home *** CD-ROM | disk | FTP | other *** search
/ Hacker / Hacker.iso / HACKER / ANTIVIR / MSCAN35 / HMS.DOC < prev    next >
Encoding:
Text File  |  1997-05-14  |  10.0 KB  |  233 lines
  1. HMS - Heuristischer Memory Scanner - Überprüft den PC auf Viren.
  2. (C)opyr. 1992-96 by ROSE, Ralph Roth, Finkenweg 24, D 78658 Zimmern
  3.  
  4.  
  5.    ══════════════════════════════════════════════════════════════════════
  6.                      ██╗  ██╗ ███╗   ███╗ ███████╗
  7.                      ██║  ██║ ████╗ ████║ ██╔════╝
  8.                      ███████║ ██╔████╔██║ ███████╗
  9.                      ██╔══██║ ██║╚██╔╝██║ ╚════██║
  10.                      ██║  ██║ ██║ ╚═╝ ██║ ███████║
  11.                      ╚═╝  ╚═╝ ╚═╝     ╚═╝ ╚══════╝
  12.    ══════════════════════════════════════════════════════════════════════
  13.  
  14.  
  15. Funktion:
  16. ~~~~~~~~~
  17.  
  18.     HMS ist ein Programm zum Erkennen von bekannten und UNBEKANNTEN (neuen)
  19.     Viren im Arbeitsspeicher.  Viele Viren laden sich selbst in den
  20.     Arbeitsspeicher und überwachen das Ausführen von Programmen durch DOS.
  21.     Wird ein Programm ausgeführt, überprüft der Virus ob es schon infiziert
  22.     ist oder infiziert es.  Damit der Virus sich nicht laufend neu
  23.     installiert, überprüft er, ob er schon 'speicherresident' ist.  Diese
  24.     Überprüfung führt HMS ebenfalls durch.  Normalerweise erhält HMS jedoch
  25.     als Rückgabewert einen 'Fehler'.  Falls kein Fehler zurückgegeben wird,
  26.     könnte ein Virus diese Funktion belegen!  Damit HMS keine Fehlalarme
  27.     erzeugt, wurde HMS unter den verschiedensten Konfigurationen getestet
  28.     und teilweise auch auf verschiedene Programme angepasst.  So wurde HMS
  29.     u. a. unter folgenden Betriebssystem/Konfigurationen getestet:
  30.  
  31.  
  32.        MS-DOS 3.10, 3.21, 3.30, 3.31, 4.01, 5.00, 6.00, 6.20, 6.22
  33.        PC-, Tulip- & Compac-DOS 3.31, 4.01, 5.00, 6.00
  34.        DR-DOS 3.41, 5.00 & 6.00
  35.        OS/2 1.x, 2.0, 2.1 (Achtung: Läuft nicht mit OS/2 Warp!)
  36.        Windows 3.1x, Novell Netware, RTX-DOS, QEMM, IBM LAN Manager,
  37.        386 MAX, MS LAN Manager, SCROLLit 1.3,
  38.        MS-DosShell, CEMM und verschiedenen residenten Antivirenprogrammen
  39.        (VSAFE, TSAFE, SVS, DEFENDER, VDEFENDER, VIRSTOP u.a.)
  40.        Novell DOS 7.0 - bis Patchlevel 13 (Englisch) und Patchlevel 15 (Dt)
  41.  
  42.     Zusätzlich wurde HMS in Verbindung mit über 50 verschiedenen
  43.     speicherresidenten Programmen ausführlich ausgetestet und teilweise
  44.     angepasst!
  45.  
  46.     Inkompatibilitäten:
  47.     -------------------
  48.  
  49.     HMS funktioniert nicht mit folgenden Programmen bzw. Betriebssystemen:
  50.  
  51.     ■ TSafe (die Uraltversion von 1990) - speichert nicht alle Register ab!
  52.     ■ XRAY - HMS erkennt ob XRAY (1.09) installiert wurde und bricht ab.
  53.     ■ RIO (Rock Input-Output) - Wer kann mir sagen, wie man RIO auf
  54.       Vorhandensein abfrägt?
  55.     ■ RelRes (aus CT'91 - 27.06.91) ist total imkompatibel zu HMS, CHKPC
  56.       und VSTOP. Falls ein Anwender RelRes verwendet, erweitere ich gerne
  57.       die Programme um eine zusätzliche Abfrage.
  58.     ■ Novell DOS 7.0 (einige Funktionen werden deshalb nicht überprüft!)
  59.     ■ OS/2 alle Versionen!
  60.     ■ Spezielle, unsauber programmierte Festplattentreiber, z.B.: SSCI
  61.  
  62.  
  63.     Arbeitsspeicher scannen:
  64.     ------------------------
  65.  
  66.     Das Programm HMS überprüft den Arbeitsspeicher zusätzlich auf folgende
  67.     bekannte Viren:
  68.  
  69.               ■ Jerusalem Familie          >> 80 Varianten
  70.               ■ Vacsina + Yankee Doodle     - 48 Varianten
  71.               ■ Cascade Familie (1701/1704) - 14 Varianten
  72.               ■ Tequila                     -  3 Varianten
  73.               ■ Plastique (4.21/5.21/Cobol) - 11 Varianten
  74.               ■ Omicrone/Flip & Prism       -  6 Varianten
  75.               ■ Parity Boot, Tomalak etc.   -  3 Varianten
  76.               ■ EbbelWoi/King M.         mind. 3 Varianten
  77.               ■ Tremor (Tarnkappenvirus)    -  3 Varianten
  78.               ■ Natas (Tarnkappenvirus)  mind. 3 Varianten
  79.               ■ Hare Familie             mind. 3 Varianten
  80.               ■ Perfume (4711)              -  2 Varianten
  81.               ■ dBase, FSP Killer           je 1 Variante
  82.               ■ Neuroquila, Nighfall        je 2/3 Varianten
  83.               ■ MegaStealth                    1 Variante
  84.     und weitere...
  85.  
  86.  
  87.     Sollten Sie DR-DOS verwenden, bricht HMS nach dieser Prüfung ab (s. u.)!
  88.  
  89.  
  90. Einsatz:
  91. ~~~~~~~~
  92.  
  93.     Starten Sie Ihren Computer wie gewohnt.  Führen Sie HMS aus.  HMS
  94.     sollte jetzt unter jeder überprüften Funktion ein "--- OK! ---"
  95.     melden.  Sollte dies nicht der Fall sein haben Sie wahrscheinlich ein
  96.     Programm geladen, welches HMS antwortet.  Sollte HMS jedoch
  97.     beispielsweise folgendes melden:
  98.  
  99.           :
  100.           :
  101.        AX vor Aufruf FE01, AX nach Aufruf 01FE!
  102.           :
  103.           :
  104.  
  105.     wäre (in diesem Fall) der Flip Virus aktiv.  Lassen Sie sich jedoch
  106.     nicht verunsichern, dieses Programm soll ja nur ein Werkzeug
  107.     darstellen.  Versuchen Sie in diesem Fall TSR's aus der AUTOEXEC.BAT
  108.     und Devicetreiber aus der CONFIG.SYS zu deaktivieren.  Bei MS-DOS 6.0
  109.     beim Booten die F5-Taste drücken und damit DOS 'nackt' booten.  Meldet
  110.     HMS nach der Deaktivierung keine Interruptüberschneidung mehr, liegt
  111.     eine Inkompatibilität zu HMS vor!  Bitte senden Sie mir das
  112.     entsprechende Programm zu!  Zum Überprüfen, welche Programme
  113.     speicherresident geladen wurden, können Sie auch das Programm RESIDENT
  114.     mit der Option '/a-' verwenden!  Falls es Probleme mit irgendeinem
  115.     Programm geben sollte, sollten Sie Ihrem Schreiben auf jedem Fall einen
  116.     Ausdruck von ROSEDIAG beilegen. Einen Ausdruck erstellen Sie wie folgt:
  117.  
  118.                             rosediag > lpt1:
  119.                                  und
  120.                                hms > lpt1:
  121.                     (anschließend eine Taste drücken)
  122.  
  123.     Sollte HMS jedoch keine Interruptüberschneidung melden, können Sie HMS
  124.     in die AUTOEXEC.BAT einbinden um einen größtmöglichen Schutz zu
  125.     gewährleisten.  Sollte sich nämlich jetzt ein Virus einnisten, könnte
  126.     es zu eine Interruptüberschneidung führen, die eventuell beim Start von
  127.     HMS angezeigt werden könnte!
  128.  
  129.     HMS (und die anderen Antivirenprogramme) besitzen einen einzigartigen
  130.     Selbstschutz, der teilweise aktive Tarnkappenviren erkennt und
  131.     entsprechend den Virus deaktiviert! So erkennt HMS z. B. den Shiny-Virus
  132.     und hält das Programm vorsichtshalber an!
  133.  
  134. Parameter:
  135. ~~~~~~~~~~
  136.  
  137.     HMS kann mit verschiedenen Parameter an Ihre Bedürfnisse angepasst
  138.     werden.  Um eine Übersicht der aktuellen Parameter zu erhalten,
  139.     starten Sie HMS mit dem Parameter '/?' (-> HMS /?).
  140.  
  141.  
  142. Parameter /N+
  143. ~~~~~~~~~~~~~
  144.  
  145.     Mit dem Parameter /N+ können Sie HMS anweisen, auch die Funktionen, die
  146.     normalerweise Novell Netware bzw.  andere Netzwerke belegen zu
  147.     überprüfen.  WARNUNG:  Falls Sie diese Option in Verbindung mit einem
  148.     Netzwerktreiber ausführen, kommt es zu einen Systemzusammenbruch Ihres
  149.     Arbeitsrechners oder sogar des Netzwerkes!  Aus diesem Grund muß diese
  150.     Option explizit angeben werden.  Falls von HMS ein Netzwerk gefunden
  151.     wird, wird automatisch die Option /N+ gesperrt!  Die Option /N+ ist nur
  152.     für unvernetzte Rechner sinnvoll, oder bevor irgendein Netzwerktreiber
  153.     geladen wird (z.B.: erstes Programm in der AUTOEXEC.BAT)!
  154.  
  155. Tips:
  156. ~~~~~
  157.  
  158.     Wenn Sie einen größtmöglichen Schutz gegen eine Vireninfektion wünschen,
  159.     binden Sie bitte wie folgt die Programme HMS, CHKPC und VSTOP in Ihre
  160.     AUTOEXEC.BAT-Datei ein (Reihenfolge beachten):
  161.  
  162.         C:\VIRSCAN\TOOLS\QMS.EXE
  163.         C:\VIRSCAN\TOOLS\CHKPC.COM -p
  164.         C:\VIRSCAN\TOOLS\HMS.COM /n+
  165.         C:\VIRSCAN\TOOLS\VSTOP.COM -w
  166.  
  167.     Falls Sie die Programme in ein anderes Verzeichnis installiert haben,
  168.     müssen Sie die Pfade entsprechend anpassen. Fügen Sie die drei Zeilen
  169.     gegen Ende der Datei ein, um einen größtmöglichen Schutz zu
  170.     gewährleisten.
  171.  
  172.  
  173. Hinweis:
  174. ~~~~~~~~
  175.  
  176.     Eventl. nicht geeignet für DR-DOS, SCSI-Treiber und CD-ROM.  Gegen einen
  177.     Unkostenbeitrag von DM 20,-- können Sie die neueste Version von HMS
  178.     plus weiteren Antivirentools bestellen.  HMS überprüft sich selbst auf
  179.     Virenbefall oder Veränderungen und sollte deshalb in die AUTOEXEC.BAT
  180.     integriert werden!  Durch einen integrierten Checksummentest kann das
  181.     Programm nicht mehr geändert werden.  HMS merkt hierdurch teilweise
  182.     sogar eine Infektion durch Tarnkappenviren (Stealthviren)!
  183.  
  184.  
  185. Lizenzvereinbarung:
  186. ~~~~~~~~~~~~~~~~~~~
  187.  
  188.     HMS ist BANNERWARE (darf privat umsonst benützt werden)!  MODIFIZIEREN,
  189.     ÄNDERN, DIESE ANLEITUNG WEGLASSEN UNTERSAGT!  JEDE KOMMERZIELLE
  190.     WEITERGABE/NUTZUNG UNTERSAGT!  Weitere Nutzungslizenzbestimmungen:
  191.     LIZENZ.DOC und FREEWARE.COM!  Jede kommerzielle Verwendung erfordert
  192.     unsere schriftliche Einverständnis (auch Bundling, Veröffentlichung in
  193.     Zeitschriften u. ä.)!
  194.  
  195.  
  196. Garantieausschlußerklärung:
  197. ~~~~~~~~~~~~~~~~~~~~~~~~~~~
  198.  
  199.     Das Programm HMS kann unter Umständen andere speicherresidente Software
  200.     beeinflussen! Es wäre theoretisch möglich, daß es zu Seiteneffekten
  201.     kommen könnte (solche Seiteneffekte wurden jedoch noch nicht
  202.     festgestellt)!
  203.  
  204.     Unter keinen Umständen ist der Programmautor Ralph Roth haftbar für
  205.     jegliche Folgeschäden, einschließlich aller entgangenen Gewinne und
  206.     Vermögensverluste, oder anderer mittelbarer und unmittelbarer Schäden,
  207.     die durch den Gebrauch oder die Nichtverwendbarkeit dieser Software und
  208.     ihrer begleitenden Dokumentationen entsteht.  Dies gilt auch dann, wenn
  209.     der Autor über die Möglichkeit solcher Schäden unterrichtet war oder
  210.     ist!
  211.  
  212.  
  213. (C)opyright 1987-96 by:
  214. -----------------------
  215.  ALL RIGHTS RESERVED!
  216.  
  217.  
  218.             ┌────────────────────────────────┐
  219.             │ ROSE Softwareentwicklung       │█
  220.             │ Dipl.-Ing. (FH) Ralph Roth     │█
  221.             │ Finkenweg 24                   │█
  222.             │                                │█
  223.             │ D 78658 Zimmern o. R.          │█
  224.             │                                │█
  225.             │ FAX/AB:  +49.741-32647         │█
  226.             └────────────────────────────────┘█
  227.               ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
  228.  
  229.     EMail:        rar@fh-albsig.de (check out if this account exists)
  230.     EMail:        Ralph_Roth@p2.f2101.n246.z2.fidonet.org
  231.     Fido:         2:246/2101.2
  232.  
  233.