home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Amiga Format CD 46
/
Amiga Format CD46 (1999-10-20)(Future Publishing)(GB)[!][issue 1999-12].iso
/
-serious-
/
virus
/
vttest3
/
schutz
/
vt.dokumente
/
vt.filereq
< prev
next >
Wrap
Text File
|
1999-09-06
|
13KB
|
291 lines
Stand: 99-08-16
Sp -> File -> Sp = FileRequester
-----------------------------------
Nicht markierte Gadgets:
E-Taste = Ende
M-Taste = RAM
0-Taste = DF0:
V-Taste = DEVS
A-Taste = Parent
.-Taste = 1024/2048
1024/2048-Wechselgadget Es gilt was angezeigt wird. Ermoeglicht
das Laden oder Abspeichern von 1024 oder 2048 Bytes. Dies wurde
notwendig, da immer mehr BB-Viren mit der Laenge 2048 auftauchen.
Status: dient der Fehleranzeige
Ende: Filerequester beenden
Parent: Ein Unterverzeichnis zurueck
Laufwerksgadgets: lade Dir
Bei mehr als 250 !!! Eintraegen pro Verzeichnis gibts Aerger
Legen Sie kleinere Verzeichnisse an. Der Dir-Test berueck-
sichtigt AUCH die nicht mehr angezeigten Files.
Devs : lade Device-Liste
Pfad:
zeigt LW und gegebenenfalls Unterverzeichnis/se
Stringadget mit max. 255 Buchst. und UnDo-Buffer. Sie koennen also
Veraenderungen vornehmen und mit re.AmigaTaste + Q rueckgaengig
machen (allerdings duerfen Sie das Gadget noch nicht verlassen
haben). Mit den Cursor-Tasten koennen Sie rechts-links scrollen.
Geben Sie z.B. hinter DH0: Assembler ein + ReturnTaste, so versucht
das Prg. von DH0: das Unterverzeichnis Assembler anzuzeigen.
Bei verschachtelten Unterverzeichnissen vergessen Sie bitte die "/"e
nicht. A B E R: das letzte Zeichen darf kein "/" sein. Einfacher
als die Eingabe von Hand ist aber die Auswahl mit der Maus (Unter-
verzeichnisse sind im grossen ScrollFenster orange dargestellt.
Datei:
hier wird die ausgewaehlte Datei angezeigt
Stringgadget mit UnDo-Buffer
DateiRe:
Stringgadget mit Undo-Buffer
Hier muessen Sie fuer die Rename-Funktion den ganzen !!!! Pfad und
den neuen Namen ihrer Datei eingeben. Geht nicht anders, da sich
Unterverzeichnisse von Alt und Neu unterscheiden koennen. s.u.
Load:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen, versucht dann 1024 Bytes in den Speicher zu laden und
anzuzeigen. Anzeigewechsel mit Block0/1-Gadget. Den Inhalt von
Datei koennen Sie entweder aus dem grossen ScrollFenster mit der
Maus auswaehlen oder von Hand eingeben. Eigentlich ist dieser Teil
zum Laden eines gespeicherten BBs gedacht, aber Sie koennen damit
jede beliebige Datei (z.B. startupII) laden und die ersten 1024
Bytes anschauen.
Save:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen und versucht dann 1024 Bytes aus dem Speicher abzuspeichern.
Den Filenamen sollten sie von Hand in Datei eingeben. Waehlen Sie
mit der Maus einen Dateinamen und veraendern ihn nicht, so geht die
alte Datei o h n e Rueckfrage verloren !!!!! Diese Funktion eignet
sich n u r zum Sichern von Bootbloecken, da immer 1024 Bytes abge-
speichert werden.
Delete:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen, entfernt falls notwendig die ProtectionBits und unter-
nimmt einen Loeschversuch. Die Datei koennen Sie mit der Maus aus-
waehlen oder von Hand im Datei-Stringadget eingeben.
Hinweis:
Ich kenne drei Loeschschutzvarianten, die das Loeschen einer
Datei mit DOS-Routinen verhindern, also auch mit meinem Prg. nicht
geloescht werden koennen. Geht dann nur mit Disk-Monitor.
Rename:
Setzt den Inhalt von Pfad + falls notwendig "/" + Inhalt von Datei
zusammen = AltName
Nimmt den Inhalt von DateiRe = NeuName und versucht ein Rename.
Im DateiRe-Stringgadget muessen Sie den ganzen Pfad und den Datei-
namen eingeben, also z.B. DH0:aa/ddddd/Nameneu
Ein Renamen ueber verschiedene Laufwerke wird von AmigaDOS n i c h t
unterstuetzt. Es geht also nicht:
rename df0:aa/dddd/AltName df1:aa/dddd/NeuName
da verschiedene Laufwerke
es geht aber:
rename df0:aa/dddd/AltName df0:xxx/yyy/NeuName
wenn die Unter/Unterverzeichnisse vorhanden sind.
E-Prefs:
Lesen Sie bitte das File EntpArchive
Entpack:
Lesen Sie bitte das File EntpArchive
FileTest:
Ermoeglicht nach Anklicken den Test einzelner Files in der
Reihenfolge:
- Test auf 3E8-, 3F0-, 3F1-Hunk
- Test auf Cruncher
- Test auf LinkVirus
- Test auf BB-Virus
- mit ZeroVirus abgespeicherte BB (Laenge: 1029)
- sucht nach "FileBootBloecken" erzeugt mit:
- BootControl V4.0 Laenge: 1048
- FileBootBlock (Fish) Laenge: 1060
- BootBlock 1.45/2.0 Laenge: 1072
- BB-Paralysator V1.0 Laenge: 1444
- BBC III Laenge: 1052
- BOOTJOB 1.0/1.3 Laenge: 1356
- Boot-Controller V1.0 Laenge: 1176
(Hinweis: Speichert 2 Bytes zuwenig ab. Beispiel: beim
letzten SCA! fehlt A! )
- Boot-Controller V2.35 Laenge: 1160
(Hinweis: 2-Bytes-Fehler behoben)
- BootUte V1.0 Laenge: 1052
- BootUte V1.0 Laenge: 1220
- BB2EXE Laenge: 1056
Stand: 04.02.95
Entgegen meiner Erwartung laufen einige FileBB
OHNE Absturz an !!!!!
Namensausgabe in Statuszeile oder "nichts Bekanntes"
Hinweis: kann IRAK u. BootGirl-Bild hier nicht erkennen,
da andere Routine notwendig waere.
Hinweis2:
Die LinkViren LZ und Golden Rider koennen hier nicht sicher erkannt
werden, da die Routine nur je zwei Bloecke einlesen kann (geht nicht
anders). Da beide Viren sich ans Ende des 1.Hunks haengen kann ein
Teil der 3 Testlangworte im 2. Block und der andere Teil im
3. Block liegen. VT findet dann beim Vergleichen nicht alle
3 Langworte und meldet sich nicht. Beim FileTest im Hauptfenster
SOLLEN beide Viren SICHER erkannt werden.
DirFTest:
Sie koennen damit Teile (also z.B. nur das c-Verzeichnis) einer
Disk oder Festplatte testen.
- Aktivieren Sie das Unterverzeichnis
- Klicken Sie auf DirFTest
- Es sollten die Unter-Unterverzeichnisse mitgetestet
werden.
Protect: loesche oder setze Schutz-Bit 0 - 7 in einem Fileheader oder
SubDir. Hinweis: Bit 7 (Hidden) wird auch von KS2.04 noch
nicht ausgewertet. (Stand:22.09.91)
Print:
Testet auf Drucker vorhanden. Rueckmeldung kann bei Fehler bis
zu 30 Sekunden dauern (liegt am Betriebssystem und NICHT an VT).
Druckt max. 2048 oder 1024 Bytes (je nach Einstellung) oder weniger
falls das File kuerzer ist.
Convert:
- ZeroVirusBB
Holt einen BB, der mit ZeroVirus abgespeichert wurde (1029 Bytes),
in den Speicher, verschiebt den BB um 5 Bytes und speichert 1024
Bytes wieder ab. Hinweis: Es wird der alte BB-Name benutzt und das
"Orig-ZeroVirusBB-File" wird ueberschrieben. Bitte arbeiten Sie des-
halb mit einer Kopie. Moegliche Meldung: nichts Bekanntes. Also ist
das ausgewaehlte File kein ZeroVirusBB-File.
- Programm-BBe:
- BBC III
- BOOTJOB 1.0/1.3
- BootBlock 1.45/2.0 (rettet 3 LWe nach execute-Fileende)
- BootController V1.0 (rettet 3 LWe)
- FileBootblock
- BB-Paralysator V1.0 (rettet 3 LWe)
- BootController V2.35 (rettet 3 LWe)
- XBoot (rettet 3 LWe)
- BootUte V1.0
- BB2EXE (rettet 3 LWe nicht)
- zerlege BB-Libs und speichere einzelne BB's ab:
- Filename (wichtig):
acbb.library
- Filename (wichtig):
BootX.BBLib
- Filename (wichtig):
maus.bootblocks (nur an Demo getestet)
- Filename (wichtig):
Virus-Checker.brain (uralte Versionen)
- Filename (wichtig):
VirusExpert.lib (Teile mit Hdr-Kennung werden NICHT gespeichert)
- Filename (wichtig):
BBLib (von BootBlock s.o. in subdir s erzeugt) . Die ersten drei
Langworte (DOS0, Pruefsumme, $00000370) werden von VT neu er-
stellt, da sie in der Lib nicht abgespeichert werden.
Hinweise zu Convert:
- Die Files muessen vorher entpackt sein (z.B.VirusExpert PP20).
- Kopieren Sie die Lib auf eine leere Disk, damit nicht die
Meldung "Disk voll" beim Zerlegen auftaucht.
- Abbruch NUR mit ESC-Taste
- Der Filename der Lib wird ueberprueft (Fehler nichts Bekanntes)
- Die Routine ist mit dosdelay gebremst, damit auch auf einem
uralten A500 mit KS1.2 ein sicheres Speichern moeglich ist.
- Falls Sie 2Mb oder mehr Speicher besitzen, ist es besser mit
der Commodore-RAD-Disk zu arbeiten. Danach kopieren Sie alle
BB mit einem DirUtilPrg (z.B. SID) auf eine leere Disk.
- Einige Programme, die aus BBen Programmfiles erzeugen, lassen
die ersten drei Langworte des BBs weg. VT-Convert erzeugt dann:
DOS0, Pruefsumme, $00000370 . Das muss nicht immer vollstaendig
richtig sein, da einige Viren-BBe das Langwort der Pruefsumme
oder das Langwort des Rootblockzeigers fuer eigene Zwecke ver-
wenden ( z.B. SCA-Virus mit CHW! ).
- 3E8-Hunk 3F0-Hunk 3F1-Hunk
WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG
99% der von VT erkannten Hunktypen werden NICHTS mit einem
Virus zu tun haben !!! Also bitte, die Aussage "3E8-Hunk=Virus"
ist MEIST FALSCH !!!
WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG
Die obengenannten Hunktypen sind fuer den Programmablauf nicht
notwendig. Ehrliche Programmierer verwenden diese Hunks, um z.B.
mit Kontrollstrukturen den sauberen Ablauf ihres eigenen Programms
auszutesten. Andere Programmierer legen in einen Hunktyp die
Versions-Nummer. Also alles in Ordnung.
ABER ABER ABER !!!
Es sind mindestens zwei Shareware-Programme bekannt, die auf
Mausklick VOR ein bestehendes Programm z.B. einen 3E8-Hunk haengen.
Dies nutzen nun seit Dez. 93 einige weniger nette Zeitgenossen
aus, um ihr Virusteil zu verstecken. Da die Filestruktur veraendert
wird, kann es Probleme fuer Antivirusprg.e geben obwohl das Virus-
teil UNVERAENDERT, also ohne 3E8-Hunk erkannt werden wuerde.
Testablauf:
Klicken Sie auf Convert. VT sollte nun den Hunk ausbauen und das
File neu abspeichern.
moegliche Fehlermeldungen:
- nichts Bekanntes (es ist gar kein 3E8-Hunk)
- Fehler (VT findet keinen Anschlusshunk oder
das File ist irgendwie beschaedigt)
Da inzwischen ein File mit einem 3E8-Hunk UND einem 3F1-Hunk am
Anfang aufgetaucht ist, muessen Sie den Ausbau (convert) halt
wiederholen !!!!
Danach klicken Sie bitte im Filerequester auf FileTest:
- nichts Bekanntes (hoechstwahrscheinlich kein Virusteil
aber nicht sicher. Es tauchen immer
wieder neue Viren auf.)
- VT erkennt ein Virusteil
- VT erkennt einen Packer (Hier sollten bei Ihnen IMMER
die Alarmglocken anschlagen.)
Entpacken Sie das File mit dem entsprechenden Packer. Mit etwas
Pech werden Sie dann mit VT oder einem Filemonitor ein Virusteil
erkennen.
Link1aus oder Link2aus:
10.06.93:
Sie koennen jetzt im File-Requester an Files, die im FileTest als
4EB9 erkannt wurden, Teil 1 oder Teil 2 abschalten.
Link1aus - schaltet den Programmteil 1 ab.
Link2aus - schaltet den Programmteil 2 ab.
Dies kann natuerlich nur ein NOTNAGEL sein. Besser ist es, wenn
Sie mir das verseuchte Teil zuschicken und noch mehr erleichtern
Sie mir meine Arbeit, falls Sie zufaellig das Programm auch im
ungelinkten Zustand besitzen.
Bitte fertigen Sie sich von dem gelinkten Programm zwei ver-
schiedene Namenskopien auf einer sonst leeren Disk an. Schalten
Sie danach an Kopie 1 den Link 1 ab und an Kopie 2 den Link 2 ab.
Wenn Sie Glueck haben, ist ein lauffaehiges Programm dann ohne
Virusteil oder ohne Intro !!
Aber !!! Es ist auch moeglich, dass das Haupt-Programm NICHT
mehr laeuft. Warum ? Beispiel:
Eine Gruppe hat ein Intro vor ein Spiel gelinkt. Dann koennen
in diesem Intro schon Veraenderungen am Computer (FastRam ab-
schalten usw.) vorgenommen werden, die das Spiel voraussetzt.
Ohne das Intro ist das Spiel dann logischerweise nicht lauf-
faehig. MERKE: Ein so veraendertes File gibt man NICHT weiter.
12.06.93:
Sie koennen jetzt im File-Requester an Files, die im FileTest als
XLink erkannt wurden, Teil 1 oder Teil 2 abschalten.
Rest siehe oben
28.11.93:
Sie koennen jetzt im File-Requester an Files, die im FileTest als
$4EB9-$4EF9-Link erkannt wurden, Teil 1 oder Teil 2 abschalten.
Rest siehe oben
Amiga ist ein eingetragenes Warenzeichen von Gateway 2000