich ein Virus im Bootsektor oder in der Partitionstabelle,
wird folgende Meldung ausgegeben:
Thunderbyte anti-virus partition v5.00 (C) 1992 Thunderbyte BV.
Checking bootsector CRC -> OK!
Checking available RAM -> Failed!
System might be infected. Continue? (N/Y)
III - 55
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Andere mögliche Meldungen sind "No system", was bedeutet, daß auf
dem Laufwerk keine aktive Partition vorhanden ist, und "Disk error",
was unterschiedliche Bedeutungen haben kann.
Verwenden der TbUtil-Diskette
Nehmen Sie eine neue Diskette und formatieren Sie diese so, daß Sie
bootfähig ist (z.B. mit dem DOS-Befehl 'format /s'). Kopieren Sie dann
die TbUtil-Dateien auf diese Diskette:
copy tbutil.* a:
Sie benötigen folgende TbUtil-Dateien:
tbutil.exe
tbutil.lng
Lösen von Problemen
Im Notfall, wenn beispielsweise die Partitionstabelle beschädigt oder
infiziert sein sollte, booten Sie von der TbUtil-Diskette. Danach
starten Sie TbUtil mit der Option 'immunize':
a:\tbutil immunize c:
6.2. StackMan
Der Zweck von StackMan
Haben Sie jemals erlebt, daß sich Ihr Computer plötzlich aufgehängt
hat? Haben Sie schon einmal zugesehen, wie ein Programm plötzlich mit
viel Piepsen irgendwelchen Unsinn auf dem Bildschirm angezeigt hat?
Haben Sie Ihren über Nacht arbeitenden Computer am nächsten Morgen
schon einmal abgestürzt vorgefunden, obwohl das gleiche Programm
tagsüber immer ohne Probleme gearbeitet hat? Haben Sie schon einmal
die Meldung "Stack overflow" oder "Stapelüberlauf" an Ihrem Bild-
schirm gesehen? Ist Ihr Computer schon einmal bei dem Versuch, ein
speicherresidentes Programm (TSR) zu starten, abgestürzt? Läuft Ihr
Computer nicht mehr zuverlässig, wenn Sie in der Datei config.sys die
Zeile "Stacks=0,0" eintragen? Funktionieren manche Programme nicht,
während bestimmte Hintergrundprogramme speicherresident geladen sind?
Wenn Sie alle diese Fragen mit "Nein" beantworten können, dann wird
Ihnen der Stack-Manager StackMan keinen Nutzen bringen. Wenn Ihnen jedoch
manchmal so etwas passiert, könnten "Stack overflows", also Stapel-Über-
läufe, die Ursache dafür sein. Oft können diese Probleme durch Einfügen
der Anweisung "Stacks=9,256" in der Datei config.sys beseitigt werden.
Manchmal aber nicht. Auf jeden Fall verbraucht die Anweisung "Stacks="
wertvollen Speicherplatz. Auch ist es schwer, die richtigen Zahlenwerte
zu finden. In den meisten Anleitungen ist die Verwendung dieses Befehls
nicht sehr gut erklärt, weshalb nur wenige Computerbenutzer seinen Zweck
und seine Anwendung verstehen.
III - 56
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Was ist ein Stack?
Ein Stack ist ein Pufferspeicher, den manche Programme verwenden, und
der Prozessor selbst speichert kurzzeitig Daten in ihm ab. Die Daten
werden dabei wie auf einem Stapel aufeinander abgelegt und in umge-
kehrter Reihenfolge wieder heruntergeholt. Alle Programme richten
sich ihren eigenen Stapelspeicher ein, wenn sie ausgeführt werden.
Speicherresidente Hintergrundprogramme müssen den Stack des jeweiligen
Vordergrundprogrammes mitbenutzen. Immer wenn Sie eine Taste drücken,
löst der Tastaturprozessor einen Interrupt, eine Unterbrechung des
Hauptprozessors aus, um den Tastendruck an ihn weiterzuleiten. Bei
jedem Uhrtick wird der Prozessor unterbrochen, um die Systemuhr weiter-
zustellen. Für jeden solchen Interrupt wird etwas Platz des Stapel-
speichers benötigt.
Wie kommt es zu Fehlern?
Manchmal erreicht eine Tastaturunterbrechung, ein Uhrtick und vielleicht
noch ein Interrupt fast gleichzeitig den Haupt-Prozessor. Dies passiert
nicht oft, aber wenn das passiert, benötigen alle diese Ereignisse
gleichzeitig etwas Speicherplatz. Läuft der Stapel dann über, hängt sich
der Computer auf. Und wie Sie sich denken können, ist dieses zufällige
Aufeinandertreffen von Ereignissen schwer zu reproduzieren...
Obwohl es empfehlenswert ist, einem Programm genügend Stapelspeicher zur
Verfügung zu stellen, machen viele Programmierer den Stack vor allem
bei Programmen, die speicherresident sein sollen, sehr klein, um
Speicherplatz zu sparen. Natürlich können speicherresidente Programme
einen eigenen temporären Stack einrichten, sobald sie aktiviert werden,
aber bevor sie dies tun können, benötigen sie für ihren eigenen Aufruf
selbst etwas Platz auf dem Stapelspeicher des im Vordergrund laufenden
Programmes. Die Stacks der speicherresidenten Programme sind aus ver-
ständlichen Gründen auch oft sehr klein. Wenn Sie mehrere speicher-
residente und/oder im Hintergrund laufende Programme geladen haben, kann
der Stack in manchen Fällen zu klein sein.
Um diese Probleme zu verhindern, kann DOS einen Vorrat an Stapel-
speichern bereitstellen, um einen davon zu verwenden, wenn ein Hard-
ware-Interrupt ausgelöst wird. Mit der Angabe von Stacks in der Datei
config.sys können Anzahl und Größe dieser Stacks kontrolliert werden.
Die DOS-Stacks haben jedoch einige Nachteile, weshalb das Programm
StackMan entwickelt wurde.
StackMan besitzt die gleiche Funktionalität wie der DOS-Befehl "stacks",
bietet aber außerdem folgende Vorzüge:
Wenn Sie DOS 5.0 oder eine spätere Version einsetzen, kann StackMan in
den hohen Speicherbereich und/oder in die HMA geladen werden. DOS hinge-
gen verwendet immer einen Teil des konventionellen Speicherbereichs. Mit
StackMan können sie 1.5KByte Speicher einsparen.
Die Parameter von StackMan sind flexibler. Sie können auch nur einen
III - 57
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Stack-Bereich verwenden, wenn dies ausreicht. Das Minimum bei DOS
sind acht.
StackMan kann geladen werden, nachdem Ihre speicherresidenten Programme
geladen wurden. Dies führt dazu, daß die residenten Programme die Stapel-
speicher verwendet, die StackMan zur Verfügung stellt. Die DOS-Stacks
sind dagegen nur für die DOS- und BIOS-Funktionen verfügbar. Speicherre-
sidente Programme verwenden den Stack des im Vordergrund laufenden Pro-
grammes, und wenn das Probleme verursacht, kann der DOS-Befehl stacks
nicht helfen.
Der DOS-Befehl stacks bietet dem Benutzer eine Art Roulett: Der einzige
Weg um die richtigen Zahlenwerte für die Parameter zu finden, ist der
Weg von Versuch und Irrtum. StackMan dagegen kann einen Bericht anzeigen,
mit dem es einfach ist, die nötige Anzahl und Größe an Stapelspeichern
für Ihr spezielles System zu finden. Es ist kein Problem, die Stacks
genau für Ihre System-Konfiguration zu optimieren.
Manchmal scheinen die DOS-Stacks zu verschwinden. Auch wenn dies durch
einen Fehler in einem der speicherresidenten Programme oder im Vorder-
grundprogramm verursacht wurde, so ist die DOS-Meldung "Stapelüberlauf.
Ihr System wurde angehalten" sehr unerfreulich. Dieser Fehler tritt näm-
lich nicht sofort auf, sondern erst kurz nachdem das fehlerhafte Programm
den Stapelspeicher zerstört hat. StackMan dagegen bemerkt die Zerstörung
des Stacks und rekonstruiert ihn, ohne das laufende Programm abzubrechen.
Auch wenn StackMan als Ersatz für den DOS-Befehl 'stacks' verwendet
werden kann, hat es folgende zusätzliche Vorteile:
In manchen Fällen können die speicherresidenten Programme zur Verwaltung
des Interrupts 21h den zur Verfügung stehenden Stapelspeicherplatz über-
fordern, vor allem wenn Sie ein Programm verwenden, das einen zu kleinen
Stack eingerichtet hat, wie es bei einigen populären Swap-Programmen vor-
kommt. Diese Programme mögen sich auf dem Computer des Programmentwick-
lers fehlerfrei gezeigt haben, trotzdem können viele andere Benutzer Pro-
bleme damit bekommen. StackMan kann eingesetzt werden, um jederzeit für
DOS einen normalen Stack zur Verfügung zu haben.
Um sicher zu sein, müßten alle speicherresidenten Programme einen eigenen
Stack einrichten, aber das würde bedeuten, daß jedes von ihnen nur dafür
etwas mehr Speicher belegen würde. Wenn nur 1% aller Benutzer diesen
Stack benötigt, und alle anderen Computer ohne diesen Stack funktionie-
ren, wäre es nicht besonders sinnvoll, in allen Fällen jedem Programm ei-
nen eigenen Stack zur Verfügung zu stellen.
StackMan wurde dafür entwickelt, Stack-Anforderungen von TSR-Programmen
zu verwalten und diese Probleme zu lösen. Viele speicherresidente Pro-
gramme können die von StackMan bereitgestellten Stacks gemeinsam verwen-
den. Der Stack steht zur Verfügung, wenn ein speicherresidente Programm
aktiviert wird, und wird wieder gelöscht, wenn das Programm die Kontrolle
über das System wieder abgibt. Das spart natürlich Speicherplatz...
Benutzung von StackMan
Vor der Benutzung von StackMan wird empfohlen, die Anweisung "Stacks=0,0"
in die Datei config.sys aufzunehmen. Andere Zahlenwerte (oder etwa die
III - 58
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Standardwerte) zu verwenden, führt nur dazu, daß DOS wertvollen Speicher-
platz verschwendet.
Die Syntax für den Aufruf von StackMan ist:
StackMan [[=] <Stack-Anzahl>,<Stack-Größe>] [<Optionen...>]
Der beste Platz für den Aufruf von StackMan ist am Ende der Datei
autoexec.bat. Auf diese Weise verwenden die speicherresidenten Pro-
gramme automatisch die von StackMan zur Verfügung gestellten Stacks.
Falls erwünscht, kann StackMan in den hohen Speicherbereich geladen
werden (loadhigh, ab DOS Version 5.0). Zum ersten Ausprobieren wird
die Verwendung sehr großer Zahlenwerte empfohlen, wie etwa:
StackMan = 18,384
Nun verwenden Sie Ihren Computer wie gewöhnlich und probieren, ob
bisherige Probleme vermieden werden können. Verwenden Sie alle speicher-
residenten Programme die Sie haben, aktivieren Sie möglichst viele davon
gleichzeitig. Verwenden Sie beispielsweise Ihr Modem, Ihre Maus usw.
Es ist nicht erforderlich, große Programme auszuführen, da diese ihren
eigenen großen Stack haben, und damit die Ergebnisse von StackMan nicht
beeinflussen.
Rufen Sie StackMan noch einmal auf. Sie sehen eine Meldung wie diese:
┌─────────────────────────────────────────────────────────────┐
│ │
│ StackMan already installed, with 18 stacks of 384 bytes. │
│ Maximum stacks/space ever used: 6 stacks of 112 bytes. │
│ │
└─────────────────────────────────────────────────────────────┘
Sie können nun die Zahlenwerte hinter dem ersten Aufruf von StackMan
verringern. Sie sollten dabei ein wenig Spielraum nach oben einberechnen.
Besondere Vorkommnisse sind schwer zu wiederholen. In dem oben gezeigten
Beispiel wurden 6 Stacks einer maximalen Größe von 112 Bytes festge-
stellt. Zuverlässig wäre in diesem Fall beispielsweise "StackMan=8,192".
Wenn der erste von StackMan gemeldete Wert kleiner oder gleich 3 ist, und
der zweite Wert nicht über 48 hinausgeht, können Sie Ihren Computer ganz
ohne StackMan benutzen. In anderen Fällen können unwahrscheinliche Vor-
kommnisse Ihren Computer abstürzen lassen und Sie sollten StackMan ver-
wenden, um auch selten auftretende Probleme zu verhindern.
Ab und zu ist es empfehlenswert, die Ausgabe von StackMan auzuschauen,
um die Einstellungen zu optimieren und wachsenden Anforderungen an Stacks
Ihres Systems zuvorzukommen.
Wenn auch weiterhin einige der Probleme bestehen bleiben, können Sie ver-
suchen, ob die Option -dos Ihnen weiterhelfen kann. Geben Sie folgende
Befehlszeile ein, nachdem Sie den Computer neu gestartet haben:
StackMan = 18,384 -dos -noirq
Die Meldung von StackMan muß nun anders betrachtet werden: Der erste
III - 59
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL III
Wert zeigt immer die maximal zur Verfügung stehende Stack-Anzahl an, nur
der zweite Wert, wieviel Platz die Stacks verbraucht haben, ist zuver-
lässig. Wenn dieser Wert 48 überschreitet, sollten Sie erwägen, die
Option -dos von StackMan zu verwenden.
Wenn der erste Test zeigt, daß Sie StackMan auf jeden Fall verwenden
müssen, sollten Sie die Option -noirq entfernen. Wenn nur DOS StackMan
braucht, können Sie ihn beibehalten. Bei der Verwendung der Option -dos
sollten zwei Stacks mehr eingerichtet werden, als Sie beim ersten Test
ermittelt haben.
Startoptionen
Folgende Optionen können verwendet werden:
-help
Diese Option zeigt einen kleinen Hilfetext am Bildschirm.
-dos
Diese Option bewirkt, daß StackMan vor dem Aufruf von DOS einen
frischen Stack bereitstellt. Dies kann Probleme verhindern, vor
allem, wenn diese beim Starten oder Beenden von Programmen oder in
Verbindung mit Shell-Programmen auftreten.
-noirq
Wenn Sie diese Option verwenden, so schaltet StackMan den Stack
nicht um, wenn ein Interrupt auftritt. StackMan unterstützt dann
nur noch die Option -dos und die gemeinsame Verwendung der Stacks
von speicherresidenten Programmen, die für die Zusammenarbeit mit
StackMan programmiert wurden.
-hma
Diese Option steht nur zur Verfügung, wenn DOS 5.0 oder eine
spätere Version verwendet wird und DOS in die HMA geladen wird.
(Dies wird mit der Anweisung "dos=high" in der Datei config.sys
erreicht.) Die Option -hma kann nicht in Verbindung mit der
Option -dos eingesetzt werden. StackMan wird mit der Option -hma
angewiesen, die Stacks in dem von DOS nicht belegten Teil der HMA
unterzubringen. Obwohl dies konventionellen Speicher spart,
sollten Sie sehr gründlich Überprüfen, ob Ihr System diese Ver-
wendung der HMA von StackMan erlaubt.
III - 60
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
KAPITEL IV. INFORMATIONEN FÜR FORTGESCHRITTENE ANWENDER
1. Speicheranforderungen
Benötigter freier Speicherplatz:
mind. mind.
zum nach der
Laden: Ausführung
TbScan 200 Kb
TbScanX 10 Kb 800 bytes
TbCheck 4 Kb 600 bytes
TbUtil 64 Kb
TbClean 96 Kb
TbMem 4 Kb 600 bytes
TbFile 5 Kb 2 Kb
TbDisk 4 Kb 800 bytes
TbDriver 5 Kb 3 Kb
TbGarble 4 Kb 600 bytes
Sollten Sie sich für den Gebrauch einer Protokolldatei entscheiden, benö-
tigt TbScan zusätzlich 16 KB Speicherplatz für den Protokolldatei-Puffer.
Wenn TbScan sein eigenes Dateisystem benutzt, benötigt es weiteren Spei-
cherplatz, um die Dateizuordnungstabelle im Speicher zu verwalten.
=> Beachten Sie, daß der Speicherplatzbedarf unabhängig von der Anzahl der
Signaturen ist. Ohne die derzeit benötigte Speichermenge erhöhen zu müs-
sen, könnten mindestenes 2500 Signaturen verwaltet werden.
Der von TbScanX benötigte Speicherplatz hängt von der Anzahl der Sig-
naturen ab. Werden alle Fähigkeiten von TbScanX aktiviert benötigt es
30 Kbyte um nach 1000 Familien-Signaturen zu suchen. Wenn Sie das Aus-
lagern wählen, benötigt TbScanx nur 1 Kbyte Speicher. Auslagerung ist
sowohl in den EMS- als auch den XMS-Speicher möglich. Das verbleibende
1 Kbyte kann natürlich in den Hohen Speicher geladen werden.
Bei der heuristischen Virenbeseitigung benötigt TbClean viel mehr Spei-
cher, abhängig von der Größe der infizierten Datei. TbClean kann eben-
falls Expanded Memory (EMS) nutzen.
Reduzierung des Speicherbedarfs
Die meisten PC-Benutzer versuchen, soviel freien DOS-Speicherplatz wie
möglich zu behalten. Die speicherresidenten TBAV-Utilities (TbScanX,
TbCheck, TbMem, TbFile, TbDisk und TbDriver) sind so programmiert, daß
nur ein Mindestmaß an Speicherplatz belegt wird. Um den Speicherbedarf
noch weiter einzuschränken, können Sie folgendes versuchen:
IV - 1
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Laden Sie das Programm von der Config.Sys aus. Als Gerätetreiber mit
"device=" geladen, hat das Programm kein Program Segment Prefix (PSP),
wodurch Sie bei jedem TBAV-Utility 256 Byte sparen.
Werden die TBAV-Utilities in der Autoexec.Bat aufgerufen, sollte dies
vor der Definition der Umgebungsvariablen geschehen. DOS legt für jedes
speicherresidente Programm eine Liste der Umgebungsvariablen an.
Werden die Umgebungsvariablen nach dem Aufruf der speicherresidenten
Programme definiert, wird kein weiterer Speicherplatz belegt.
Benutzen Sie die Speicherauslagerung
Durch Verwendung einer der Optionen 'ems' oder 'xms' kann TbScanX sich
selbst außerhalb des konventionellen Hauptspeichers installieren, so daß
nur 1 KByte an Programmcode im DOS-Speicher verbleibt. Das Auslagern in
den EMS-Speicher ist vorzuziehen.
Wenn Sie DOS 5.0 oder eine neuere Version verwenden, so versuchen Sie,
TbScanX in den hohen Speicherbereich (UMB) zu laden. Verwenden Sie hier-
zu "loadhigh" in der autoexec.bat oder "devicehigh" in der config.sys.
Um den Speicherbedarf im hohen Speicherbereich einzuschränken, ist es
empfehlenswert, das Auslagern zu verwenden.
Verwenden Sie die Prozessor-spezifische Version des jeweiligen TBAV-
Utilities. Diese speziellen Versionen verwenden alle weniger Speicher-
platz als die allgemeinen Versionen. Die für bestimmte Prozessoren opti-
mierten Versionen sind in den von Thunderbyte unterstützten Mailboxen
erhältlich.
IV - 2
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
2. TbSetup
2.1. Hinweise zur Gestalt der Anti-Vir.Dat-Dateien
Die Anti-Vir.Dat-Dateien befinden sich immer in demselben Verzeichnis wie
die Programmdateien. Folglich befindet sich in jedem Verzeichnis Ihres
Systems, das ausführbare Dateien enthält, eine eigene Anti-Vir.Dat-Datei.
Einige der anderen Anti-Viren-Programme verfügen dagegen über eine ver-
gleichbare Liste aller ausführbaren Dateien, die eine Art von 'Fingerab-
drücken' der Dateien enthält. Diese 'Fingerabdrücke' befinden sich in
einer einzigen, großen Datei, nicht in einzelnen kleinen Dateien in jedem
Verzeichnis. Wir haben uns aus folgenden Gründen für Einzeldateien in ver-
schiedenen Verzeichnissen entschieden:
Eine Datei pro Verzeichnis ist leicht zu verwalten. Wollen Sie ein
komplettes Produkt löschen, kann die dazugehörige Anti-Vir.Dat-Datei
ebenfalls gelöscht werden.
Die Informationsdatei benötigt weniger Platz, da die Pfadinformation
nicht gespeichert werden muß.
Die TBAV-Utilities arbeiten schneller, da sie nicht in einer großen
Datei nach Informationen über eine bestimmte Datei suchen müssen.
Die Installation in Netzwerkumgebungen ist einfacher und zuverlässiger.
In Netzwerken ist es nicht ungewöhnlich, daß die gleichen Dateien an ver-
schiedenen Arbeitsplätzen unterschiedlichen Laufwerksbezeichnungen zuge-
ordnet sind. TBAV muß nicht unter diesem Problem leiden. In einer einzi-
gen Informationsdatei, die das gesamte System abdeckt, müssen die Lauf-
werksbezeichnungen ebenfalls gespeichert werden. Daher müßte jeder Ar-
beitsplatzcomputer seine eigene Liste verwalten, und der Systembetreuer
würde die Kontrolle verlieren.
2.2. Format der TbSetup.Dat
Das Editieren der TbSetup.Dat-Datei ist für eine Anlagen-spezifische In-
stallation von TBAV sehr hilfreich (siehe IV-5). Daher sind einige Infor-
mationen zum Format dieser Datei notwendig. Die TbSetup.Dat-Datei ist
sehr einfach aufgebaut. Jede Zeile, die mit einem Semikolon (`;`) oder
einem Prozentzeichen (`%`) beginnt oder die leer ist, wird als Kommentar-
zeile behandelt. Die Dateien, die mit einem Prozentzeichen beginnen, wer-
den von TbSetup im unteren Fenster auf dem Bildschirm angezeigt.
Jeder Eintrag in der TbSetup.Dat Datei besteht aus vier Punkten:
Der Dateiname. Er sollte in Großbuchstaben geschrieben sein und keine
Leerstellen enthalten.
Die Dateilänge im Hexadezimalsystem. Dieses Feld kann einen Platzhalter
(`*`) enthalten, wenn keine exakte Dateilängenüberprüfung erforderlich
ist.
IV - 3
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Die 32-Bit-CRC-Prüfsumme der Datei im Hexadezimalsystem. Auch dieses
Feld kann einen Platzhalter (`*`) beinhalten, wenn keine exakte Prüf-
summenüberprüfung erforderlich ist.
Die Hexadezimalzahl, die die Flags darstellt, die gesetzt werden
sollen, wenn die Datei im System gefunden wird.
Alle weiteren Zeilen stehen für Kommentare zu Verfügung:
Folgende Flags (Markierungen) sind möglich:
Bit 0: (0001) Die heuristische Analyse wird nicht durchgeführt.
Bit 1: (0002) CRC-Veränderungen ignorieren (selbstmodifizierend)
Bit 2: (0004) Prüfe alle Signaturen (LAN-Bootdatei-Abbilder)
Bit 3: (0008) Read-Only-Attribut darf nicht verändert werden
Bit 4: (0010) Das Programm wird speicherresident geladen
Bit 5: (0020) Das Programm verwendet direkte Laufwerkszugriffe
Bit 6: (0040) Das Programm darf Read-Only-Attribute löschen
Bit 15: (8000) Ein erneutes Interrupt-Einhaken von TbDriver ist
notwendig
So können die Einträge in der TbSetup.Dat aussehen:
; Dateiname Länge 32-Bit CRC Flags Kommentare
; Dateien, die den heuristischen Alarm von TbScan auslösen
4DOS.COM 19FEA * 0001 ;4Dos 4.0a
AFD.COM 0FEFE 4B351A86 0001 ;AFD Debugger
ARGV0FIX.COM 001D8 431E70C0 0001 ;Argv[0]fix
EXE2COM.EXE 00BEA 49276F89 0001 ;Exe zu Com Konvertierungsutility
KILL.EXE 00632 74D41811 0001 ;PcTools 6.0 Utility
WATCH.COM 003E1 2353625D 0001 ;TSR-Überwachungs-Utility
; Dateien, die vollständig gescannt werden müssen, auf ALLE Viren:
NET$DOS.SYS * * 0004 ;Abbild der Novell-Boot-Diskette
; Dateien ohne definierte Prüfsumme, selbstkonfigurierende Programme:
Q.EXE * * 000A ;Qedit (alle Versions)
TBCONFIG.COM * * 000A ;alle Versionen
Neue Einträge vornehmen
Wenn Sie Dateien besitzen, die in die Liste aufgenommen werden sollen, so
informieren Sie uns bitte darüber! Wir hätten gerne eine Kopie dieser
Dateien, um unsere Produkte ständig an die aktuellen Erfordernisse an-
passen zu können. Sollten Sie auf ein Programm stoßen, daß den Alarm der
heuristischen Analyse von TbScan auslöst, so könnte dies bereits ein Hin-
weis auf eine solche Datei sein. Haben Sie die Option "V)alidate Program"
im Alarmfenster von TbScan verwendet, wird TbSetup beim nächsten Mal den
Wert `0001` als Flag anzeigen. Wenn Sie in einer Firma beschäftigt sind,
in der auf mehreren Rechnern mehrere dieser Dateien installiert sind,
können Sie sie in die TbSetup.Dat-Datei eintragen. Dazu starten Sie
TbSetup und notieren sich die Dateilänge und 32-Bit-CRC-Prüfsumme, die
am Bildschirm angezeigt wird. Fügen Sie die Werte in ihre Felder hinter
IV - 4
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
dem dazugehörenden Dateinamen in die TbSetup.Dat-Datei ein. Fügen Sie
nun den Flag-Wert hinzu und starten Sie TbSetup noch einmal, um heraus-
zufinden, ob das Programm die Dateien nun richtig erkennt.
=> Beachten Sie: Wollen Sie ein Flag von Hand setzen oder löschen, so kön-
nen Sie dies von der DOS-Befehlszeile aus tun, indem Sie die Optionen
`set` bzw. `reset` verwenden:
TbSetup TEST.EXE SET=0001
2.3. TBAV-Installation auf mehreren Rechnern
Sollten Sie TBAV auf vielen Rechnern innerhalb einer Firma zu instal-
lieren haben, wäre es ermüdend, müßten Sie beispielsweise jedes einzel-
ne TSR und jedes Disk-Utility auf jeder Maschine extra aufrufen, um
TBAV beizubringen, welche Programme zulässig sind und welche nicht.
Glücklicherweise ist dies nicht erforderlich. In diesem Abschnitt wer-
den drei Beispiele präsentiert, die Ihnen zeigen, wie Sie die Instal-
lation auf mehreren Rechnern vereinfachen können.
1. Soll ein speicherresidentes Programm mit dem Namen TSRUTIL.EXE überall
in der Firma benutzt werden soll, verwenden Sie TbSetup, um die Datei-
länge und die Prüfsumme (CRC) festzulegen. Nun können Sie den Namen
des Programms mit den anderen Informationen in die Datei TbSetup.Dat
eintragen, erweitert um den Wert '0010'.
Beispiel:
TSRUTIL.EXE 01286 E387AB21 0010 ;Unser TSR-Utility
2. Wenn beispielsweise ein Programm mit dem Namen DISKUTIL.EXE
überall in der Firma installiert werden soll, verwenden Sie TbSetup,
um die Dateilänge und die Prüfsumme (CRC) festzulegen. Nun können Sie
den Namen des Programms mit den anderen Informationen in die Datei
TbSetup.Dat eintragen, erweitert um den Wert '0020'.
Beispiel:
DISKUTIL.EXE 01286 E387AB21 0020 ;Unser DISK-Programm
Wenn Sie jetzt TbSetup auf jedem Rechner ausführen (was Sie sowieso tun
müssen), wird es das Utility erkennen und für dieses das entsprechende
Flag für 'direkte Laufwerkszugriffe' setzen, so daß TbMem / TbDisk dies
beim nächsten Aufruf des entsprechenden Programms erkenne und keinen
Fehlalarm mehr auslösen.
3. Wenn ein Utility, das z.B. den Namen UTIL.EXE trägt, im ganzen Be-
trieb eingesetzt wird, und dieses Programm TbScan zu einer Falsch-
anzeige veranlaßt, können Sie TbSetup vorgeben, die heuristische
Analyse für dieses Programm zu unterlassen. Tragen Sie den Namen
dieses Programms zusammen mit den anderen Informationen in die Datei
TbSetup.Dat ein, erweitert um den Wert '0001'
IV - 5
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Beispiel:
UTIL.EXE 01286 E387AB21 0001 ;Unser utility
Wenn Sie jetzt TbSetup auf jedem Rechner ausführen (was Sie sowieso tun
müssen), wird es das Utility erkennen, und TbScan wird dieses nicht mehr
der heuristischen Analyse unterziehen.
Sehen Sie hierzu auch in der TbSetup.Dat-Datei nach.
IV - 6
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
3. TbScan
3.1. Die heuristische Suche
TbScan bietet mehr als ein einfacher Signaturen-Scanner. TbScan dis-
assembliert die Datei während der Überprüfung. Das hat folgende drei
Vorteile:
1) Durch das Disassemblieren der Datei, also das Zurückübersetzen der
Programmdatei in ihre Programmierbefehle, kann der Scanner die Stellen
der Datei herausfinden, an denen sich ein Virus befinden könnte. Damit
kann die Wahrscheinlichkeit von Fehlalarmen reduziert und die Ge-
schwindigkeit erhöht werden.
2) Es wird eine Algorithmendetektion möglich, mit der auch Viren gefunden
werden können, die sich selbst verschlüsseln, und deren Signaturen dem
Scanner ansonsten verborgen blieben.
3) Es wird möglich, verdächtige Instruktionsabfolgen im Programmcode zu
entdecken.
Das Verfahren, mit dem verdächtige Instruktionssequenzen gefunden werden
können, wird als 'heuristische Suche' bezeichnet. Es ist ein ausgespro-
chen leistungsfähiges Verfahren, mit dessen Hilfe Sie neue oder modifi-
zierte Viren entdecken und die Ergebnisse der Signaturenüberprüfung
bestätigen können. Damit müssen Sie sich nicht darauf verlassen, daß der
Händler Ihres Virenscanners den Virus kennt, den Sie vielleicht haben.
Normalerweise kann ein Scanner Viren nur dann entdecken, wenn der Her-
steller eine Exemplar des Virus besitzt, um eine entsprechende Signatur
erstellen zu können. Mit der heuristischen Suche sind Signaturen nicht
nötig, denn der Scanner entdeckt auch die Viren, die dem Hersteller nicht
bekannt waren. Sie sollten die Bedeutung der heuristischen Suche nicht
unterschätzen, da jeden Monat mindestens 50 neue Viren auftauchen. Und
es ist es mehr als unwahrscheinlich, daß gerade die Hersteller von
Virenscannern die ersten sind, die diese neuen Viren erhalten ...
Heuristische Suche Stufe 1 Heuristische Suche Stufe 2
------------------------------- ----------------------------
Immer eingeschaltet Nur mit Option 'heuristic'
oder nach Entdecken eines
Virus.
Entdeckt 50% unbekannter Viren Entdeckt 90% aller Viren
Erzeugt fast nie falschen Alarm Erzeugt wenige falsche Alarme
Anzeige: 'wahrscheinlich infiziert' Anzeige: 'möglicherweise infiziert '
TEST.EXE <scanning...> OK (keine Abkürzugen)
TEST.EXE <scanning...> R OK (nichts Wichtiges)
TEST.EXE <scanning...> FRM
möglicherweise infiziert von
einem unbekannten Virus (erreicht Stufe 2)
TEST.EXE <scanning...> FRALM#
wahrscheinlich infiziert von
einem unbekannten Virus (erreicht Stufe 1)
Wie wird bei der heuristischen Suche nun tatsächlich vorgegangen? Jedes
IV - 7
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Programm enthält Befehle für den Prozessor Ihres PCs. Indem TbScan den
Inhalt der Dateien untersucht und sie interpretiert, kann das Programm
den Zweck der Instruktionen erkennen. Sollte der Zweck der Programm-
anweisungen darin bestehen, Disketten zu formatieren oder Dateien zu
infizieren, so wird TbScan eine Warnung ausgeben. Es gibt einige Instruk-
tionsabfolgen, die für Viren ausgesprochen typisch sind, aber in normalen
Programmen sehr unüblich sind. Jeder verdächtigen Instruktionsabfolge
wird ein Buchstabe zugeordnet: eine Abkürzung für das Ergebnis der heu-
ristischen Suche. Diesen Ergebnissen sind Zahlenwerte zugeordnet, die
aufsummiert werden. Sobald die Gesamtzahl eine bestimmte Grenze über-
schreitet, geht TbScan davon aus, daß die Datei einen Virus enthält.
Es gibt zwei verschiedene Grenzwerte: Die erste ist relativ niedrig ange-
setzt und kann daher auch von ganz normalen Programmen relativ schnell
erreicht werden. Sobald diese Grenze erreicht ist, hebt TbScan die am
Bildschirm angezeigten abgekürzten Meldungen der heuristischen Analyse
hervor und erhöht den Zähler der 'suspected items' (verdächtige Einträ-
ge). Wenn Sie die Option 'heuristic' nicht angegeben haben, meldet TbScan
jedoch keinen Virus. Haben Sie die Option 'heuristic' angegeben, er-
scheint die Meldung: 'möglicherweise infiziert von einem unbekannten
Virus'.
Die zweite Grenze wird von vielen Viren erreicht, aber nicht von
normalen Programmen. Sobald diese Grenze erreicht wird, gibt TbScan die
folgende Meldung aus: 'wahrscheinlich infiziert von einem unbekannten
Virus'.
=> Beachten Sie: Da TbScan die heuristische Analyse nur in der Nähe der Ein-
sprungstelle einer Datei durchführt, bemerkt das Programm nicht, daß man-
che Disketten- und Festplattenutilities direkt auf den Datenträger
schreiben und daß manche Programme TSR-Programme sind. Dies ist das Er-
gebnis unserer Bemühungen, mögliche Fehlalarme zu vermeiden. Im Falle
eines Virus befinden sich die schädliches bewirkenden Instruktionen immer
in der Nähe der Einsprungstelle (ausgenommen, ein Virus ist größer als
10 KByte), so daß TbScan die verdächtigen Befehle normalerweise findet.
3.2. Integritätsprüfung
Während des Scanvorgangs führt TbScan zusätzlich eine Integritätsprüfung
durch. Rufen Sie TbSetup auf, um die Anti-Vir.Dat-Dateien zu erzeugen.
Wenn diese Dateien in den Verzeichnissen Ihres Systems existieren,
kontrolliert TbScan, ob die Informationen jeder gescannten Datei mit den
in der Anti-Vir.Dat-Datei gespeicherten Informationen übereinstimmen.
Durch eine Vireninfektion verändert sich eine Datei, und die gespeicherte
Information stimmt nicht mehr mit der veränderten Datei überein. TbScan
meldet dies. Es gibt keine Startoption, die diese Integritätsprüfung
einschaltet: Wenn TbScan eine Anti-Vir.Dat-Datei findet, so wird die
Integritätsprüfung automatisch durchgeführt. TbScan zeigt nur Meldungen
an, die auf eine Vireninfektion hinweisen. Programme, die ihre
Konfiguration in der Programmdatei selbst speichern, werden normalerweise
nicht gemeldet. Wenn eine Datei jedoch von einem Virus befallen wurde,
egal ob dieser bekannt oder unbekannt ist, werden dadurch lebenswichtige
Teile der Datei verändert, und TbScan meldet Ihnen das zuverlässig!
IV - 8
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Dennoch ist es möglich, daß sich die überprüfte Datei selbständig oder
aus anderen Gründen regelmäßig verändert. In diesem Fall können Sie das
Programm von einer Integritätsprüfung ausschließen, um zukünftige Fehl-
alarme zu vermeiden. Dazu bietet Ihnen TbScan eine zusätzliche Menüoption
an: 'V)alidation program' (Programm zulassen). Um weitere Informationen
über diese Menüoption zu erhalten, lesen Sie bitte Seite 9 dieses Kapi-
tels 'Programme zulassen' nach.
3.3. Programme zulassen
Sie brauchen dieses Kapitel nur dann, wenn Sie mit TbSetup Anti-Vir.Dat-
Dateien angelegt haben. Ohne diese Dateien ist das Zulassen von Dateien
als Option nicht verfügbar.
Mit den meisten Programmen arbeitet TbScan erwartungsgemäß. Trotzdem gibt
es einige Programme, die zur Vermeidung von Fehlalarmen eine besondere Be-
handlung erfordern. Die meisten dieser Programme werden von TbSetup auto-
matisch erkannt. Möglicherweise haben Sie aber einige Programm-Dateien
auf Ihrem System, die den heuristischen Alarm von TbScan auslösen
und/oder die sich regelmäßig verändern.
Sollte eine Infektion alleine aufgrund der heuristische Analyse oder der
Integritätsprüfung gemeldet werden, und eine Anti-Vir.Dat-Datei verfügbar
sein, so bietet Ihnen TbScan im Virus-Alarmfenster eine zusätzliche Option
an:
'V)alidate program'
Sollten Sie davon überzeugt sein, daß das angezeigte Programm tatsächlich
keinen Virus enthält, können Sie durch Drücken der Taste 'V' in der Anti-
Vir.Dat-Datei die Information ablegen, daß die Datei in Zukunft zuge-
lassen ist. In Zukunft wird die Datei dann nicht mehr mit einem Fehlalarm
gemeldet.
Es gibt zwei Möglichkeiten, ein Programm für zulässig zu erklären:
bezieht sich der TbScan Virenalarm auf eine Dateiveränderung, bezieht
sich auch die Zulassung nur auf künftige Dateiveränderungen; bezieht sich
der Virenalarm auf die heuristische Analyse, bezieht sich auch die
Zulassung nur auf die Ergebnisse der heuristischen Analyse. Ist die Datei
von der heuristischen Analyse ausgeschlossen, so wird ihre Prüfsumme
immer noch analysiert; ist die Datei von der Integritätsprüfung ausge-
schlossen, wird TbScan noch immer eine heuristische Analyse durchführen.
=> Wichtig: Haben Sie eine Datei ersetzt (z. B. durch eine neue Version,
Software-Update, -Upgrade) ohne TbSetup erneut zu verwenden, wird TbScan
Sie im Viren-Alarmfenster über die Dateiveränderung informieren. Wählen
Sie in diesem Fall NIEMALS die Option für die Zulassung des Programms,
denn dann wäre die Datei von jeder künftigen Integritätsprüfung ausge-
schlossen. Sie brechen TbScan besser ab und starten TbSetup für die ver-
änderten Dateien.
3.4. Die Algorithmen
Sobald TbScan mit der Überprüfung einer Datei beginnt, erscheinen an
IV - 9
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Ihrem Bildschirm hinter dem Dateinamen Meldungen wie 'Looking' (suchen),
'Checking' (prüfen), 'Tracing' (verfolgen), 'Scanning' (scannen) oder
'Skipping' (übergehen).
'Looking' (suchen)
'Looking' bedeutet, daß TbScan die Programmeinsprungstelle in einem
Schritt erfolgreich lokalisieren konnte. Der Programmcode konnte erkannt
werden, so daß TbScan ohne zusätzliche Analyse weiß, wo es suchen muß.
'Looking' wird bei den meisten Dateien verwendet werden, die zu bekann-
ter Software gehören.
'Checking' (prüfen)
'Checking' bedeutet, daß TbScan die Programmeinsprungstelle erfolg-
reich lokalisiert hat und nun einen Bereich von etwa 4 KByte um die
Einsprungstelle scannt. Sollte die Datei infiziert sein, so befindet
sich die Signatur des Virus in diesem Bereich. 'Checking' ist ein
sehr schneller und zuverlässiger Scan-Algorithmus. 'Checking' wird bei
den meisten Dateien verwendet werden, die nicht zu bekannter und weit-
verbreiteter Software gehören.
'Tracing' (verfolgen)
'Tracing' bedeutet, daß TbScan erfolgreich eine Kette von Sprüngen
oder Aufrufen nachvollzogen hat, wobei es die Einsprungstelle des Pro-
gramms gefunden hat. Nun wird in einem Bereich von 4 KByte um die Ein-
sprungstelle gescannt. Sollte die Datei infiziert sein, so befindet
sich die Signatur des Virus in diesem Bereich. 'Tracing' wird haupt-
sächlich für COM-Dateien benutzt, die TSR-Programme sind. Die meisten
Viren veranlassen TbScan, den Tracing-Algorithmus einzusetzen.
'Scanning' (scannen)
'Scanning' bedeutet, daß TbScan beinahe die gesamte Datei scannt (abge-
sehen vom Exe-Programmkopf, der keinen Virencode enthalten kann). Dieser
Algorithmus wird dann eingesetzt, wenn 'Looking', 'Checking' oder
'Tracing' nicht sicher genug sind. Das ist der Fall, wenn sich in der
Programmeinsprungstelle Sprünge und Aufrufe finden lassen, die sich auf
Code außerhalb des Scanbereichs beziehen. Das ist aber auch dann der
Fall, wenn während der heuristischen Analyse etwas gefunden wird, das
einer genaueren Untersuchung bedarf. 'Scanning' ist ein langsamer Scan-
Algorithmus. Da bei diesem Verfahren immer die gesamte Datei und damit
auch alle Datenbereiche bearbeitet werden, können häufiger Fehlalarme
auftreten. Der 'Scanning'-Algorithmus wird eingesetzt, um Bootsektoren,
SYS- und BIN-Dateien zu scannen.
'Skipping' (übergehen)
Die Meldung 'Skipping' erscheint bei SYS- und OVL-Dateien, was bedeutet,
daß diese Dateien nicht gescannt werden. Da es viele SYS-Dateien gibt,
die keinen Code enthalten (wie z.B. die CONFIG.SYS), ist es nicht sinn-
voll, alle diese Dateien auf Viren zu prüfen. Das Gleiche gilt für
.OV?-Dateien. Viele Overlay-Dateien verdienen diese Bezeichnung gar
IV - 10
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
nicht, da ihnen der Exe-Programmkopf fehlt. Solche Dateien können von
der DOS-Ebene aus nicht aufgerufen werden, was sie gegenüber direkten
Virenangriffen genauso unverletzlich macht, wie es etwa .TXT-Dateien
sind. Wenn die Infektion einer .OV?-Datei gemeldet wird, so handelt es
sich um eine der wenigen Overlay-Dateien, die einen Exe-Programmkopf
enthalten. Die Infektion war dann eine Folge des Überwachens des DOS-
Exec-Aufrufs (Funktion 4Bh) durch den Virus, der damit die Programme
und auch die echten Overlay-Dateien, die aufgerufen werden, infiziert.
3.5. Die TbScan.Lng-Datei
In der TbScan.Lng-Datei sind alle Texte enthalten, die von TbScan ange-
zeigt werden. Diese Meldungen können Sie mit jedem ASCII-Editor über-
setzen oder an Ihre Bedürfnisse anpassen.
Die Meldungen werden durch ein Dollarzeichen ($) voneinander getrennt. In
der ersten Meldung finden Sie unsere Adresse und Registrierungshinweise.
Sie können diesen Text bei Bedarf ändern, und z. B. das Logo Ihrer Firma
hinzufügen.
Sie können der TbScan.Lng-Datei auch Farbcodes hinzufügen. Dem Farbcode
geht das Zeichen '|' voran. Es lassen sich folgende Farbcodes einstellen
(alle Nummern werden hexadezimal angegeben):
Farbe Vordergrund Hervorhebung Hintergrund
Schwarz 00 08 00
Blau 01 09 10
Grün 02 0A 20
Cyan 03 0B 30
Rot 04 0C 40
Magenta 05 0D 50
Gelb/Braun 06 0E 60
Weiß/Grau 07 0F 70
Beispiel: Um einen leuchtend grünen Buchstaben auf rotem Hintergrund zu
erzeugen, müßte der Farbcode 0A+40=4A verwendet werden. Damit
der Buchstabe zusätzlich blinkt, muß dem Resultat der Wert 80h
hinzugezählt werden.
IV - 11
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
4. TbClean
Um zu verstehen, wie ein Virenbeseitigungs-Programm funktioniert, müssen
Sie zuerst wissen, wie ein Programm von einem Virus infiziert wird. Das
Grundprinzip ist einfach. Ein Virus - selbst ein Programm - hängt sich
selbst an das Ende einer Programmdatei an. Durch das Hinzufügen des
Virencodes wird die Programmdatei länger. Das alleine reicht jedoch noch
nicht aus, der Virencode muß auch noch ausgeführt werden. Dazu über-
schreibt der Virus die ersten Bytes der Datei mit einem 'Sprung'-Befehl,
die den Prozessor veranlaßt, zu dem Virencode zu springen. Der Virus
erhält so die Kontrolle, wenn das Programm aufgerufen wird und gibt nach
Beendigung seiner Aktivitäten die Kontrolle an das Originalprogramm
weiter. Da die ersten Bytes der Datei von dem 'Sprung'-Befehl über-
schrieben worden sind, muß der Virus eben diese Bytes als erstes wieder-
herstellen. Danach braucht er nur noch an den Anfang des Originalpro-
gramms zurückzuspringen, das in den meisten Fällen wie gewohnt arbeitet.
Um ein infiziertes Programm von einem Virus zu befreien, müssen die vom
Sprungbefehl zum Virencode überschriebenen Bytes unbedingt wiederherge-
stellt werden. Da der Virus diese Bytes ebenfalls wiederherstellt, müssen
die Originalbytes irgendwo im Virencode gespeichert sein. Das Virenbesei-
tigungsprogramm sucht nach diesen Bytes, bringt sie an ihren Original-
platz zurück und reduziert die Datei auf ihre ursprüngliche Länge.
Es gibt zwei Grundtypen von Virenbeseitigungsprogrammen: konventionelle,
für spezifische Typen von Viren und die wesentlich höher entwickelten,
die ein viel breiteres Anwendungsspektrum bieten. Im folgenden werden
beide Typen erläutert und die Unterschiede herausgestellt.
Konventionelle Virenbeseitiger
Bei der konventionellen Virenbeseitigung muß das Programm wissen, welcher
Virus zu löschen ist. Nehmen wir an, Ihr System wäre vom Jerusalem/PLO-
Virus befallen. Sie rufen Ihr Virenbeseitigungsprogramm auf; folgendes
könnte geschehen:
IV - 12
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Originalprogramm Infiziertes Programm
+--------------+ +--------------+
| P | 100: |Sprung |
| r | |zu 2487 |
| o | | o |
| g | | g |
| r | | r |
| a | | a |
| m | | m |
| m | | m |
| c | | c |
| o | | o |
| d | | d |
| e | | e |
| | | |
+--------------+ +--------------+
2487: | |
| VIRUS! P |
| r |
|Sprung zu 100 |
+--------------+
Der konventionelle Cleaner: "Hey, diese Datei ist vom Jerusalem/PLO-Virus
befallen. Ok, dieser Virus hat eine Größe von 1873 Bytes und überschreibt
die ersten drei Bytes des Originalprogramms mit einem Sprung zu sich
selbst. Die Originalbytes befinden sich am Offset 483 des Virencodes. Ich
habe also diese Bytes zu nehmen, sie an den Beginn der Datei zu kopieren,
die letzten 1873 Bytes der Datei zu löschen. Das war's dann!"
Es gibt einige Fallstricke in einem Szenarium wie dem geschilderten.
Das Virenbeseitigungsprogramm muß den Virus kennen, den es löschen soll.
Es ist ihm unmöglich, einen ihm unbekannten Virus zu löschen. Der Virus
muß exakt dem Virus entsprechen, den das Virenbeseitigungsprogramm kennt.
Stellen Sie sich vor, was passieren würde, wenn der Virus aus dem oben
beschrieben Beispiel modifiziert worden wäre, und seine Größe nun 1869
statt 1873 Bytes betragen würde... Das Virenbeseitigungsprogramm würde
zuviel löschen! Das ist keine Ausnahme, sondern passiert recht häufig,
seit es so viele Mutanten gibt. Zum Beispiel besteht die Jerusalem/PLO-
Virenfamilie aus mehr als 100 Mutanten.
Umfassende Virenbeseitiger
Ein umfassender Virenbeseitiger arbeitet nach dem Prinzip, daß jede Art
von Virus - egal ob er in den "Signaturen-Charts" ist oder nicht - eine
schlechte Neuigkeit ist. Aus diesem Grund arbeitet TbClean mit einem
IV - 13
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
völlig anderen Desinfektionsschema, welches bei fast allen Viren effektiv
ist - TbClean braucht sie nicht einmal zu kennen. TbClean repräsentiert
zwei Virenbeseitiger in einem: einen wiederherstellenden und einen heu-
ristischen.
Wiederherstellende Virenbeseitigung
Diese Art der Virenbeseitigung benötigt eine Anti-Vir.Dat-Datei, die
vor der Infektion von TbSetup erstellt worden sein muß. In dieser
Datei werden viele Informationen gespeichert, wie z. B. die ursprüng-
liche Dateigröße, die Bytes am Programmbeginn, eine verschlüsselte
Prüfsumme, um das Resultat zu überprüfen, usw. Diese Informationen
reichen aus, um nahezu jede Datei von Viren zu befreien, unabhängig
davon, ob die Infektion von einem bekannten oder unbekannten Virus
verursacht wurde. Das einzige, was das Virenbeseitigungsprogramm zu
tun hat, ist die Wiederherstellung der Bytes am Programmanfang, die
Reduktion der Datei auf ihre ursprüngliche Größe und das Überprüfen
des Ergebnisses anhand der Prüfsumme.
Heuristische Virenbeseitigung
TbClean ist das erste Virenbeseitigungsprogramm der Welt mit einer
heuristischen Virenbeseitigungsmethode. Bei diesem Verfahren benötigt
TbClean keinerlei Informationen über den Virus und auch keine Informa-
tionen über das Programm in seinem ursprünglichen Zustand. Diese Metho-
de ist besonders dann hervorragend, wenn Ihr Computer von einem unbe-
kannten Virus befallen wurde, und Sie die Anti-Vir.Dat-Dateien mit
TbSetup nicht rechtzeitig erstellt haben.
Im heuristischen Modus lädt TbClean die infizierte Datei und emuliert
dabei den Programmcode. Das Programm arbeitet mit einer Kombination
aus Disassemblieren, Emulieren und manchmal auch Ausführen, um die Ar-
beitsweise des Virus zu verfolgen, und dabei das nachzumachen, was sonst
der Virus tut. Sobald der Virus die Originalinstruktionen wiederher-
stellt und zum ursprünglichen Programmcode zurückspringt, unterbricht
TbClean die Emulation und bedankt sich bei dem Virus für seine Hilfe
bei der Wiederherstellung der ursprünglichen Bytes.
Der nun wiederhergestellte Programmbeginn wird in die Programmdatei
auf der Festplatte oder Diskette zurückkopiert, und der Teil des Pro-
gramms, der die Kontrolle nach dem Programmstart übernehmen wollte,
wird gelöscht.
Um ganz sicher zu gehen, wird die 'gesäuberte' Programmdatei an-
schließend einer zusätzlichen Analyse unterzogen.
IV - 14
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
5. TbGensig
5.1 Der Zweck von TbGenSig
TbGenSig ist ein Programm, das eine Datei mit Signaturen zusammenstellen
kann. Da die TBAV-Programme bei ihrem Vertrieb mit ihrer direkt verwend-
baren Signaturen-Datei auf dem neueste Stand sind, brauchen Sie dieses
Programm eigentlich gar nicht.
Wenn Sie allerdings Ihre eigenen Viren-Signaturen erstellen möchten,
brauchen Sie TbGenSig. Sie können hierzu veröffentlichte Signaturen ver-
wenden oder Sie definieren eigene, wenn Sie mit der Struktur solcher
Software genügend vertraut sind.
In beiden Fällen brauchen Sie dies nur in Notfallsituationen zu tun, wenn
nämlich Ihr Computer oder die Ihrer Firma von einem bisher unbekannten
und bisher nicht erkannten Virus angegriffen wird. In diesem Fall ist es
sehr zu empfehlen, einige Exemplare des Virus an Virenspezialisten zu
senden, um die Virenscanner in die Lage zu versetzen, in der nächsten
Version diesen neuen Virus zu erkennen.
Es ist nicht möglich, in einem einzigen Handbuch alle Aspekte der Viren-
jagd zu erklären, so daß dieser Text ausreichende Erfahrung und Kennt-
nisse im Erstellen von Signaturen voraussetzt.
TbGenSig sucht im aktuellen Verzeichnis nach der Datei 'UserSig.Dat'.
Diese Datei sollte die Signaturen enthalten, die Sie der TBAV-Signaturen-
Datei 'TbScan.Sig' hinzufügen möchten. TbGenSig überprüft den Inhalt der
Datei UserSig.Dat und verwendet sie für die TbScan.Sig-Datei.
Wenn Sie Ihre Signaturen verändern oder entfernen lassen möchten, müssen
Sie nur die Datei UserSig.Dat verändern oder löschen und TbGenSig erneut
aufrufen.
TbGenSig gibt eine Liste aller Signaturen der TbScan.Sig-Datei am Bild-
schirm aus.
5.2. Signaturen definieren
Das Format der Datei UserSig.Dat
Sie können die Datei UserSig.Dat mit jedem Editor erzeugen oder verändern,
der in der Lage ist, unformatierten Text auszugeben. Alle Zeilen, die mit
einem ';' beginnen, sind Kommentarzeilen. TbGenSig ignoriert diese Zeilen.
Zeilen, die mit '%' beginnen, werden im oberen TbGenSig-Fenster angezeigt.
In der ersten Zeile wird der Name des Virus erwartet. Die zweite Zeile
enthält ein oder mehrere Schlüsselworte. Die dritte Zeile enthält die
Signatur selbst. Diese drei Zeilen zusammen werden als Signatur-Record
bezeichnet.
IV - 15
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Ein Signatur-Record sollte wie folgt aussehen:
Test-Virus
exe com inf
abcd21436587abcd
In der Signatur dürfen Leerzeichen verwendet werden; sie werden von
TbGenSig ignoriert.
Hinzufügen veröffentlichter Signatur
Folgendes müssen Sie tun, um eine veröffentlichte Signatur hinzuzufügen:
- Verändern oder erstellen Sie die Datei UserSig.Dat. Die veröffent-
lichte Signatur muß ins Format von TbGenSig umgewandelt werden.
- Verwenden Sie die Schlüsselworte COM EXE BOOT INF
Sie erhalten etwa folgende Zeilen:
Neuer Virus
exe com boot inf
1234abcd5678efab
- Starten Sie TbGenSig.
Definieren einer Signatur mit TbScan
Dieses Kapitel richtet sich an fortgeschrittene Benutzer, die eine
TBAV.KEY-Datei oder eine Thunderbyte-Einsteckkarte besitzen.
Auch wenn die TbScan.Sig-Datei ständig auf den neusten Stand gebracht
wird, können jeden Tag neue Viren erzeugt werden, die damit den regu-
lären Upgrade-Service überholen. Es ist deshalb möglich, daß Ihr
Computer eines Tages von einem Virus befallen wird, der noch nicht
in die Signaturen-Datei aufgenommen worden ist. TbScan wird in einem
solchen Fall den Virus nicht immer entdecken, auch nicht unbedingt mit
der heuristischen Suche. Wenn Sie überzeugt sind, daß Ihr System von
einem Virus infiziert ist, ohne daß TbScan dies bestätigt, dann hilft
Ihnen dieses Kapitel mit einem wertvollen Werkzeug, um undokumentierte
Viren zu entdecken. Wir bieten Ihnen eine schrittweise Erklärung, wie
Sie im Notfall eine Signatur erstellen, um Sie (zeitweise) zu Ihrer
Kopie von TbScan.Sig hinzuzufügen.
- Kopieren Sie einige der infizierten Dateien in ein vorübergehend
angelegtes Verzeichnis.
- Starten Sie den Computer erneut und booten Sie dabei von einer
virenfreien und schreibgeschützten Diskette. Führen Sie AUF KEINEN
FALL IRGENDEIN Programm des infizierten Systems aus, auch wenn Sie
davon ausgehen, daß das Programm noch nicht infiziert ist.
IV - 16
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
- Starten Sie TbScan von einer schreibgeschützten Diskette aus. Geben
Sie dabei die Startoption 'extract' an. Vergewissern Sie sich, daß
das vorübergehend angelegte Verzeichnis mit den infizierten Dateien
das Zielverzeichnis von TbScan ist. Die Option 'extract' bewirkt, daß
TbScan die Dateien NICHT scannt, sondern statt dessen die ersten
Instruktionen anzeigt, die an den Einsprungpunkten der infizierten
Programme gefunden werden.
=> Bitte beachten Sie die ausdrückliche Empfehlung, auch die Option
'session' zu verwenden, um TbScan anzuweisen, eine log-Datei zu schrei-
ben, die die Ausgabe des Programms protokolliert.
- Vergleichen Sie die von TbScan ermittelten 'Signaturen' miteinander.
Sie könnten zum Beispiel wie folgt aussehen:
NOVIRUS1.COM 2E67BCDEAB129090909090ABCD123490CD
NOVIRUS2.COM N/A
VIRUS1.COM 1234ABCD5678EFAB909090ABCD123478FF
VIRUS2.COM 1234ABCD5678EFAB901234ABCD123478FF
VIRUS3.COM 1234ABCD5678EFAB9A5678ABCD123478FF
Wenn sich die 'Signaturen' völlig unterscheiden, so sind die Dateien
entweder nicht infiziert, oder es handelt sich bei dem infizierenden
Virus um einen polymorphen Virus. Ein solcher Virus kann in verschie-
denen Codemustern auftreten, und es ist ein AVR-Modul notwendig, um
ihn zu entdecken.
- Die 'Signaturen' können sich geringfügig unterscheiden. An solchen
nicht übereinstimmenden Stellen können Sie als Platzhalter ein
Fragezeichen '?' verwenden.
Eine mögliche Signatur für den 'Virus' im obigen Beispiel könnte sein:
1234ABCD5678EFAB ?3 ABCD123478FF
Das '?3' bedeutet, daß an dieser Stelle drei unbestimmte Bytes sein
können, die bei der Überprüfung nicht kontrolliert werden.
- Fügen Sie die Signatur der Datei UserSig.Dat hinzu. Geben Sie dem
Virus in der ersten Zeile seines Eintrags einen Namen. Geben Sie in
der zweiten Zeile die folgenden Schlüsselworte an: COM, EXE, INF,
ATE. In der dritten Ziele folgt nun die Signatur.
Sie erhalten folgenden Text:
Neuer Virus
exe com ate inf
1234abcd5678efab?3abcd123478ff
- Starten Sie TbGenSig. Vergewissern Sie sich, daß sich die neue
TbScan.Sig-Datei im selben Verzeichnis wie TbScan befindet.
IV - 17
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
- Lassen Sie TbScan das Verzeichnis mit den infizierten Dateien über-
prüfen. TbScan sollte nun den Virus entdecken.
- Schicken Sie ein paar der infizierten Dateien an einen empfohlenen
Virenexperten, vorzugsweise natürlich an uns.
Gratulation! Sie haben ganz alleine eine Signatur erstellt! Nun können
Sie alles nach dem neuen Virus durchsuchen lassen. Bedenken Sie jedoch,
daß die durchgeführte Methode der Virensuche eine schnelle aber wenig
gründliche Lösung des Virenproblems ist. Die erstellte Signatur könnte
den Virus nicht in allen Fällen erkennen. Eine Signatur, die garantiert
alle Formen eines Virus entdeckt, kann nur nach vollständiger Unter-
suchung (Disassemblierung) des Virenprogrammcodes erstellt werden. Aus
diesem Grund sollten Sie Ihre selbsterstellte Signatur auch nicht
weiterverbreiten. Die von einem erfahrenen Anti-Viren-Fachmann zusammen-
gesetzte Signatur sieht in den meisten Fällen völlig anders aus.
5.3 Schlüsselworte
Schlüsselworte werden für verschiedene Zwecke verwendet. Sie lassen sich
in Kategorien einteilen. Schlüsselworte können durch Leertasten, Kommata
oder Tabulatoren voneinander getrennt werden. Zeilen können maximal
80 Bytes lang sein.
Wenigstens eine der folgenden Anweisungen müssen angeben werden:
BOOT, COM, EXE, HIGH, LOW, SYS oder WIN.
Anweisungs-Schlüsselworte
BOOT Die Signatur kann im Bootsektor/Partitionstabelle gefunden
werden.
COM Die Signatur kann in COM-Programmen gefunden werden.
Diese Anweisung läßt den Scanner diese Signatur in ausführbaren Dateien
suchen, die keinen 'EXE-header' oder 'device-header' haben.
=> Beachten Sie: Der Dateiinhalt bestimmt den Dateityp, nicht die Erweite-
rung des Dateinamens!
EXE Die Signatur kann in EXE-Programmen gefunden werden.
Diese Anweisung läßt den Scanner diese Signatur im Lademodul von EXE-
Dateien suchen. EXE-Dateien sind Dateien, die einen EXE-header enthalten.
=> Beachten Sie: Der Dateiinhalt bestimmt den Dateityp, nicht die Erweite-
rung des Dateinamens!
HIGH Die Signatur kann im oberen Speicherbereich (oberhalb der Pro-
gramme) gefunden werden. Diese Anweisung läßt den Scanner die
Signatur oberhalb des Speicherbereichs suchen, der vom Scanner
belegt ist.
IV - 18
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Damit können Viren entdeckt werden, die schon beim Booten Speicher
belegen oder die die Größe des letzten MCBs (Memory Control Block)
verkleinern.
=> Beachten Sie: Die Anweisung HIGH meint nicht, daß Viren im hohen Spei-
cherbereich (UMB = Upper Memory Blocks) gesucht werden.
LOW Die Signatur kann im unteren Speicherbereich gefunden werden.
Diese Anweisung läßt den Scanner die Signatur im Speicher unter-
halb des PSP (Program Segment Prefix) des Scanners und im hohen
Speicherbereich (UMB Upper Memory Blocks) suchen.
Diese Anweisung ist für Viren gedacht, die sich bereits im Speicher be-
finden und hierfür den DOS-TSR-Funktionsaufruf verwendet haben.
SYS Die Signatur kann in SYS-Programmen gefunden werden.
WIN Die Signatur kann in Windows-Programmen gefunden werden.
Meldungs-Schlüsselworte
DAM Meldungspräfix: 'zesrtört von'.
DROP Meldungspräfix: 'Schlepper von'.
FND Meldungspräfix: 'gefunden'.
INF Meldungspräfix: 'infiziert von' Meldungssuffix: 'Virus'
JOKE Meldungspräfix: 'Witzprogramm namens'.
OVW Meldungspräfix: 'überschrieben von'.
PROB Meldungsprä-Präfix: 'wahrscheinlich'.
TROJ Meldungspräfix: 'Trojanisches Pferd namens'.
Positions-Schlüsselworte
UATE Die Signatur soll am definierten Einsprungpunkt (Unresolved
(AT) Entry point) gefunden werden.
Zweck:
Die Signatur startet direkt am definierten Einsprungpunkt des Virencodes.
Bei manchen polymorphen Viren kann es möglich sein, eine Signatur von der
Entstellungs-Routine zu machen, allerdings kann diese zu klein sein oder
Fehlalarme bei einer umfassenden Suche auslösen. Eine Verzweigungs-Rou-
tine am Anfang kann Teil der Signatur sein.
Dateien vom Typ COM : Beginn der Datei (IP 0100h).
Dateien vom Typ EXE : CS:IP wie im EXE-Header definiert.
Dateien vom Typ WIN : Non-DOS CS:IP des neuen EXE-Header.
IV - 19
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
Anmerkung:
Das Schlüsselwort UATE ist nicht für Signaturen vom Typ BOOT, SYS, LOW,
HMA oder HIGH erlaubt.
ATE Die Signatur soll am tatsächlichen Beginn (AT Entry point)
gesucht werden.
Zweck:
Die Signatur startet direkt am tatsächlichen Beginn des Virencodes. Bei
manchen polymorphen Viren kann es möglich sein, eine Signatur von der
Entstellungs-Routine zu machen, allerdings kann diese zu klein sein oder
Fehlalarme bei einer umfassenden Suche auslösen.
Das Schlüsselwort ATE wird verwendet, um sicherzustellen, daß der Scanner
nicht in der gesamten Datei, sondern nur am Einsprungspunkt nach der Sig-
natur sucht.
Der Einsprungpunkt eines Virus ist als das erste Byte definiert, das
keine JUMP SHORT-, JUMP LONG- oder CALL NEAR-Anweisung darstellt.
Definierter Einsprungpunkt: 1 JUMP LONG 3
2 ...
3 JUMP SHORT 5
4 ...
5 CALL FAR 7
6 ...
7 CALL NEAR 9
8 ...
Tatsächlicher Einsprungpunkt: 9 POP <reg>
Der Einsprungpunkt des oben aufgeführten Fragmentes ist die
Zeile 9, da sie die erste ausführbare Anweisung enthält, die
kein JUMP SHORT, JUMP LONG oder CALL NEAR oder CALL FAR ist.
Anmerkungen:
1) Der Einsprungspunkt kann von einem Code-Analysator bestimmt
werden, um mit Tricks wie NOP- oder DEC-Instruktionen gerade vor
der Verzweigungsinstruktion fertig zu werden. Daher sind die
Ergebnisse des Scanners sorgfältig zu überprüfen. In Problem-
fällen kann die TbScan-Option 'extract' verwendet werden, um
herauszufinden, was TbScan als Einsprungpunkt des Programms be-
trachtet.
2) Das Schlüsselwort ATE ist nicht für Signaturen vom Typ BOOT,
SYS, LOW, HMA oder HIGH erlaubt.
XHD Die Signatur kann am Offset 2 der Datei mit EXE-Typ gefunden
werden.
Zweck:
Dieses Positions-Schlüsselwort wird selten benutzt. Es sollte nur verwen-
det werden, um die wirklich sehr seltenen Hochsprachen-Viren zu entdek-
ken. Diese Viren werden in einer Hochsprache wie C oder Basic program-
miert. Sie verwenden Standard- und Bibliotheksroutinen, die nicht geeig-
IV - 20
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
net sind, um eine Signatur zu erstellen. Das Schlüsselwort XHD kann als
letzter Versuch dienen, um solche Viren aufzuspüren.
Anmerkung:
Das Schlüsselwort XHD sollte nur für Signaturen beim Typ EXE oder WIN
verwendet werden.
5.4. Platzhalter
In einer Viren-Signatur können Platzhalter anstelle von Bytes verwendet
werden, um sogenannten polymorphen (sich selbst modifizierend/mutierend)
zu erkennen. Es folgt eine Beschreibung der Schreibweise der Platzhalter.
Alle Zeichen sind hexadezimal dargestellt.
Positions-Platzhalter.
Positions-Platzhalter beeinflussen die Position der Signaturteile, die
mit dem Virencode verglichen werden.
Skip
?n = Überspringe (skip) n Bytes und fahre fort.
?@nn = Überspringe nn Bytes und fahre fort.
nn soll 7F nicht überschreiten.
Variable
*n = Überspringe bis zu n Bytes.
*@nn = Überspringe bis zu nn bytes und fahre fort.
nn sollte 1F nicht überschreiten.
Opcode-Platzhalter.
Der 'opcode'-Platzhalter ist gedacht, um einen Bereich von Instruktionen
abzudecken:
Low opcode
nL = Ein Wert im Bereich von n0-n7.
High opcode
nH = Ein Wert im Bereich von n8-nF.
Beabsichtigte Verwendung für den 'opcode'-Platzhalter:
Nehmen wir an, ein polymorpher Virus stellt einen Wert in ein Word-
Register (unter Verwendung der MOV WREG,VALUE-Instruktion), inkrementiert
ein Register (mit der INC WREG-Instruktion) und schiebt ein Word-Register
vom Stack (mit einer POP-Instruktion). Die Register und die Werte sind
dabei unbestimmt.
Der Code könnte wie folgt aussehen:
bh4l5h
IV - 21
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
B8-BF sind die Opcodes für 'MOV WREG,VALUE', 40-47 sind die opcodes für
'INC WREG' und 58-5F sind die Opcodes für 'POP REG'.
Beispiel
Um die Möglichkeiten der Benutzung der geeigneten Schlüsselworte und
Platzhalter zu zeigen, wird hier die Signatur des Haifa.Mozkin-Virus
vorgetellt.
Dieser Virus ist in höchstem Maße polymorph und verschlüsselt. Er ver-
wendet einen kleinen variablen Entschlüssler, um den Virus zu ent-
schlüsseln.
Hier gibt es zwei Probleme: Die meisten Bytes sind verschlüsselt oder
variabel und nicht als Teil einer Signatur geeignet, und der Rest ist
kurz und könnte dutzende Fehlalarme auslösen.
Allerdings ist es mit den geeigneten Schlüsselworten und Platzhaltern
möglich, eine passende Signatur zu erstellen. Die folgende Signatur
wird von TbScan verwendet, um den Haifa.Mozkin-Virus zu finden.
Haifa.Mozkin
com exe ate inf
bh?2bh?109?2*22e80?24l4h75fl
Untersuchen wir die Signatur:
Die erste Zeile gibt den Namen des Virus an.
Die zweite Zeile teilt dem Scanner mit, die Signatur in Dateien vom
Typ COM und EXE zu suchen. Der Scanner soll die Datei als infiziert
melden, wenn eine Übereinstimmung gefunden wird. Das Schlüsselwort ATE
weist den Scanner an, die Signatur nur am tatsächlichen Einsprungpunkt
der Datei zu suchen. Der Virus beginnt natürlich mit der Entschlüsselung
von sich selbst, so daß der Scanner garantiert diese Stelle erreicht.
Das Schlüsselwort ATE reduziert die Suche der Signatur nur auf eine
bestimmte Stelle der Datei, wodurch die Möglichkeit von Fehlalarmen
deutlich verringert wird.
Die dritte Zeile enthält die Definition der Signatur. Sehen wir uns
diese jetzt genauer an:
bh?2 Bedeutung: ein Byte im Bereich B8-BF, gefolgt von zwei be-
liebigen Bytes. B8-BF ist eine 'MOV WREG,VALUE'-Instruktion.
Von dem Register wissen wir nur, daß es sich um ein Word-
Register handelt, dessen Wert unbekannt ist.
bh?109 Bedeutung: eine andere 'MOV WREG,VALUE'-Instruktion. Das
Register ist ein Word-Register, der Wert liegt zwischen
0900 und 09FF.
IV - 22
TBAV Handbuch (C) 1993 Thunderbyte B.V. KAPITEL IV
?2*2 Bedeutung: Überspringe zwei bis vier Bytes. Viren versuchen
so, die Erstellung von Signaturen zu erschweren.
2e80?2 Bedeutung: der Virus führt eine arithmetische Operation in
Bytegröße aus, mit einem sofortigen Ergebnis (entschlüsselt
ein Byte) unter Übergehung des CS-Segments. Die genaue
Operation, der Speicherplatz und der Wert sind unbekannt.
4l Bedeutung: ein Byte im Bereich 40-47. Dies ist eine 'INC
WREG'-Instruktion. Die Viren erhöhen den Zähler auf das
nächste Byte, das entschlüsselt werden soll.
4h Bedeutung: ein Byte im Bereich 48-4F. Dies ist eine 'DEC
WREG'-Instruktion. Die Viren verringern die Iterationszahl.
75fl Opcode 75 ist eine JNZ-Instruktion. Wenn das verringerte
Register noch nicht gleich Null ist, springt der Virus zurück
und wiederholt die Operation. Wie weit springt er? Das sagt
der Teil 'fl': zwischen -70h (F0h) und -77h (F7h) Bytes.
Auch wenn die Möglichkeiten der Signaturenbeschreibungssprache von
TbGenSig wirklich sehr vielfältig sind, so gibt es doch Viren, die so
hochgradig polymorph sind, daß sie noch speziellere Platzhalter,
Schlüsselworte oder noch raffiniertere Untersuchungsalgorithmen er-
fordern. Die Erklärung dieser Platzhalter, Schlüsselworte und Algo-
rithmen wäre jedoch so aufwendig, daß sie den Rahmen dieses Handbuches
sprengen würde.
IV - 23
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A
ANHANG A. TBAV-Meldungen
The TBAV Utilities zeigen während ihrer Ausführung zahlreiche Meldungen
an. Die meisten davon sind eindeutig. Hier erhalten Sie einige er-
gänzende Hinweise.
TbClean
Starting clean attempt. Analyzing infected file ...
Start des Wiederherstellungsversuchs. Analysiere infizierte Datei...
TbClean analysiert die infizierte Datei und versucht die Informa-
tionen der Anti-Vir.Dat-Datei zu finden.
Anti-Vir.Dat record found: reconstructing original state ...
Anti-Vir.Dat-Informationen gefunden: Rekonstruiere Original-Status...
Die zur infizierten Datei gehörenden Informationen der Anti-Vir.Dat-
Datei wurden gefunden. TbClean verwendet diese Informationen für die
Wiederherstellung der Datei.
Anti-Vir.Dat record found: information matches the current state of
file. Anti-Vir.Dat file was created after the infektion. Trying
emulation ...
Anti-Vir.Dat-Informationen gefunden: Informationen stimmen mit der Datei
überein. Anti-Vir.Dat wurde nach der Infektion erstellt. Versuche
Emulation...
Die zur infizierten Datei gehörenden Informationen der Anti-Vir.Dat-
Datei wurde gefunden, aber die Informationen stimmen mit dem aktu-
ellen Zustand der Datei völlig überein. Die Anti-Vir.Dat-Datei wurde
erstellt, nachdem die Datei infiziert wurde, oder die Datei wurde
überhaupt nicht verändert. TbClean wird die Emulation verwenden, um
die Datei mit der heuristischen Methode zu säubern.
Reconstruction failed. Program might be overwritten. Trying emulation...
Wiederherstellung fehlgeschlagen. Programm möglicherweise überschrieben.
Versuche Emulation...
TbClean hat mit Hilfe der Informationen, die in der Anti-Vir.Dat-
Datei gespeichert waren, versucht, die Originaldatei wiederherzu-
stellen. Doch dieser Versuch schlug fehl. TbClean wird die Emulation
verwenden, um die Datei mit der heuristischen Methode zu säubern.
Reconstruction successfully completed.
Wiederherstellung erfolgreich beendet.
Mit Hilfe der Informationen der Anti-Vir.Dat-Datei konnte der ur-
sprüngliche Zustand der Datei wiederhergestellt werden. Die CRC
(Prüfsumme) der Originaldatei und die der virenbefreiten Datei
stimmen vollständig überein. Folglich stimmt die virenbefreite Datei
mit größter Sicherheit mit der Originaldatei überein.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A
Anti-Vir.Dat record not found: original state unknown.
Trying emulation...
Anti-Vir.Dat-Informationen nicht gefunden. Original-Status unbekannt.
Versuche Emulation...
Die Anti-Vir.Dat-Datei existiert nicht oder enthält keine Informatio-
nen über die infizierte Datei. Daher ist TbClean der ursprüngliche
Zustand der Datei nicht bekannt. TbClean wird in seinen heuristischen
Modus wechseln, um den Zustand der Originaldatei zu ermitteln.
Beachten Sie: Um eine Situation wie diese zu vermeiden, sollten Sie
sich vergewissern, daß Sie mit TbSetup die Anti-Vir.Dat-Dateien er-
stellt haben. Diese Dateien sind für TbClean äußerst hilfreich. Wenn
die Datei bereits infiziert ist, ist es zum Erstellen der Anti-
Vir.Dat-Dateien bereits zu spät.
Emulation terminated: <reason>
Emulation beendet: <Grund>
Der Emulationsvorgang wurde aus dem angeführten Grund abgebrochen.
TbClean wird nun die gesammelten Informationen prüfen, um zu ent-
scheiden, ob die Datei wiederhergestellt werden kann.
Ein <Grund> dafür kann sein:
Jump to BIOS code
Sprung in den BIOS-Code
Der Virus versucht BIOS-Code aufzurufen oder direkt in den
BIOS-Code zu springen. Dieser Vorgang kann nicht emuliert
werden und wird daher abgebrochen. Das Programm kann wahr-
scheinlich nicht vom Virus befreit werden.
Approached stack crash.
Nähert sich einem Stack-Zusammenbruch.
Das emulierte Programm nähert sich einem Zusammenbruch.
Während das Programm emuliert wurde, ging etwas schief. Daher
wird es abgebrochen. Das Programm kann wahrscheinlich nicht
wiederhergestellt werden.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A
Attempt to violate license agreements.
Versuch, Lizenzvereinbarungen zu verletzen.
Aus offensichtlichen Gründen wird TbClean dieses Programm
nicht disassemblieren.
Encountered keyboard input request.
Auftreten einer Tastaturabfrage.
Das emulierte Programm versucht, von der Tastatur zu lesen.
Ein Verhalten, das für Viren sehr ungewöhnlich ist. Wahr-
scheinlich ist die Datei gar nicht infiziert.
Encountered an invalid instruction.
Auftreten einer ungültigen Instruktion.
Der Emulator ist auf eine unbekannte Instruktion gestoßen. Die
Emulation schlug aus irgendwelchen Gründen fehl. Das Programm
kann wahrscheinlich nicht desinfiziert werden.
DOS program-terminate request.
Programmbeendigungsaufforderung an DOS.
Das emulierte Programm fordert DOS auf, die Ausführung des
Programms zu beenden. Das Programm ist entweder keinesfalls
infiziert oder von einem überschreibenden Virus infiziert,
der die Kontrolle nicht an das infizierte Programm weitergibt.
Das Programm kann nicht desinfiziert werden.
Jumped to original program entry point.
Sprung zum Originaleinsprungspunkt.
Das Programm ist an die Startposition zurückgesprungen. Es
ist sehr wahrscheinlich infiziert. Das Programm kann wahr-
scheinlich wiederhergestellt werden.
TbDriver
Another version of TbDriver is already resident!
Sie haben ein Programm TbDriver.Exe mit einer anderen Ver-
sionsnummer oder einem anderen Prozessortyp aufgerufen als
das schon speicherresidente TbDriver-Programm.
Can not remove TbDriver. Unload other TSRs first!
Sie versuchten TbDriver aus dem Speicher zu entfernen, ob-
wohl andere speicherresidente Programme nach TbDriver gestar-
tet wurden. Speicherresidente Programme können nur in umge-
kehrter Reihenfolge ihres Ladens aus dem Speicher entfernt
werden.
TbDriver was not resident.
Sie versuchten TbDriver aus dem Speicher zu entfernen, obwohl
TbDriver gar nicht speicherresident geladen war.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG A
Invalid use of option 'net'.
Die Option 'net' hat beim ersten Aufruf von TbDriver keine
Auswirkung.
LAN support was already installed.
Sie verwendeten die Option 'net' ein weiteres Mal, oder
TbDriver hat die Netzwerkunterstützung schon automatisch
aktiviert.
This version of TbDriver requires a <typeID> processor.
Sie verwenden eine speziell für einen Prozessortyp optimierte
Version von TbDriver, die mit dem vorhandenen Prozessor nicht
kompatibel ist.
TbScan
Befehlszeilenfehler! (Command line error!)
Es wurde eine ungültige oder unzulässige Option in der
Befehlszeile benutzt.
Keine ausführbaren Dateien gefunden!
Das angegebene Verzeichnis existiert nicht, ist leer oder
die angegebene Datei existiert nicht oder ist keine ausfür-
bare Datei.
Logfile (Protokolldatei) kann nicht erstellt werden!
Der angegebene Pfad ist unzulässig, das Laufwerk ist voll
oder schreibgeschützt bzw. die Datei existiert schon und
kann nicht überschrieben werden.
Selbsttest zeigt Fehler! (Sanity check failed!)
TbScan hat entdeckt, daß seine interne Prüfsumme nicht mehr
stimmt. TbScan ist möglicherweise selbst von einem Virus in-
fiziert. Beschaffen Sie sich eine virenfreie Kopie von TbScan
auf einer SCHREIBGESCHÜTZTEN, bootfähigen Diskette. Starten
Sie von dieser Diskette aus neu, und versuchen Sie es noch
einmal!
[Datendatei kann nicht gelesen werden]
TbScan braucht den Zugang zu seiner Datendatei, um Ihnen den
Namen des Virus' mitteilen zu können. Hat TbScan keinen Zu-
griff auf diese Datei erscheint diese Meldung anstelle des
Viren-Namens.
TbScanX
Data file not found.
TbScanX war nicht in der Lage, die Daten-Datei zu finden.
Not enough memory.
Es ist nicht genügend Speicherplatz vorhanden, um die Daten-
Datei zu verarbeiten. Versuchen Sie die Verwendung von Aus-
lagerungen, oder wenn Sie diese schon verwenden, versuchen
Sie einen anderen Auslagerungsmodus. Siehe auch Kapitel
IV, Abschnitt "Speicheranforderungen".
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B
ANHANG B. TbScan - Beschreibung der heuristischen Flags
# - Instruktions-Entschlüsselungs-Routine gefunden
Die Datei enthält möglicherweise eine Selbstentschlüsselungs-Routine.
Einige kopiergeschütze Programme sind verschlüsselt und verursachen des-
halb eine solche Meldung. Sollte diese Meldung jedoch in Verbindung mit
anderen erscheinen, z. B. der Meldung 'T', könnte ein Virus die Ursache
sein, und TbScan geht davon aus, daß die Datei infiziert ist. Viele Viren
entschlüsseln sich selbst und veranlassen so diese Meldung.
! - Beschädigter Programmcode
Ungültiger Befehlscode (nicht 8088-Instruktion) oder eine Programmver-
zweigung außerhalb des Bereichs.
Das Programm hat entweder eine Einsprungstelle außerhalb des Bereichs der
Datei oder weist eine Aneinanderreihung von 'Sprüngen' auf, die bis zu
einer Stelle außerhalb der Programmdatei verfolgt werden kann.
Eine andere Möglichkeit ist, daß das Programm ungültige Prozessorinstruk-
tionen enthält.
Das überprüfte Programm ist wahrscheinlich beschädigt und kann in den
meisten Fällen nicht ausgeführt werden. Trotzdem geht TbScan hier kein
Risiko ein und überprüft mit Hilfe der 'Scan'-Methode die Datei.
? - Widersprüchlicher Programmkopf
Das untersuchte Programm besitzt einen Exe-Programmkopf (Exe-Header), der
nicht den vorliegenden Programmaufbau widerspiegelt. Das DOS-Programm
SORT.EXE verursacht eine solche Warnung, denn die tatsächliche Programm-
größe ist geringer als die im Programmkopf angegebene Größe des zu
ladenden Moduls. Viele Viren aktualisieren den Exe-Programmkopf einer
EXE-Datei nicht korrekt, nachdem sie eine Datei infiziert haben. Sollte
diese Warnung häufiger auftauchen, dann haben Sie wahrscheinlich ein
Problem. Im Fall des DOS-Programms SORT.EXE sollten Sie die Warnung je-
doch ignorieren (Wir hoffen, daß Microsoft diesen Fehler vor Erscheinen
der nächsten DOS-Version korrigiert hat).
c - Keine Integritätsprüfung
Diese Warnung besagt, daß keine Prüfsummen- und Wiederherstellungsinfor-
mationen für die betreffende Datei gefunden wurden. Es wird dringend
empfohlen, in diesem Fall mit TbSetup die Informationen dieser Datei
anzulegen. Diese Informationen können später für die Integritätsprüfung
und die Wiederherstellung der Datei Verwendung finden.
h - Versteckte Datei oder Systemdatei
Die Datei ist mit den Datei-Attributen 'Versteckt' oder 'System' ver-
sehen. Das heißt, daß die Datei, obwohl sie in einer DOS-Verzeichnis-
anzeige nicht sichtbar ist, dennoch von TbScan geprüft wird. Sollten
Sie Herkunft und/oder den Zweck dieser Datei nicht kennen, so kann es
sich um ein 'Trojanisches Pferd' oder einen 'Witz'-Virus handeln. Als
erstes kopieren Sie diese Datei auf eine Diskette, löschen sie dann aus
ihrem Programmumfeld und prüfen, ob das betroffene Programm die Datei
vermißt. Sollte das Programm die gelöschte Datei nicht vermissen, dann
haben Sie etwas zusätzlichen Speicherplatz auf Ihrer Festplatte gewonnen
und Ihr System vielleicht vor kommenden Katastrophen bewahrt.
i - Internes Overlay
Die überprüfte Datei besitzt, wie auch im EXE-Programmkopf aufgeführt,
hinter dem Lade-Modul zusätzliche Daten oder Programmcode. Dabei könnte
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B
es sich um programminterne Overlays, also nur zeitweise ladbare Pro-
grammteile, oder um Konfigurations- oder Debug-Informationen handeln,
die hinter dem Lade-Modul der EXE-Datei angehängt wurden.
p - Gepackte oder komprimierte Datei
Das Programm wurde gepackt oder komprimiert. Es gibt einige Utilities,
wie etwa EXEPACK oder PKLITE, die die Fähigkeit haben, Programmdateien
zu komprimieren. Sollte die Datei infiziert worden sein, nachdem sie
komprimiert wurde, kann TbScan den Virus entdecken. Wurde die Datei je-
doch infiziert, bevor sie komprimiert wurde, und mit ihr auch der Virus,
dann kann kein Virenscanner den Virus mehr entdecken.
w - Windows- oder OS/2-Programmkopf
Das Programm ist für die Verwendung in einer Windows- (oder OS/2-) Um-
gebung bestimmt oder geplant worden. Bis jetzt bietet TbScan noch keine
spezielle Scanmethoden für solche Dateien. Das wird sich natürlich
ändern, sobald Windows- oder OS/2-spezifische Viren auftreten werden.
A - Verdächtige Speicherzuweisung
Das Programm verwendet einen nicht standardgemäßen Weg, um nach Speicher
zu suchen und/oder ihn zu belegen. Viele Viren versuchen, sich im
Speicher zu verstecken und verwenden deshalb nicht standardgemäße Wege,
um Speicher für sich zu belegen. Einige Programme (Programme zum Laden
in den hohen Speicherbereich und Diagnoseprogramme) verwenden oft eben-
falls solche Methoden, um freien Speicher zu suchen und zu belegen.
B - Zurück zur Einsprungsstelle
Das Programm scheint einigen Code auszuführen und danach zur Programmein-
sprungstelle zurückzuspringen. Normalerweise führt dies zu einer Endlos-
schleife, es sei denn, das Programme hätte ebenfalls einige seiner eige-
nen Instruktionen verändert. Dies ist ein übliches Vorgehen von Computer-
viren. In Verbindung mit anderen Warnungen meldet TbScan einen Virus.
C - Veränderte Datei
Diese Warnung kann nur dann erscheinen, wenn Sie mit TbSetup Anti-
Vir.Dat-Dateien angelegt haben. Die Warnung besagt, daß die Datei verän-
dert wurde. Wenn Sie die Software nicht durch eine neuere Version ersetzt
haben, ist es sehr wahrscheinlich, daß ein Virus die Datei infiziert hat.
Bedenken Sie, daß TbScan diese Meldung nicht anzeigt, wenn nur Änderungen
der Programmkonfiguration in einem speziellen Bereich der Datei abgelegt
wurden. Diese Warnung besagt, daß der Programmcode an der Einsprungstelle
des Programms, die Einsprungstelle selbst und/oder die Dateilänge sich
geändert haben.
D - Direkter Schreibzugriff
Dieser Buchstabe wird dann angezeigt, wenn das überprüfte Programm in der
Nähe der Einsprungstelle Instruktionen für direkte Schreibzugriffe auf
die Datenträger hat. Es ist völlig normal, daß einige Utilities für die
Bearbeitung von Disketten und Festplatten so gemeldet werden. Wenn jedoch
mehrere normale Programme (die nichts mit direkten Schreibzugriffen zu
tun haben) mit dieser Meldung angezeigt werden, könnte Ihr Computer von
einem unbekannten Virus infiziert worden sein.
=> Beachten Sie, daß nicht jedes Programm, das direkte Schreibzugriffe
durchführt, auch gemeldet wird. TbScan meldet dies nur, wenn sich die
Instruktionen für den direkten Schreibzugriff in der Nähe der Programm-
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B
einsprungstelle befinden. Sollte es sich um einen Virus handeln, dann
befinden sich die gefährlichen Instruktionen immer in der Nähe der Ein-
sprungstelle, und nur dort sucht TbScan nach ihnen.
E - Flexible Einsprungsstelle
Das Programm startet mit einer Routine, die ihre eigene Position in der
Programmdatei feststellt. Ein ziemlich verdächtiger Vorgang, denn selbst
Sound-Programme haben eine festgelegte Einsprungsstelle und müssen des-
halb ihre Position nicht erst feststellen. Für Viren ist dieses Verhalten
hingegen üblich: bei ungefähr 50% aller bekannten Viren wird diese Mel-
dung angezeigt.
F - Verdächtiger Dateizugriff
TbScan ist auf verdächtige Instruktionssequenzen gestoßen, die für die
von Viren verwendeten Infektionsmechanismen üblich sind. Diese Meldung
erscheint bei Programmen, die Dateien erzeugen oder bestehende modifi-
zieren können.
G - Unsinnige Instruktionen
Das Programm enthält Code, der keinen anderen Zweck zu haben scheint, als
das Verschlüsseln oder das Verstecken vor der Entdeckung durch Viren-
scanner. Diese Meldung ist äußerst wichtig, denn es ist die einzige, die
TbScan ohne weitere Meldungen veranlaßt, eine Vireninfektion am Bild-
schirm anzuzeigen. In den meisten Fällen können auch gar keine anderen
Meldungen erscheinen, da eine solche Datei eben verschlüsselt ist, und
die Instruktionen vor dem Scanner verborgen sind. In seltenen Fällen er-
scheint die Warnung auch bei 'normalen' Dateien. Diese Dateien sind dann
aber schlecht programmiert, was der Grund für diese Meldung ist.
J - Verdächtige Sprungkonstruktion
Das Programm startet nicht an der Programmeinsprungstelle. Es gibt minde-
stens zwei Sprünge, bevor der wirkliche Start-Code erreicht wird, oder
das Programm verwendet Sprungbefehle mit indirekten Operanden. Sound-
Programme sollten eine solche Art von ungewöhnlichem Verhalten nicht
zeigen. Werden viele Dateien mit dieser Meldung angezeigt, sollten Sie
Ihr System gründlich untersuchen.
K - Ungebräuchlicher Stack
Die überprüfte EXE-Datei besitzt einen ungeradzahligen (anstelle eines
geradzahligen) Stack-Offset oder ein verdächtiges Stack-Segment. Viele
Viren sind sehr fehlerhaft und setzen dabei einen unzulässigen
Stack-Wert.
L - Programmladefalle
Das Programm könnte die Ausführung anderer Programme überwachen. Sollte
die Datei außerdem mit dem Buchstaben 'M' (speicherresidenter Code) ge-
meldet werden, ist es sehr wahrscheinlich, daß es sich um ein speicher-
residentes Programm handelt, das feststellt, wann ein anderes Programm
ausgeführt werden soll. Viele Viren überwachen auf diese Art das Laden
von Programmen und benutzen diesen Vorgang, um sie zu infizieren. Auch
einige Anti-Viren-Programme überwachen so das Laden von Programmen, um
Viren zu entdecken.
M - Speicherresident-Code
TbScan ist auf Instruktionssequenzen gestoßen, die das Programm in die
Lage versetzen können, sich in wichtige Interrupts einzuklinken. Viele
TSR-Programme (Terminate and Stay Resident) lösen diese Meldung aus, da
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B
das Einklinken in Interrupts für solche Programme erforderlich ist.
Trotzdem sollten Sie auf der Hut sein, wenn mehrere eigentlich nicht
speicherresidente Programme mit dieser Meldung angezeigt werden. Es ist
dann sehr wahrscheinlich, daß Ihre Dateien von einem Virus infiziert
wurden, der resident im Speicher geladen bleibt.
Bedenken Sie, daß diese Warnung nicht bei allen tatsächlichen TSR-Pro-
grammen gemeldet wird. Auch kann man sich nicht darauf verlassen, daß die
Entdeckung der TSR-Fähigkeit in Nicht-TSR-Programmen immer zuverlässig
ist.
N - Falsche Dateinamenserweiterung
Namenskonflikt. Das Programm hat die Dateinamenerweiterung .EXE, scheint
aber eigentlich eine ganz gewöhnliche Datei vom Typ .COM zu sein bzw. das
Programm trägt die Bezeichnung .COM, besitzt aber den inneren Aufbau
einer Datei vom Typ .EXE. In so einem Fall geht TbScan kein Risiko ein
und überprüft die Datei auf Signaturen vom EXE- und vom COM-Typ. Eine
falsche Dateinamenerweiterung kann in manchen Fällen auf eine Virenin-
fektion hinweisen, in den meisten Fällen allerdings nicht.
O - Überschriebener Code
Diese Meldung wird angezeigt, wenn TbScan entdeckt, daß das Programm
einige seiner eigenen Instruktionen überschreibt. Jedoch scheint es über
keine vollständige Ent-/Verschlüsselungsroutine zu verfügen.
R - Verdächtige Lageverschiebung
Die Meldung 'R' bezieht sich auf verdächtige Verschiebungbefehle. Gemeint
ist eine Instruktionssequenz, die die Lage des CS:IP verschiebt. Viren
verwenden diese Methode häufig, besonders die, die Dateien vom COM-Typ
infizieren. Die Überprüfung einer großen Anzahl von Viren hat ergeben,
daß TbScan diese Meldung bei 65% aller Viren ausgibt. Diese Viren müssen
die Lage des CS:IP verschieben, weil sie für eine spezielle Position im
Speicher der ausführbaren Datei kompiliert wurden; ein Virus, der ein
anderes Programm infiziert, kann jedoch seine ursprüngliche Position in
der Datei nicht beibehalten, da er ja ans Ende der Datei angehängt wird.
Sound-Programme kennen ihren Platz in den ausführbaren Dateien und müssen
sich nicht selbst verschieben. Bei Computern, die normal benutzt werden,
sollte sich nur eine sehr kleine Anzahl von Programmen finden, die diese
Meldung verursachen.
S - Suche nach ausführbaren Dateien
Das überprüfte Programm sucht nach *.COM oder *.EXE Dateien. Das alleine
deutet noch nicht auf einen Virus hin, ist aber ein Bestandteil der
meisten Viren (um sich selbst zu verbreiten, müssen Viren nach geeigneten
Dateien suchen). Sollte diese Meldung in Verbindung mit anderen angezeigt
werden, so nimmt TbScan an, daß die Datei infiziert ist.
T - Beschädigte Zeitmarke
Die Zeitangabe der letzten Änderung an der Datei ist ungültig: z. B. ist
die angegebene Sekundenzahl oder das Datum unmöglich oder die Jahreszahl
liegt nach dem Jahr 2000. Das ist verdächtig, denn viele Viren setzen die
Datei-Zeitangabe auf einen unzulässigen Wert (wie beispielsweise 62
Sekunden), um die Datei so als schon infiziert zu markieren. Auf diese
Weise kann der Virus verhindern, daß er eine Datei zweimal infiziert. Es
ist möglich, daß das überprüfte Programm von einem unbekannten Virus in-
fiziert wurde, besonders dann, wenn viele Ihrer Dateien eine ungültige
Zeitangabe haben. Wenn nur sehr wenige Programme eine ungültige Zeitan-
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG B
gabe haben, sollten Sie diese einfach korrigieren und regelmäßig scannen,
um sicherzustellen, daß die Zeitangaben gültige Werte behalten.
U - Undokumentierter Interrupt/DOS-Aufruf
Das Programm verwendet unbekannte DOS-Aufrufe oder Interrupts. Diese
unbekannten Aufrufe können benutzt werden, um undokumentierte Möglich-
keiten von DOS zu verwenden oder um mit einem unbekannten Treiber im
Speicher zu kommunizieren. Da viele Viren mit undokumentierten Fähigkei-
ten von DOS arbeiten oder mit speicherresidenten Teilen einer zuvor ge-
ladenen Instanz des Virus kommunizieren, ist es verdächtig, wenn sich ein
Programm unbekannter oder undokumentierter Kommunikationsmethoden be-
dient. Ein solches Verhalten muß aber nicht notwendigerweise auf einen
Virus hinweisen, denn einige 'trickreiche' Programme arbeiten ebenfalls
mit undokumentierten Aufrufen.
V - Zugelassenes Programm
Das Programm wurde zugelassen, damit ein Fehlalarm vermieden wird.
- Der Aufbau des Programms würde bei der heuristischen Analyse von
TbScan normalerweise einen Fehlalarm auslösen; oder:
- Das Programm könnte sich regelmäßig ändern. Daher wurde es von der
Integritätsprüfung ausgeschlossen.
Diese Ausnahmen werden in der Anti-Vir.Dat-Datei von TbSetup (auto-
matisch) oder TbScan (von Hand) gespeichert.
Y - Ungültiger Bootsektor
Der Bootsektor entspricht nicht vollständig dem von IBM definierten Boot-
sektor-Format. Es ist wahrscheinlich, daß der Bootsektor einen Virus ent-
hält oder beschädigt wurde.
Z - EXE/COM-Bestimmung
Das Programm scheint zu prüfen, ob eine Datei eine COM- oder EXE-Datei
ist. Eine COM-Datei zu infizieren, unterscheidet sich grundsätzlich
davon, eine EXE-Datei zu infizieren. Daher muß ein Virus, der beide
Dateitypen infizieren kann, sie auch unterscheiden können.
Natürlich gibt es auch "unschuldige" Programme, die herausfinden müssen,
ob eine Datei eine COM- oder eine EXE-Datei ist. Beispielsweise enthalten
Programme, die andere Programme komprimieren, Konvertierungsprogramme wie
EXE2COM, Debugger und Programme, die andere in den hohen Speicherbereich
laden, solche Routinen, die den Unterschied zwischen COM- und EXE-Dateien
erkennen können.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C
ANHANG C. Lösen von Kompatbilitätsproblemen
Obwohl die TBAV-Utilities so programmiert wurden, daß sie gut mit an-
deren speicherresidenten Programmen zusammenarbeiten können, ist dies
bei anderer Programmen nicht unbedingt genauso, was zu Systemfehlern
oder Schlimmerem führen kann.
Problem: Wenn eines der TBAV-Utilities versucht, eine Nachricht anzu-
zeigen, erscheint der Text 'message file <Dateiname> could
not be opened'.
Lösung: Geben Sie hinter dem Aufruf des TbDriver-Programms den ganzen
Pfadnamen der Meldungs-Datei an, die Sie verwenden möchten.
Geben Sie keine Datei an, wird die Datei TbDriver.Lng verwendet.
Problem: Sie arbeiten mit einem Netzwerk.
TbScanX wurde erfolgreich gestartet, aber zeigt bei Dateizu-
griffen nicht die Meldung "*scanning*" an und entdeckt auch
keine Viren.
TbCheck wurde erfolgreich installiert, aber zeigt bei Dateizu-
griffen nicht die Meldung "*checking*" an und entdeckt auch
keine Viren.
TbFile wurde erfolgreich installiert, aber es entdeckt über-
haupt nichts mehr.
TbMem wurde erfolgreich installiert, aber es entdeckt keine
TSR-Programme mehr.
Lösung: Starten Sie TbDriver mit der Option "net", nachdem des Netzwerk
gestartet wurde.
Problem: Das System hängt sich manchmal auf, während die Meldung
"*scanning*" oder "*checking*" angezeigt wird. Das Problem
ist schwer reproduzierbar. Der Computer hängt sich manchmal
auf, wenn Sie 'NO' (Ausführung NICHT verhindern) auf eine Mel-
dung von TbMem, TbFile oder TbDisk antworten.
Lösung: Versuchen Sie die Verwendung des Programms StackMan. StackMan
ist Bestandteil des TBAV-Programmpaketes.
TbScanX: Bringt der Einsatz von StackMan keine Besserung, können Sie
versuchen, TbScanX ohne die Optionen 'ems' oder 'xms' zu verwenden.
Wenn TbScanX dann ohne Probleme arbeitet, setzen Sie die Option 'ems'
oder 'xms' wieder ein, zusammen mit der Option 'compat'. Bei einigen
wenigen Systemen kann die 'xms'-Option gar nicht benutzt werden kann,
da die Verwendung von Extended Memory durch speicherresidente Pro-
gramme nicht zulässig ist.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C
Problem: Es ist nicht möglich, ein bestimmtes TSR-Programm nach TbScanX
zu laden. Das TSR meldet, daß es schon in den Speicher geladen
wurde, was jedoch nicht richtig ist.
Lösung: Verwenden Sie die Option 'compat', wenn Sie TbScanX laden. Denn
die Ursache ist, daß das TSR-Programm und TbScanX den selben
Multiplex-Interrupt-Aufruf verwenden.
Problem: Alles arbeitet korrekt, aber sobald Sie ein ganz bestimmtes
speicherresidentes Programm starten, hängt sich der Computer
auf, nachdem sich das TSR resident in den Speicher geladen hat.
Die TbScanX-Option 'compat' löst das Problem nicht.
Lösung: Benutzen Sie StackMan mit der Option '-dos' und versuchen Sie
es erneut.
Problem: Nachdem Sie einem Programm erlaubt haben, im Speicher resident
zu werden, fragt TbMem beim nächsten Aufruf des Programms wieder.
Lösung: 1) Die Startoption 'secure' von TbDriver wurde verwendet. Ent-
fernen Sie sie. Versuchen Sie es nach einem Neustart Ihres
Computers erneut.
2) Das besagte Programm taucht in der Datei Anti-Vir.Dat nicht
auf, weshalb TbMem die Erlaubnis nicht abspeichern kann. Er-
zeugen Sie mit TbSetup die nötigen Informationen für das
Programm.
Problem: Der Computer hängt sich manchmal auf, wenn Sie mit 'YES'
(Ausführung verhindern) auf eine Meldung von TbMem antworten.
Lösung: Keine. Einige speicherresidente Programme greifen so tiefgehend
in den Computer ein, bevor sie speicherresident werden, daß
nach einer gewaltsamen Entfernung aus dem Speicher das System
nicht mehr stabil arbeitet.
Problem: Wenn Sie TbDisk von der DOS-Befehlszeile aus aufrufen, arbeitet
zunächst alles richtig. Starten Sie TbDisk hingegen von der
config.sys oder der autoexec.bat aus, warnt es ständig vor
direkten Schreibzugriffen.
Lösung: Verschieben Sie den Aufruf von TbDisk ans Ende der Autoexec.Bat.
Problem: Sie formatierten mit dem DOS-Programm FORMAT.COM die Festplatte,
aber TbDisk meldete nichts, bis der Vorgang beinahe beendet war.
Lösung: Dies ist kein Problem. Ein Formatierungsprogramm wie FORMAT.COM
formatiert die Festplatte nicht, sondern liest alle Spuren ein,
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG C
um möglicherweise defekte Stellen zu finden. Danach wird die
Dateizuordnungstabelle FAT und die Verzeichnisstruktur geleert.
Nur dieser letzte Schritt ist ein Schreibzugriff, so daß auch
nur er von TbDisk bemerkt wird.
Problem: Nachdem ich einem Programm einmal die Erlaubnis für direkte
Zugriffe erteilt habe, fragt TbDisk bei der nächsten Verwendung
des Programms wieder nach.
Lösung: 1) Die Option 'secure' von TbDriver wurde verwendet. Entfernen
Sie diese Option, starten Sie den Computer erneut und versu-
chen Sie es noch einmal.
2) Das fragliche Programm erscheint nicht in der Datei Anti-
Vir.Dat, weshalb TbDisk den Hinweis auf die Erlaubnis nicht
abspeichern kann. Verwenden Sie TbSetup, um den betreffenden
Eintrag in der Datei Anti-Vir.Dat zu erstellen!
Problem: Wenn Sie in Windows den schnellen 32-Bit-Zugriff verwenden
möchten, meldet Windows beim Starten einen Fehler.
Lösung: Verwenden Sie beim Aufruf von TbDisk die Option 'win32'.
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG D
ANHANG D. Exit-Codes
TbScan endet mit der Rückgabe eines der folgenden Exit-Codes an DOS.
Errorlevel 0 Keine Viren gefunden / kein Fehler aufgetreten
1 Keine Dateien gefunden
2 Fehler aufgetreten
3 Dateien haben sich geändert
4 Virus durch heuristische Analyse gefunden
5 Virus durch Signaturen-Suche gefunden
255 Fehler bei Selbsttest
TbUtil endet mit der Rückgabe eines der folgenden Exit-Codes:
Errorlevel 0 Kein Fehler aufgetreten
1 Wenn Option 'compare' fehlgeschlagen oder
ein Fehler aufgetreten ist
Alle anderen Utilities enden mit der Rückgabe eines der folgenden
Exit-Codes:
Errorlevel 0 Kein Fehler aufgetreten
1 Fehler aufgetreten
TBAV Handbuch (C) 1993 Thunderbyte B.V. ANHANG E
ANHANG E. Benennung von Viren
Wieviele Viren werden von TbScan entdeckt?
Bei den meisten der von TbScan verwendeten Signaturen handelt es sich
um Signaturenfamilien: Jede einzelne Signatur deckt eine Vielzahl von
Viren ab; alle diese Viren sind miteinander 'verwandt'. Z.B. deckt die
Jerusalem-Signatur mehr als 100 Viren ab. Aus diesem Grund kann man
nicht sagen, wieviele Viren TbScan entdeckt.
Einige vergleichbare Programme betrachten jede einzelne Mutante als ei-
nen separaten Virus und behaupten daher, mehr als 2000 Viren entdecken
zu können. Obwohl TbScan nur mit 1000 Signaturen arbeitet, entdeckt das
Programm bei weitem mehr Viren als 'nur' 1000. Wenn Sie Virenscanner
vergleichen wollen, sollten Sie auf die in Fachmagazinen häufig publi-
zierten Tests zurückgreifen.
Die Namenskonventionen für Viren
TbScan folgt bei der Viren-Benennung den Empfehlungen der CARO. Die CARO
ist eine Organisation, in der führende Anti-Viren-Forscher zusammenge-
schlossen sind. Viren sind in einem hierarchisch aufgebauten Baum ange-
ordnet, an welchem abzulesen ist, zu welcher Familie ein Virus gehört.
TbScan zeigt den vollständigen CARO-Namen an, wenn dies möglich ist.
Andere Anti-Viren-Proukte hingegen zeigen entweder nur den Familien-
namen oder nur den Mitgliedsnamen an. So wird beispielsweise der
'Leprosy.Seneca.493'-Virus nur mit dem Familienname 'Leprosy' oder
dem Mitgliedsnamen 'Seneca' oder sogar nur mit dem Variantennamen '493'
angegeben.
Anti-Viren-Produkte, die nicht von CARO-Mitgliedern entwickelt wurden,
können sogar völlig andere Namen verwenden. TbScan versucht jedoch, den
Namen so vollständig als möglich anzuzeigen. Kann TbScan z.B. nicht
zwischen dem 'Leprosy.Seneca.493'- und dem 'Leprosy.Seneca.517'-Virus
unterscheiden, werden beide Viren als 'Leprosy.Seneca' bezeichnet.
Manche Viren mutieren häufig. Um alle Stufen eines solchen Virus zu
entdecken, ist es manchmal notwendig, Mehrfach-Siganturen einzusetzen.
Obwohl diese Signaturen ein und denselben Virus abdecken, haben Sie
eine etwas andere Darstellung: Hinter dem Virenname sehen Sie eine
Nummer in spitzen Klammern. Diese hat nichts mit dem Namen des Virus
zu tun, sie hat lediglich interne Funktionen.