home *** CD-ROM | disk | FTP | other *** search
/ Hacker / Hacker.iso / HACKER / ANTIVIR / MSCAN35 / MEMSCAN.DOC < prev    next >
Encoding:
Text File  |  1997-05-14  |  12.4 KB  |  311 lines
  1.  
  2. __MEMSCAN.DOC_________________________________________________________________
  3. ______________________________________________________________________________
  4. __Anleitung________________________________________Memory_Scanner_____________
  5. ______________________________________________________________________________
  6. ______________________________________________________________________________
  7.                                         (c) 16.10.1990-96 by ROSE, Ralph Roth
  8.  
  9.  
  10.     Regelbasierendes, universelles Virensuchprogramm für den Arbeits-
  11.     speicher. Ist nicht auf bekannte Viren beschränkt!
  12.  
  13.  
  14.    Funktion von MemScan:
  15.    ---------------------
  16.  
  17.     MemScan untersucht Ihren Arbeitsspeicher auf speicherresidente
  18.     Computerviren. Falls Sie hierzu Fragen haben, lesen Sie die
  19.     Dateien VIRSCAN.DOC & VIRSCAN.TXT durch (falls vorhanden).
  20.  
  21.     MemScan kann auch das "UPPER" Memory (UMB = Speicher oberhalb
  22.     von 640 KB bis zu 1MB) und den HMA (High Memory Area = 1088 KB)
  23.     Bereich untersuchen. MemScan benötigt für die Virenerkennungen
  24.     und Hashtabellen insgesamt ca. 450 KB freien Arbeitsspeicher!
  25.     Memscan's Arbeitsspeicherbedarf wurde speziell an Netzwerk-
  26.     umgebungen angepasst und läuft deshalb auch mit nur 450 KB freiem
  27.     Speicher!
  28.  
  29.     MemScan findet -dank heuristischen Scannen- unbekannte
  30.     Viren (Option /UNB). MemScan meldet solche Viren i. A. mit einer
  31.     der folgenden Meldungen:
  32.  
  33.                 Execution - Funktion [EXEC]   oder
  34.                 Generic File Open [FOpen]     oder
  35.                 Memory Control Blocks [MCB]   oder
  36.                 Generic Bootvirus [BOOT]        (und weitere...)
  37.  
  38.     Bei Meldung einer dieser zwei Viren bitte ich um Zusendung einer
  39.     infizierten Datei, um den Virus zu klassifizieren zu können (wenn
  40.     VirScan mit der Option /HEUR in Dateien den gleichen Virentyp
  41.     anzeigt) und um ihn in MemScan aufnehmen zu können! Versuchen Sie den
  42.     Virus die beigefügten "Opferdateien" INFECTME.* infizieren zu lassen!
  43.  
  44.  █▀▀▀█  Hinweis:  MS-DOS 6.xx und Novell DOS 7.0 erzeugen einen
  45.  █   █  Fehlalarm bei der Option /UNB in Verbindung mit der
  46.  █   █  Option /HIGH.
  47.  █   █
  48.  ▀▀▀▀▀  Meistens wird ein Generic Exec Virus im Segment Fxxx:xxxx
  49.  █▀▀▀█  gemeldet, welches jedoch der hochgeladene COMMAND.COM belegt.
  50.  ▀▀▀▀▀
  51.  
  52.     MemScan warum?
  53.     --------------
  54.  
  55.     MemScan wird von uns intern verwendet, um neue Viren schnell und
  56.     sicher in VirScan aufzunehmen. Anwender haben uns jedoch laufend
  57.     nach einem Programm gefragt, daß NUR den Arbeitsspeicher untersucht.
  58.     Aus diesem Grund wurde MemScan der Öffentlichkeit zugänglich gemacht.
  59.  
  60.  
  61.     Wahlweise Aufrufparameter:
  62.     --------------------------
  63.  
  64.         /?              Kurze Hilfestellung ausgeben
  65.         /HIGH           Hohen Arbeitsspeicher (bis 1 MB) auch durchsuchen.
  66.         /IVT            Interrupt Virentest, siehe auch VIRSCAN.DOC
  67.         /UNB            Nach neuen unbekannten Viren suchen.
  68.                         Keinen Hinweis zur Parametersyntax ausgeben
  69.                         (Guru-Option).
  70.         /NOVIR          Keinen Hinweis zur Virussonderaktion anzeigen.
  71.  
  72.  
  73.     Option /UNB
  74.     -----------
  75.  
  76.         Diese Option ist nur für den Ernstfall gedacht! Diese Funktion
  77.         erzeugt IMMER Fehlalarme! Sie dient mir zum Katalogisieren von
  78.         bekannten und neuen Viren! Fast jeder neue Virus kann mit
  79.         MemScan gefunden werden!
  80.  
  81.  
  82.     Option /IVT
  83.     -----------
  84.  
  85.         Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 150
  86.         der bekanntesten  Viren untersucht  werden. Dies erfolgt mit
  87.         sogenannten  "Am   I  there"   Aufrufen,  die  in  Sekunden-
  88.         bruchteilen durchgeführt  sind (im  Vergleich zum  langsamen
  89.         Untersuchen des  Arbeitsspeichers). Der Arbeitsspeicher wird
  90.         hierbei u.a. auf folgende Viren untersucht:
  91.  
  92.             -  Jerusalem und verwandte Viren (mind. 48 Varianten)
  93.                  -  Frere Jaque
  94.                  -  Fu Manchu
  95.             -  Tequila (Tarnkappen/Stealth-Virus)
  96.             -  Yankee Doodle/Vacsina (45 Varianten)
  97.             -  Cascade und Yap (14 Varianten)
  98.             -  Flip/Omicrone (6 Varianten/Substealth-Virus)
  99.             -  Parity Check (4 Varianten, Bootvirus)
  100.             -  dBase
  101.             -  Plastique (AntiCad,  Invader, Tobacco, 4.21, 5.21 und
  102.                Cobol)
  103.             -  Tremor (Tarnkappenvirus)
  104.             -  Hare
  105.  
  106.         Bei Erkennung  des Virus  wird der  Benutzer darüber  infor-
  107.         miert.
  108.  
  109.         Sie sollten  diese Option  nicht verwenden,  wenn Sie Novell
  110.         Netware installiert  haben, weil  es zu Überschneidungen der
  111.         Interruptaufrufe kommt.  Diese Funktion  wurde  ursprünglich
  112.         automatisch durchgeführt, es hat sich jedoch herausgestellt,
  113.         daß die    sogenannten  "Am  I  there"  Aufrufe  nicht  100%
  114.         kompatibel  mit   verschiedenen  Betriebssystemen  und  Kon-
  115.         figurationen sind.  Falls es  also zu ungewöhnlichen Seiten-
  116.         effekten kommt, so könnte es an dieser Option liegen.
  117.  
  118.         Diese Option  untersucht -falls  vorhanden- auch  den  hohen
  119.         Arbeitsspeicher (HMA) auf Viren.
  120.  
  121.  
  122.    Hinweise zur Parametereingabe
  123.    -----------------------------
  124.  
  125.      Anwender, welche die amerikanische Parametereingabe mit dem Mi-
  126.      nuszeichen gewohnt  sind, können  statt den  Slashzeichen ('/')
  127.      das Minuszeichen ('-') verwenden.
  128.  
  129.      Beispielsweise ist -ivt äquivalent mit /Ivt
  130.  
  131.      Hinweis: Zwischen  den einzelnen  Parametern muß mindestens ein
  132.      Leerzeichen vorhanden sein!
  133.  
  134.  
  135.    Die Umgebungsvariable MEMSCAN
  136.    ----------------------------
  137.  
  138.      Statt MEMSCAN  immer mit  Parametern aufzurufen, kann MemScan mit
  139.      einer sogenannten  Environmentvariable (Umgebungsvariable)  ge-
  140.      steuert werden.
  141.  
  142.      Geben Sie beispielsweise am DOS-Prompt folgendes ein:
  143.  
  144.                         SET MEMSCAN=/unb -high -ivt
  145.  
  146.      Wenn Sie nun MemScan starten, ließt MemScan aus der Variable alle
  147.      benötigen Parameter aus.
  148.  
  149.  
  150.    Zurücksetzen von voreingestellten Werten
  151.    ----------------------------------------
  152.  
  153.      Manchmal ist  es wünschenswert,  schon fest  (also per SET
  154.      MEMSCAN=...) eingestellte  Optionen wieder  rückgängig  zu  machen.
  155.      Dies erfolgt  einfach durch Angabe eines Minuszeichens nach der
  156.      Option. damit wird die Option ausgeschalten!
  157.  
  158.      Beispielsweise haben Sie folgendes eingeben:
  159.  
  160.                              SET MEMSCAN=/high
  161.  
  162.      Dann starten Sie MemScan mit folgendem Parameter:
  163.  
  164.                                MEMSCAN /high-
  165.  
  166.  
  167.    Fehlalarme von MemScan
  168.    ----------------------
  169.  
  170.      MemScan entdeckt mit der Option /UNB ca.  98% ALLER neuer
  171.      speicherresidenten Viren, jedoch ist diese Option nur für absolute
  172.      Virengurus zu empfehlen.  TIP:  Bei einem Virusverdacht VirScan Plus
  173.      mit folgenden Parametern starten:
  174.  
  175.                             Virscan -auto -heur -log
  176.  
  177.      Findet VirScan Plus jetzt in mehreren EXE/COM den gleiche Virus wie
  178.      MemScan:  Neuer Virus!  Findet VirScan in vielen COM/EXE einen anderen
  179.      Virus, z.B.:  Crypt/FamZ, dann ist es ein neuer VERSCHLÜSSELTER Virus!
  180.      In diesen Fällen bitte eine Diskette mit diesen infizierte Dateien
  181.      zusenden!  Hinweis:  Die Option /HEUR ist nur in der Vollversion von
  182.      VSP enthalten!
  183.  
  184.  
  185.    Der Integrierte Virenschutz
  186.    ---------------------------
  187.  
  188.          Das Programm  enthält einen  integrierten Checksummentester,
  189.          um einen  möglichen Virenbefall  gleich anzeigen  zu können.
  190.          Die zum  Programm gehörige  Checksumme befindet  sich in der
  191.          Datei mit der Endung "XXX".
  192.  
  193.          Diese in  der Datei  befindliche Checksumme sowie das Haupt-
  194.          programm dürfen  auf keinen Fall verändert bzw.  modifiziert
  195.          werden!   Das Hauptprogramm nimmt sonst an, es sei eventuell
  196.          von einem  Virus befallen  worden (dem  Programm noch  unbe-
  197.          kannter Virus)!
  198.  
  199.          Folgende Merkmale  der EXE-Datei  werden überwacht  und  auf
  200.          Veränderungen überprüft:
  201.  
  202.             ■ Checksumme  - Wird  auch nur  ein Bit des Programms vom
  203.              Virus verändert,  so stimmt  die Checksumme  nicht  mehr
  204.              (eigene sichere Routine, nach ANSI X3.66 - CRC-Poly ist:
  205.              0xDEBB20E3).
  206.  
  207.             ■ Dateilänge  - Wird  ein Programm über Nacht um ein oder
  208.              zwei KB länger, ist es infiziert!
  209.  
  210.          Ich rate  ab, irgendwelche Änderungen an der EXE & XXX-Datei
  211.          durchzuführen, da  dann das  Programm mit  Sicherheit  nicht
  212.          mehr läuft!  Die Datei mit der Endung "XXX" enthält auch die
  213.          aktuelle Version,  wieviel verschiedene  Viren vom Checksum-
  214.          mentester erkannt  werden können.  Das Testen der Checksumme
  215.          nimmt ca.  1-5 Sekunden Zeit in Anspruch (je nach Rechnertyp
  216.          und Laufwerk). Meiner Ansicht nach ein vertretbarer Aufwand!
  217.          Ist die Checksumme in Ordnung, wird das Programm ausgeführt.
  218.          Andernfalls  wird   eine  ausführliche   Fehlermeldung   mit
  219.          Hinweisen auf mögliche Fehlerquellen ausgegeben.
  220.  
  221.  
  222.   Sonstiges
  223.   ---------
  224.  
  225.     Wenn Sie die Vollversionen meiner Antivirensoftware erwerben
  226.     wollen, so starten Sie bitte das Programm REGISTER.COM und ein
  227.     Bestellschein wird ausgedruckt.
  228.  
  229.     Übrigens ist MemScan von 250 KB auf z. Z. 70 KB EXE + 130 KB
  230.     Overlay komprimiert!
  231.  
  232.  
  233.   Was ist neu?
  234.   ------------
  235.  
  236.        Version                                Änderungen
  237.     #######################################################################
  238.         3.00                    Teile von MemScan wurden in die Overlay-
  239.                                 Datei MEMSCAN.OVR ausgelagert, deshalb
  240.                                 benötigt MEMSCAN jetzt 50 KB weniger
  241.                                 Arbeitsspeicher. Checksummentester hinzu-
  242.                                 gefügt.
  243.         3.10                    Erweiterter 'Am I There' Virentest.
  244.         3.17                    Wartet jetzt nicht mehr auf Tastendruck,
  245.                                 wenn KEIN Virus gefunden wurde!
  246.         3.33                    Anzahl von erkannten Viren ca. 3.000 Stück!
  247.         3.36                    Den Paket liegt jetzt auch HMS.COM bei.
  248.         3.50                    Live Bait Test um unbekannte Dateiviren zu
  249.                                 erkennen.
  250.         3.53                    Neue ChkPC Version (Hare & Boot-437)
  251.     3.55            50 neue Viren, u.a. CriCri & Grief.
  252.  
  253.  
  254.   BANNERWARE von ROSE
  255.   -------------------
  256.  
  257.     Dieses Programm darf frei kopiert und weitergegeben werden.  Es
  258.     handelt sich hier um sog.  Bannerware, d. h. ich lege nur Wert darauf,
  259.     das folgende Vereinbarungen eingehalten werden:
  260.  
  261.         ■ das (C)opyright liegt bei ROSE, Ralph Roth (sog. BANNER)
  262.         ■ ein Verkauf und/oder gewerbliche Weitergabe der Programme ist
  263.           verboten. Keine kommerzielle Weitergabe ohne unseres
  264.           schriftliches Einverständnis!
  265.         ■ die Programme MÜSSEN kostenlos bzw. gegen eine kleine Kopierge-
  266.           bühr (Sharewarehändler) weitergegeben werden (max. DM 10).
  267.         ■ keine Haftung für jegliche denkbare Fehler!
  268.         ■ die Programme/Dokumentationen dürfen nicht verändert werden!
  269.         ■ das Programmpaket muß komplett und unverändert weitergegeben
  270.           werden!
  271.  
  272.     Wer diese Bestimmungen nicht einhält begeht unter Umständen eine
  273.     (C)opyrightverletzung und macht sich eventuell strafbar! ;-)))
  274.  
  275.  
  276.  
  277.  
  278. (C)opyright 1987-96 by:
  279. -----------------------
  280.  ALL RIGHTS RESERVED!
  281.  
  282.  
  283.             ┌────────────────────────────────┐
  284.             │ ROSE Softwareentwicklung       │█
  285.             │ Dipl.-Ing. (FH) Ralph Roth     │█
  286.             │ Finkenweg 24                   │█
  287.             │                                │█
  288.             │ D 78658 Zimmern o. R.          │█
  289.             │                                │█
  290.             │ FAX/AB:  +49.741-32647         │█
  291.             └────────────────────────────────┘█
  292.               ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
  293.  
  294.     EMail:        rar@fh-albsig.de (check out if this account exists)
  295.     EMail:        Ralph_Roth@p2.f2101.n246.z2.fidonet.org
  296.     Fido:         2:246/2101.2
  297.  
  298.  
  299.  
  300. -----BEGIN PGP PUBLIC KEY BLOCK-----
  301. Version: 2.6.2
  302.  
  303. mQBNAi847YIAAAECANEe8vGPyKnR0bVoMO9vEu0hD+pMItDzLSvxqWF8W8YWzZ3U
  304. AdhzfNDKL9uEo6BY/jHAF3m8vi5T//pgOsw3QqUABRG0HVJhbHBoIFJvdGggPHJh
  305. ckBmaC1hbGJzaWcuZGU+
  306. =048D
  307. -----END PGP PUBLIC KEY BLOCK-----
  308.  
  309.  
  310. * ENDE *
  311.