********************************************* 08.04.90 **** * * * SAGROTAN * * * * - DER ultimative Virenkiller - * * * * Henrik Alt * * Kirgelweg 25 * * 7160 Gaildorf * * * * - schtzt zuverl„ssig vor Viren * * - immunisiert Ihre Disketten * * - Public-Domain * * * *********************************************************** Inhalt 1 Vorbemerkungen 1.1 Hinweise zum Public-Domain-Vertrieb 1.2 Update-Service 1.3 Hardwarevoraussetzungen 1.4 Sonstiges 2 Kleine Virenkunde 2.1 Was ist ein Virus? 2.2 Aufbau eines Virusprogrammes 2.3 Virenbefall beim Atari ST 2.4 Was tun bei Virenbefall? 2.5 Wie sich ein Virus manchmal verr„t 2.6 Prophylaxe 2.7 Hinweise fr Festplattenbesitzer 2.8 Linkviren 3 Arbeiten mit SAGROTAN 3.1 Die ersten Schritte 3.2 Bootsektorprfung 3.3 Linkvirenprfung 3.4 Speicherprfung 3.5 Bootsektorreparatur 3.6 Accessories 3.7 Gefahrenhinweise 3.8 Installation auf Computern mit nur 512 KB-RAM 4 Die Handhabung der Bibliotheken 4.1 Die Virenbibliothek 4.2 Bibliothek bekannter Bootprogramme 4.3 Zusammengefasste Viren und Bootsektoren 4.4 Festplattenrootsektoren 4.5 Vergleichsdaten bekannter Programme 5 Anhang 1 Vorbemerkungen ---------------- 1.1 Hinweise zum Public-Domain-Vertrieb SAGROTAN ist ein Public-Domain-Programm und darf frei kopiert werden. Die kommerzielle Nutzung ist jedoch unter- sagt! Erlaubt ist jedoch das Aufbringen des SAGROTAN- Bootsektors auf kommerzielle Programme. 1.2 Update-Service Mit 30 DM honorieren Sie die Mhe, die in SAGROTAN steckt, und erhalten eine neue Version von SAGROTAN. Falls Sie einen neuen Virus oder ein unbekanntes Bootpro- gramm einschicken, erhalten Sie KOSTENLOS eine neue, ggf. an diesen Virus angepažte Version! 1.3 Hardwarevoraussetzungen SAGROTAN l„uft nur in der mittleren oder hohen Bildschirm- aufl”sung. Wegen der sehr umfangreichen Vergleichsdaten sollte fr die Arbeit mit SAGROTAN ca. 500 KB Speicher zur Verfgung stehen. Steht weniger Speicher zur Verfgung, ist die Gr”že der auf Virenbefall zu untersuchenden Dateien stark eingeschr„nkt. Bei Computern mit nur 512K RAM kann es n”tig sein Teile der Vergleichsdaten wegzulassen. 1.4 Sonstiges Mein Dank geht an dieser Stelle an Clemens Weller, Fichten- berg, fr die tatkr„ftige Untersttzung bei der Entwicklung der Benutzeroberfl„che. Auch konnte die Fehlersuche im Programm durch seine "Weller-Tools fr GFA-BASIC" sehr vereinfacht werden. Ebenso geht mein Dank an D. Foerster-Michalke, Solingen, fr die Korrektur dieser Anleitung. Mein Zorn gilt natrlich all denjenigen, die diese l„stigen Viren programmieren oder in Umlauf bringen. 2 Kleine Virenkunde ------------------- Ziel dieses Kapitels ist es, dem Anwender von SAGROTAN die Funktion von Virusprogrammen zu erl„utern und die bei Virenbefall n”tigen Gegenmažnahmen zu erkl„ren. 2.1 Was ist ein Virus? Ein Virusprogramm ist ein Programm, das sich vermehren kann. Wie in Biologie ist der Virus dabei auf die Hilfe eines sog. Wirtes, in unserem Fall der Atari ST, angewiesen. 2.2 Aufbau eines Virusprogrammes Aus der Funktion eines Virusprogrammes ergibt sich, daž ein Virus normalerweise die folgenden Programmteile enth„lt: - Initialisierung dieser Programmteil l„dt oder verschiebt den Virus an seine endgltige Zieladresse und setzt die Ereignisber- wachung in Gang. - Ereignisberwachung dieser Programmteil zapft das Betriebssystem an und wartet auf eine gnstige Gelegenheit zum Eingreifen. - Vermehrungsteil dieser Programmteil wird von der Ereignisberwachung aufgerufen und bewirkt, daž ein neuer Virus auf die Diskette oder Festplatte geschrieben wird. - Aktionsteil dieser Programmteil wird nur unter ganz bestimmten Umst„nden von der Ereignisberwachung aufgerufen und bewirkt die blen Sachen, vor denen es den Computeran- wendern so graust. 2.3 Virenbefall beim Atari ST Da wohl kein Anwender freiwillig ein Virusprogramm starten wrde, finden sich Viren normalerweise an den Stellen, wo sie automatisch gestartet werden. Beim Atari ST gibt es dafr zwei M”glichkeiten: a) der Virus wird an ein Anwenderprogramm angeh„ngt, b) der Virus wird in den Bootsektor einer Diskette geschrieben. Da die Version a meistens durch die Verl„ngerung der Anwenderprogramme auff„llt, sind zur Zeit haupts„chlich Viren vom Typ b im Umlauf. Seit Version 4.00 erkennt SAGROTAN Viren beider Typen. 2.4 Was tun bei Virenbefall? Als n„chstes bleibt zu kl„ren, was zu tun ist, wenn Sie ein praktisches Beispiel fr die obigen Ausfhrungen in Form einer virusbefallenen Diskette in H„nden halten! - Ruhe bewahren! Viren im Bootsektor k”nnen meistens ohne Nebenwirkungen vernichtet werden. - Falls es sich um einen bekannten Virus handelt, wird dieser durch šberschreiben mit dem SAGROTAN-Bootprogramm vernichtet. Schalten Sie danach den Computer mindestens 20 s aus, um den Virus aus dem Speicher zu l”schen. Booten Sie dann von der neu behandelten Diskette. Dabei muž die Meldung "Kein Virus im Bootsektor" erscheinen. Falls dies nicht der Fall ist, mssen die obigen Schritte wiederholt werden. Jetzt haben Sie den Virus auf dieser Diskette vernichtet. - Falls es sich um ein unbekanntes Bootprogramm handelt muž zun„chst festgestellt werden, ob dieses ein Virus ist. Dafr ben”tigen Sie zwei leere Disketten, die im folgenden mit A und B bezeichnet werden. Falls Sie eine Festplatte besitzen, klemmen Sie diese ab. Kopieren Sie die gesamte Diskette mit dem unbekannten Bootprogramm auf Diskette A. Verwenden Sie dazu ein Kopierprogramm wie z.B. "FCOPY", damit auch der Bootsek- tor unver„ndert bertragen wird. Formatieren Sie die Diskette B und l”schen den Bootsek- tor mit der SAGROTAN-Funktion "Bootsektor l”schen." Booten Sie von Diskette A. Legen Sie Diskette B ein und lassen Sie sich das Inhaltsverzeichnis anzeigen. Prfen Sie nun die Diskette B mit SAGROTAN auf Virenbe- fall. Sollte der Bootsektor von Diskette B nun ein unbekanntes Bootprogramm enthalten, kann das nur ein Virus sein. Legen Sie die SAGROTAN Diskette ein und nehmen Sie den Virus in die Bibliothek der Virenprogramme auf. Vernich- ten Sie den Virus durch šberschreiben mit dem SAGROTAN- Bootprogramm. - Wird ein Linkvirus erkannt, haben Sie oftmals die M”glichkeit das befallene Programm noch zu retten. Leider gibt es auch Linkviren, die das befallene Pro- gramm vollst„ndig zerst”ren. - Bestehen Zweifel, ob ein Programm Virusbefallen ist, so k”nnen Sie folgenden Test machen: Kopieren Sie das virenverd„chtige Programm zusammen mit einigen anderen Programmen, darunter auch das TEST.PRG von der SAGROTAN-Diskette auf eine gesonderte Diskette. Klemmen Sie eine evtl. vorhandene Festplatte ab und booten neu. Starten Sie dann abwechselnd das virenver- d„chtige Programm und die anderen Programme auf der Diskette. Sollten sich Ver„nderungen an den Programmen zeigen, ist dies ein Indiz fr Linkvirenbefall. Beson- ders deutlich wird dies am Programm TEST.PRG, da das Programm nur 52 Bytes lang ist. 2.5 Wie sich ein Virus manchmal verr„t Obwohl ein Virus normalerweise so programmiert ist, daž man ihn nicht bemerkt, kann es doch F„lle geben, in denen er sich verr„t. Wie viele Programme, so sind auch manche Viren nicht Blitter-TOS kompatibel. So z.B. der "VIRE87" von der bayrischen Hackerpost. Hier funktioniert die Schreibschut- zabfrage des Virus mit Blitter-TOS nicht mehr. Das fhrt dazu, daž beim Anzeigen des Inhaltsverzeichnisses einer schreibgeschtzten Diskette pl”tzlich die Meldung "Diskette schreibgeschtzt" erscheint, die hier normalerweise nicht erscheinen drfte. Ein weiteres Indiz fr Virenbefall ist das pl”tzliche Versagen von Bootprogrammen wie z.B. der 60-Hz Umschaltung oder dem RAM-TOS Bootprogramm. Bei Linkviren ist die Verl„ngerung der befallenen Programme ein untrgliches Zeichen fr Virenbefall. Viele Linkviren versuchen beim Start eines befallenen Programmes alle auf- findbaren Programme ebenfalls zu verseuchen. Dies ben”tigt jedoch erheblich mehr Zeit als der Start des unbefallenen Programmes. 2.6 Prophylaxe Sie sollen nun erfahren, wie Sie den Viren durch das Beherzigen einiger weniger Verhaltensregeln das Leben m”glichst schwer machen k”nnen. - Booten Sie immer von derselben, schreibgeschtzten Dis- kette, die durch das SAGROTAN Bootprogramm geschtzt ist. Booten Sie insbesondere NIEMALS wahllos von FREMDEN Disketten. - Prfen Sie alle neuen Programmdisketten vor der ersten Benutzung mit SAGROTAN auf Virenbefall. - Halten Sie Ihre Disketten so lange schreibgeschtzt, wie es irgendwie m”glich ist. - Schtzen Sie alle Disketten mit dem SAGROTAN Bootpro- gramm. Ausgenommen diejenigen Disketten, die ein spe- zielles Bootprogramm ben”tigen. - Prfen Sie Ihre Disketten regelm„žig mit SAGROTAN auf Virenbefall. - Fertigen Sie regelm„žig Sicherheitskopien von Ihren Daten an. Bei Programmen ist es sinnvoller eine ein- malige Sicherheitskopie beim Erwerb des Programmes durchzufhren. Da Sie sonst evtl. auf eine bereits virenbefallene Sicherheitskopie zurckgreifen! - Da manche Linkviren die zu befallenden Programme anhand ihrer Namenserweiterung erkennen, kann die Verbreitung solcher Viren durch die Žnderung der Namenserweiterung der ausfhrbaren Programme verhindert werden. Damit Programme mit ge„nderter Namenserweiterung trotzdem vom Betriebssystem gestartet werden, muž die Datei DESKTOP.INF angepasst werden. Dies sei am folgenden Beispiel erkl„rt. In der Datei DESKTOP.INF finden Sie die folgenden vier Zeilen: #G 03 FF *.PRG@ @ #G 03 FF *.APP@ @ #F 03 04 *.TOS@ @ #P 03 04 *.TTP@ @ Kopieren Sie diese Zeilen und berschreiben Sie in den kopierten Zeilen die Namenserweiterungen mit neuen Namen. Die in den folgenden Zeilen gew„hlten Namen, EXE statt PRG, GDO statt APP, COM statt TOS und BAT statt TTP stellen lediglich ein Beispiel dar. Ihrer Phantasie sind hierbei keine Grenzen gesetzt. Vermeiden Sie jedoch solche Bezeichnungen, die schon fr andere Zwecke ver- geben sind, z.B. BAS oder DOC. #G 03 FF *.EXE@ @ #G 03 FF *.GDO@ @ #F 03 04 *.COM@ @ #P 03 04 *.BAT@ @ Durch diese Modifikation wird erreicht, daž sowohl Programme mit den alten Namenserweiterungen, als auch solche mit den selbstdefinierten vom Betriebssystem gestartet werden. Die Žnderung ist natrlich erst nach einem RESET wirksam. - Da viele Viren resetfest sind, ist es sinnvoll den Computer von Zeit zu Zeit ganz auszuschalten, um alle Programme im Speicher zu l”schen. Da jedoch allzuh„ufi- ges Ausschalten dem Atari nicht guttut, ist es besser, entweder die Kaltstart-Funktion von SAGROTAN oder das von Atari zum TOS 1.4 gelieferte Programm COLDBOOT.PRG zu verwenden. Vor den in Umlauf befindlichen Antiviren m”chte ich an dieser Stelle einmal eindringlich warnen. Da diese Programme meist keine Gnade kennen und ALLE ausfhrbaren Bootpro- gramme berschreiben. 2.7 Hinweise fr Festplattenbesitzer Auch wenn Ihre Festplatte bootf„hig ist, wird trotzdem beim Einschalten des Systems zun„chst der Bootsektor der Diskette eingelesen und ausgefhrt. Bei einem RESET wird jedoch nur der Bootsektor des vermerkten Bootlaufwerkes gelesen und ausgefhrt. Schweižausbrche wegen des Ausbleibens der Mel- dung "Kein Virus im Bootsektor" bei RESET sind also unbe- grndet. Aus dem gleichen Grunde bleiben Festplattenbe- sitzer auch meistens von Bootsektorviren verschont. Wegen der weitaus gr”žeren Datenmenge, die auf dem Spiel steht, ist jedoch trotzdem besondere Vorsicht angebracht! Mit der TOS-Version 1.4 wurde der Ablauf des Warmstartes ge„ndert. Es wird jetzt trotz angeschlossener Festplatte auch beim Warmstart (RESET) zun„chst von Diskette gebootet! Fest- plattenbesitzer sollten diese virenfreundliche Neuerung stehts bercksichtigen! 2.8 Linkviren Unter Linkviren versteht man solche Viren, die sich an Anwenderprogramme anh„ngen. Da sich die Erkennung solcher Viren besonders schwierig gestaltet, werden hierfr von SAGROTAN drei verschiedene Diagnoseverfahren angewendet. Das erste Verfahren verwendet Vergleichsdaten ber das zu prfende Programm, wie z.B. L„ngen der Programm- und Daten- segmente sowie CRC-Prfsummen. Dieses Verfahren hat den Vor- teil, daž alle Žnderungen am Programm erkannt werden, also auch der Befall durch heute noch nicht bekannte Viren sp„ter einmal entdeckt werden kann. Der Nachteil ist jedoch, daž die dazu n”tigen Vergleichsdaten auch vorhanden sein mssen (siehe Abschnitt 4.6). Bei den mitgelieferten Vergleichsda- ten von ca. 350 Programmen k”nnen jedoch auch dadurch Abweichungen entstehen, daž die Daten von einer anderen Programmversion stammen, als das zu untersuchende Programm. Abweichungen entstehen oft auch durch in kommerziellen Programmen enthaltenen Seriennummern. Deshalb prft ein zweites Diagnoseverfahren das Auftreten bestimmter Bytekombinationen, die fr einige Viren typisch sind. Hierdurch kann der Virenbefall mit diesen Viren sicher nachgewiesen werden. Soweit m”glich k”nnen diese Viren auch wieder aus den befallenen Dateien entfernt werden. Zus„tzlich wird noch durch ein drittes Verfahren geprft, ob der Dateiaufbau korrekt ist. Dabei wird berprft, ob in einer evtl. vorhandenen Symboltabelle auch wirklich nur Symbole vorhanden sind, ob die Relokationstabelle in Ordnung ist und ob nachtr„glich Daten an die Datei angeh„ngt wurden. Der letzte Punkt erwies sich dabei als ziemlich schwierig, da viele Compiler noch etliche Bytes "Datenmll" an die Datei anh„ngen. Ein besonders bles Beispiel ist hier der "C"-Compiler von DRI, der schon dem Betriebssystem des Atari ST zu seiner Beh„bigkeit und Flle verholfen hat. Ebenso kann es bei solchen Programmen zu Fehldiagnosen kommen, die von Compilern oder Linkern, die das GST-Dateiformat verwen- den, erzeugt wurden. Mit dem letzten Diagnoseverfahren sind zwar keine exakten Aussagen ber den Virenbefall m”glich, es hat aber den Vorteil, daž nebenbei noch defekte Dateien aufgesprt werden. 3 Arbeiten mit SAGROTAN ----------------------- 3.1 Die ersten Schritte Da SAGROTAN voll mengesteuert ist, werden Sie schnell mit der Bedienung vertraut sein. Untersttzt werden Ihre ersten Schritte durch eine 'Extrahilfe', die zu jedem angew„hlten Menpunkt eine kurze Erkl„rung gibt. Aužerdem ist bei Funktionen, die zu Datenverlust fhren k”nnten, zus„tzlich eine Abbruchm”glichkeit gegeben. Um die Bedienung von SAGROTAN zu vereinfachen, ist auch eine Steuerung ber die Tastatur m”glich. Damit Sie die Tasten leicht finden, steht hinter jedem Meneintrag ein Zeichen in spitzen Klammern. Durch Drcken dieser Taste wird die gleiche Funktion ausgefhrt, wie durch Anklicken des Meneintrages mit der Maus. Nach dem Start von SAGROTAN werden zun„chst die Ver- gleichsbibliotheken geladen. Der Ladevorgang wird dabei mitprotokolliert. Nach Beendigung des Ladevorganges er- scheint die Benutzeroberfl„che und die SAGROTAN Infomel- dung. Nach Anklicken von OK oder Drcken von RETURN ist SAGROTAN arbeitsbereit. Sie sehen jetzt zwei Fen- ster. Im oberen Fenster wird der Hexdump des Bootsektors ausgegeben, im unteren Fenster erfolgt der Dialog mit dem Benutzer. Seit Version 4.05 k”nnen Sie die Aufteilung des Bildschirmes ver„ndern. Durch Verschieben des Dialogfensters nach oben wird das Hexdump-Fenster kleiner und das Dialog-Fenster gr”žer. Der gegenteilige Effekt tritt bei Verschiebung nach unten ein. Falls Sie das Hexdump-Fenster so grož gew„hlt haben, daž der gesamte Bootsektor dargestellt wird, empfiehlt es sich die Ausgabe im Dialogfenster auf kleine Schrift umzustellen, da sonst nicht mehr alle Meldungen in das Fenster passen. Die Umstellung geschieht durch Auswahl der Textgr”že 6 unter dem Men "ALLERLEI". Seit Version 4.15 ist es m”glich die Voreinstellungen abzu- speichern. Dabei k”nnen Sie auch festlegen, welche Aktionen beim Start des Programmes ausgefhrt werden sollen. Die Funktion "Einstellung sichern" finden Sie im Men "ALLERLEI". 3.2 Bootsektorprfung Der normale T„tigkeitsablauf wird sein, daž Sie nun eine Diskette einlegen und diese mit "Bootsektor prfen" auf Virenbefall untersuchen. Falls die Diskette kein Boot- programm oder gar einen Virus enth„lt, sollten Sie das SAGROTAN-Bootprogramm mit "Bootsektor schtzen" auf die Dis- kette aufbringen. Nachdem dies geschehen ist, k”nnen Sie die n„chste Diskette einlegen. 3.3 Linkvirenprfung Fr die Prfung von Dateien auf Linkvirenbefall sollten Sie zun„chst festlegen, welche Dateien auf Virenbefall untersucht werden sollen. Dazu haben Sie vier Auswahlm”g- lichkeiten. 1. Einzelne Dateien, Auswahl durch Fileselect-Box. 2. Alle ausfhrbaren Dateien in einem Pfad, Auswahl durch Fileselect-Box. 3. Alle ausfhrbaren Dateien auf dem voreingestellten Laufwerk. 4. Alle Dateien auf den ausgew„hlten Laufwerken. Die Auswahl finden Sie unter Optionen im Men "VIRUS". Bei einer reihenweisen šberprfung werden nur solche Dateien berprft, die eine der fnf konfigurierbaren Namenser- weiterungen haben. Die Nameserweiterungen werden folgender- mažen vorbelegt: APP, AC?, PR?, TOS und TTP . ? bedeutet, daž jeder Buchstabe als gltig erkannt wird. 3.4 Speicherprfung Hierbei wird geprft, ob bereits ein Virus im Speicher steht. Aužerdem werden resetfeste Programme angezeigt. Be- achten Sie auch, das resetfeste RAM-Disks nicht auch reset- feste Programme sein mssen, denn nur die Daten mssen den Reset berstehen, nicht das Treiberprogramm. Da bei der Speicherprfung nach residenten Programmen gesucht wird, die sich aužerhalb des vom Gemdos verwalteten Speichers befinden, kann es hierbei hin und wieder auch zu Fehldiagnosen kommen. - Programme, die massiv in die Speicherverwaltung eingrei- fen, werden manchmal f„lschlicherweise als Virus erkannt. Z.B. REVOLVER, K-SWITCH, ebenso manche Harddisk-Treiber. - Das Verfahren funktioniert sehr gut bei Bootsektorviren, jedoch in der Regel NICHT bei speicherresidenten Link- viren! 3.5 Bootsektorreparatur Durch Defekte oder Vireneinwirkung kann es vorkommen, daž die Formatinformation des Bootsektors zerst”rt wurde. In einem solchen Fall ist die Diskette nicht mehr lesbar. Durch fehlende Fehlerabfragen im TOS kommt es beim Versuch von der Diskette Daten zu lesen dann sehr h„ufig zu Systemabstrzen. 3.6 Accessories SAGROTAN erlaubt auch den Aufruf von Desk-Accessories. Aus Grnden der Einfachheit wird durch die Redraw-Routine der gesamte Bildschirm neu aufgebaut. Deshalb sollten keine Accessories aufgerufen werden, die verschoben werden k”nnen oder Eingaben aužerhalb des Accessoryfeldes zulassen, wie z.B. das Kontrollfeld. 3.7 Gefahrenhinweise Durch SAGROTAN k”nnen unter ungnstigen Umst„nden Daten zerst”rt werden! Es sind die folgenden Gefahrenquellen bekannt: - Ein Bootprogramm hatte eine ntzliche Funktion. Durch berschreiben mit der Funktion "Diskette Schtzen" wird das Bootprogramm zerst”rt! Insbesondere bei kopierge- schtzter Software oder Disketten, die ein spe- zielles Betriebssystem verwenden, ist hier Vorsicht geboten! Spieledisketten enthalten fast immer einen ein spezielles Bootprogramm! - Wenn Sie nach "Diskette Prfen" und vor "Diskette Schtzen" die Diskette wechseln, wird keine erneute Bootsektoranalyse vorgenommen. Sie berschreiben also ein evtl. vorhandenes, ntzliches Bootprogramm, ohne dies zu bemerken. - Ab Version 3.7 ist es m”glich, die Warnmeldungen, z.B. beim L”schen des Bootsektors abzuschalten. Wer gr”žere Diskettenmengen zu bearbeiten hat wird dies zu sch„tzen wissen. Durch einen unachtsamen Tastendruck k”nnen nun jedoch fast unbemerkt Bootprogramme zerst”rt werden! Be- achten Sie auch, daž seit Version 4.15 die Warnmeldungen in den Voreinstellungen enthalten sind, und nicht bei jedem Programmstart explizit abgeschaltet werden mssen. - Wenn Sie angeh„ngte Daten abschneiden, kann dies zur Zerst”rung des Programmes fhren, da manche Programme solche Daten tats„chlich ben”tigen! Z.B. ERDKUGEL.PRG, TURBODOS.PRG. - Manche Linkviren treten in verschiedenen "Mutationen" auf. Das Reparieren eines virusbefallenen Programmes erzeugt deshalb manchmal Programme, die nicht lauff„hig sind. - Die Formatanalyse bei "Bootsektor reparieren" geht davon aus, daž alle auf der Diskette vorhandenen Spuren und Sektoren auch genutzt werden. Dies ist jedoch bei eini- gen Schnelladeformaten nicht der Fall! Ebenso ist dies nicht der Fall, wenn Sie eine Diskette mit niedriger Ka- pazit„t auf eine Diskette h”herer Kapazit„t kopieren, ohne neu zu formatieren. In einem solchen Fall wird eine intakte Diskette zerst”rt, wenn Sie den Bootsektor schreiben, ohne die ermittelten Daten von Hand zu korri- gieren. 3.8 Installation auf Computern mit nur 512 KB RAM SAGROTAN l„uft auch auf Computern mit nur 512 KB RAM. Fr eine zufriedenstellende Arbeitsweise sind jedoch einige Vor- kehrungen zu treffen. Die Vollversion (SAGROTAN.PRG) ben”tigt, um beim Start alle mitgelieferten Bibliotheken laden zu k”nnen 300 KB freien Speicher. Ein Computer mit 512 KB RAM kann ohne Accessories sowie residenten Programmen und mit TOS im ROM max. 370 KB zu Verfgung stellen. Ein Start des Programmes ist also m”glich, der verfgbare freie Speicher fr SAGROTAN aber sehr knapp. In diesem Zustand funktionieren die Funktionen, die den Bootsektor der Diskette betreffen ohne Einschr„nkungen. Eine šberprfung von Dateien auf Linkvirenbefall setzt je- doch vorraus, daž die Datei komplett in den freien Speicher geladen werden kann. Um auch die berprfung gr”žerer Dateien zu erm”glichen, be- n”tigen Sie mehr freien Speicher. Dafr gibt es mehrere M”g- lichkeiten: - Das Programm SG_520.PRG ben”tigt ca. 7 KB weniger Spei- cher als SAGROTAN.PRG, da die Festplattenroutinen und die Extrahilfe fehlen. - Durch weglassen von Vergleichsdaten kann der verbleiben- de freie Speicherplatz vergr”žert werden. Verwenden Sie evtl. die Datei MINI.DAT statt CMP.DAT, oder krzen Sie die Datei CMP.DAT nach Ihren Vorstellungen. Fertigen Sie jedoch zuerst eine Sicherheitskopie von CMP.DAT an. - Verwenden Sie fr die Prfung auf Linkvirenbefall eine Version von SAGROTAN, die im LIBRARY-Ordner keine Datei CMP.DAT besitzt, sowie eine mit EDIT_PGM.PRG auf das n”tigste gekrzte Datei PGM_INFO.DAT. Fertigen Sie auch hier zuerst eine Sicherheitskopie von PGM_INFO.DAT an. Den zur Verfgung stehenden freien Speicher erhalten Sie bei ausgeschalteter Extrahilfe im Men "SAGROTAN" unter "DESK" angezeigt. Angezeigt werden oberhalb des "OK"-Knopfes der zur Verfgung stehende Speicher fr den Internen Bedarf des Programmes, sowie der zum Laden von Dateien zur Verfgung stehende Speicher. 4 Die Handhabung der Bibliotheken --------------------------------- SAGROTAN bentzt fr die Virenprfung vier verschiedene Bibliotheken mit Vergleichsprogrammen, die beim Start von SAGROTAN automatisch geladen werden. Die Bibliotheken mssen sich dazu im Ordner LIBRARY befinden, der im gleichen Pfad liegt, wie SAGROTAN selbst. 4.1 Die Virenbibliothek Die erste Bibliothek enth„lt die Vergleichsviren. Jeder Virus belegt eine eigene Datei. Der Dateiname ist "VIRUS_C", die Namenserweiterung eine dreistellige Ziffer. Die erste Datei hat den Namen "VIRUS_C.001". Die Dateien mssen durchgehend nummeriert sein. SAGROTAN bricht den Ladevorgang ab, wenn keine Datei mit der n„chsten Nummer mehr gefunden wird. Dies sei am folgenden Beispiel erkl„rt. Angenommen Ihre Virenbibliothek enth„lt die Dateien VIRUS_C.001, VIRUS_C.002 und VIRUS_C.003. Wenn Sie die Datei VIRUS_C.002 l”schen, wrde beim n„chsten Start von SAGROTAN nur noch die Datei VIRUS_C.001 geladen. Wenn die Datei VIRUS_C.003 noch ben”tigt wird, muž diese in VIRUS_C.002 umbenannt werden. Wenn Sie aus SAGROTAN heraus einen Virus abspeichern, berechnet SAGROTAN die Namenserweiterung aus der Anzahl der geladenen Viren. Sie brauchen sich darum also nicht zu kmmern. Seit Version 3.6 werden die Viren verschlsselt abgespeichert, denn SAGROTAN soll ja die Ausbreitung von Viren hemmen und nicht f”rdern! Falls Sie noch ber unver- schlsselte Virusdateien verfgen, so k”nnen Sie diese trotzdem verwenden. Die unverschlsselten Dateien haben den Dateinamen "VIRUS". Beachten Sie, daž, auch bei gemischter Verwendung von verschlsselten und unverschlsselten Dateien, die Nummerierung aller Virusdateien durchgehend sein muž. 4.2 Bibliothek bekannter Bootprogramme Die zweite Bibliothek enth„lt bekannte Bootprogramme, die keine Viren sind. Der Dateiname ist hier "BOOT" und die Namenserweiterung, wie bei den Virusdateien, eine dreistel- lige Ziffer. Entsprechend gilt auch das oben Gesagte in Be- zug auf die durchgehende Nummerierung. Da die Bootsektoren nicht verschlsselt abgespeichert werden, ist es nicht m”g- lich, durch Umbenennen einer Datei, diese von der Viren- in die Bootsektorbibliothek zu bertragen. Der umgekehrte Fall ist jedoch m”glich, da die unverschlsselten Virusdatei- en den gleichen Aufbau haben, wie die Bootprogramme. Sollten Sie also einmal versehentlich einen Virus als Bootprogramm abgespeichert haben, k”nnen Sie durch Umbenennen von "BOOT" in "VIRUS" (nicht "VIRUS_C") und Anpassen der Nummer der Namenserweiterung den Virus in die Virenbibliothek ber- tragen. 4.3 Zusammengefasste Viren und Bootsektoren Wegen der stark angewachsenen Zahl von Vergleichsdateien ist seit Version 4.10 zus„tzlich eine Datei mit Namen CMP.DAT vohanden, die eine gr”žere Anzahl von Viren und Bootprogram- men enth„lt. Dadurch wird der Ladevorgang beim Start von SAGROTAN deutlich verkrzt. Falls Sie neue Viren oder Boot- programme in diese Datei aufnehmen m”chten, verwenden Sie die Funktion "Alle Bootsektoren speichern". Zum Entfernen von Dateien aus CMP.DAT steht das Programm EDIT_CMP.PRG im Ordner LIBRARY zur verfgung. Da beim Speichern von CMP.DAT alle Viren und Bootprogramme gespeichert werden, mssen Sie danach noch alle Dateien BOOT.xxx, VIRUS_C.xxx und VIRUS.xxx aus dem Ordner LIBRARY entfernen, da diese sonst beim n„ch- sten Start von SAGROTAN zweimal geladen wrden. Die in CMP.DAT enthaltenen Viren sind zus„tzlich so verstmmelt, daž eine Entschlsselung nicht mehr m”glich ist. Diese zus„tzliche Mažnahme verhindert den Einsatz von SAGROTAN als "Virus-Construction-Set", bewirkt jedoch leider auch, daž CMP.DAT von SAGROTAN ab Version 4.13 nicht als Vergleichsda- ten fr SAGROTAN 4.10 und 4.12 verwendet werden kann. Die Datei MINI.DAT ist eine abgemagerte Version von CMP.DAT, fr Computer, die nicht gengend Speicher haben. In MINI.DAT sind keine Spielebootsektoren vorhanden. Zum Einsatz von MINI.DAT benennen Sie zuerst CMP.DAT um, oder entfernen die Datei aus dem Ordner Library. Danach benennen Sie MINI.DAT in CMP.DAT um. 4.4 Festplattenrootsektoren Der Rootsektor der Fesplatte wird beim DMA-Bootvorgang gelesen und ausgefhrt. Im Rootsektor ist aužerdem die Partitionierungsinformation der Festplatte enthalten. Da dieser Sektor einen anderen Aufbau besitzt, als ein Disket- tenbootsektor, wird fr diese Sektoren eine extra Bibliothek gefhrt. Die Sektoren haben den Namen "HDBOOT" und als Namenserweiterung die DMA-Ger„te-Nummer als dreistellige Zahl. Zur Zeit wird nur eine Festplatte mit der Nummer 0 untersttzt. Es kann also nur die Datei mit Namen "HDBOOT.000" auftreten. Die Datei ist nicht im Lieferumfang enthalten, sondern wird bei der ersten Festplattenprfung erzeugt. Da die Partitionierungsinformation beim Befall durch einen Disketten-Bootsektorvirus zerst”rt wrde, ist fr diesen Fall eine Reparaturm”glichkeit gegeben. Dazu mssen Sie sich von der Datei HDBOOT.000 eine Sicherheits- kopie auf Diskette anlegen. Mit Hilfe des Programms HDRESTOR kann der Rootsektor dann wieder auf die Festplatte geschrie- ben werden. 4.5 Vergleichsdaten bekannter Programme Die fnfte Bibliothek besteht ebenfalls nur aus einer Datei, und zwar mit dem Namen PGM_INFO.DAT. In dieser Datei sind Vergleichsdaten fr die šberprfung von Dateien auf Link- virenbefall gespeichert. Um die šberprfung von verschiede- nen Versionen eines Programmes zu erm”glichen, k”nnen belie- big viele Dateien mit gleichem Namen in diese Datei aufge- nommen werden. Wird bei der Prfung einer Datei festge- stellt, daž keine oder nur abweichende Vergleichsdaten vorhanden sind, erhalten Sie die M”glichkeit, die Ver- gleichsdaten in die im Speicher stehende Tabelle aufzuneh- men. Diese Tabelle ist das Abbild der Datei PGM_INFO.DAT. Mit "Programminformationen speichern" unter "BIBLIOTHEK" wird die erweiterte Tabelle dann wieder in die Datei PGM_INFO.DAT gespeichert. Um Eintr„ge aus der Datei PGM_INFO.DAT zu entfernen, verwenden Sie bitte das mitgelie- ferte Programm EDIT_PGM.PRG aus dem Ordner Library. 5 Anhang -------- Auf den n„chsten Seiten finden Sie vorgefertigte Antwortfor- mulare fr den Updateservice. Absender: Datum __ . __ . 19__ Name .................. Straže .................. PLZ/Ort .................. An Henrik Alt Kirgelweg 25 7160 Gaildorf Updatebestellung __ __ Hiermit bestelle ich die neueste Version von SAGROTAN. Den Preis von 30,-- DM habe ich .. als Verrechnungsscheck beigelegt oder .. auf das Konto 6428662 bei der Kreissparkasse Schw„bisch Hall- Crailsheim, BLZ 62250030 berwiesen, und zwar am __ . __ . 19__ oder .. in bar (Scheine) beigelegt. (Zutreffendes bitte ankreuzen) ________________ (Unterschrift) Absender: Datum __ . __ . 19__ Name .................. Straže .................. PLZ/Ort .................. An Henrik Alt Kirgelweg 25 7160 Gaildorf Ein neuer Virus! __ __ Ich habe in meiner Diskettensammlung einen neuen Virus bzw. ein unbekanntes Bootprogramm entdeckt! Der Virus befindet sich auf der beigelegten Diskette in der Datei: VIRUS_C.___ bzw. BOOT.___ . Als Dankesch”n erhalte ich eine neue Version von SAGROTAN. ________________ (Unterschrift)