Xplore

home *** CD-ROM | disk | FTP | other *** search

/ Xplore / Xplore.iso / toxis / anleit.txt next >

Wrap

Text File | 1993-03-21 | 42KB | 993 lines

1 Vorbemerkungen 1.1 Hardwarevoraussetzungen toXis läuft auf allen Computern der ST/STE/TT-Familie. toXis läuft nicht in der niedrigen Bildschirmauflösung. Wegen der umfangreichen Vergleichsdaten sollte für die Ar- beit mit toXis ca. 500 KB Speicher zur Verfügung stehen. toXis läuft auch auf Computern mit 512KB RAM, der Funk- tionsumfang kann jedoch eingeschränkt sein. Dies betrifft insbesondere die Größe der Vergleichsbibliothek und die Größe der zu überprüfenden Dateien. 2 Arbeiten mit toXis Im folgenden wird davon ausgegangen, daß Sie mit der Bedie- nung von GEM-Programmen vertraut sind. Sollten Sie hier noch Probleme haben, lesen Sie noch einmal die Systemhandbücher durch oder fragen Sie Ihren Atari-Händler. Da toXis voll menügesteuert ist, werden Sie schnell mit der Bedienung vertraut sein. Unterstützt werden Ihre ersten Schritte durch eine 'Extrahilfe', die zu jedem angewählten Menüpunkt eine kurze Erklärung gibt. Außerdem ist bei Funktionen, die zu Datenverlust führen könnten, zusätzlich eine Abbruchmöglichkeit gegeben. In der Betriebsart als Acessory bietet toXis die Möglichkeit der Bedienung über eine eigene Menüleiste im Display-Fenster. Diese Menüleiste muß aber durch anklicken aktiviert werden. Dialoge finden seit Version 5.10 in Fenstern statt, dadurch können Sie diese nach belieben verschieben. Um die Bedienung von toXis zu vereinfachen, ist auch eine Steuerung über die Tastatur möglich. Damit Sie die Tasten leicht finden, steht hinter vielen Menüeinträgen ein Zeichen in spitzen Klammern. Durch Drücken dieser Taste wird die gleiche Funktion ausgeführt, wie durch Anklicken des Menüeintrages mit der Maus. Nach dem Start von toXis wird zunächst die Vergleichs- bibliotheken geladen. Nach Beendigung des Ladevorganges er- scheint die Benutzeroberfläche und die toXis Infomeldung. Nach Anklicken von OK oder Drücken von RETURN ist toXis ar- beitsbereit. Sie sehen jetzt zwei Fenster "toXis Display" und "toXis Status". Im Display-Fenster wird das gerade untersuchte Objekt angezeigt, im Status-Fenster erfolgt die Ausgabe der Ergebnisse des Programmlaufes. 2.1 Funktionen im Menü 'Virus' Im Menü Virus befinden sich die Aktionen zur Virensuche und Reparatur. 2.1.1 Bootsektor prüfen Der Bootsektor der Diskette wird gelesen und auf Virenbefall untersuchen. Falls die Diskette kein Bootprogramm oder gar einen Virus enthält, sollten Sie das toXis-Bootprogramm mit "Bootsektor schützen" auf die Diskette aufbringen. Sollten Sie mit dieser Funktion auf ein unbekanntes Bootprogramm gestoßen sein können Sie dieses in die Bibliothek aufnehmen, damit es in Zukunft als Virus oder Bootprogramm korrekt er- kannt wird. 2.1.2 Bootsektor schützen Der Bootsektor der Diskette wird durch ein Schutzprogramm vor Virenbefall geschützt. Zur Auswahl des Schutzprogrammes Siehe Abschnitt 2.2.6. Achtung! Manche Disketten benötigen ein eigenes Bootprogramm. Wenn Sie ein solches Bootprogramm mit der Funktion Bootsektor schützen überschreiben, ist die Diskette nicht mehr funktionsfähig! 2.1.3 Bootsektor reparieren Durch Defekte oder Vireneinwirkung kann es vorkommen, daß die Formatinformation des Bootsektors zerstört wurde. In einem solchen Fall ist die Diskette nicht mehr lesbar. Durch fehlende Fehlerabfragen im TOS kommt es beim Versuch von der Diskette Daten zu lesen dann sehr häufig zu Systemabstürzen. Mit der Funktion Bootsektor reparieren können Sie solche schäden wieder beheben. Außerdem können Sie ein Bootprogramm aus der Bibliothek auswählen, daß in den Bootsektor ge- schrieben wird. In der nun erscheinenden Dialogbox sehen Sie unter "Format alt" das im Bootsektor enthaltene Format. Unter "neu" können Sie neue Werte eintragen, um Fehler zu korri- gieren. Falls Ihnen das Format nicht bekannt sein sollte, wird dieses von toXis mit der Funktion "Format analysieren" automatisch ermittelt. Dabei werden Leseversuche unternom- men, um die tatsächliche Anzahl der Sektoren/Spur, Spuren und Diskettenseiten zu ermitteln. Falls die Diskette defekte Spuren und Sektoren enthält, oder mehr Sektoren als benutzt, dies ist bei manchen Schnelladeformaten der Fall, ist das Ergebnis der automatischen Analyse jedoch unbrauchbar. Falls Sie über eine gleichartig formatierte Diskette verfügen kön- nen Sie jedoch mit der Funktion Diskinfo, siehe Abschnitt 2.1.4, die Formatdaten ermitteln und bei der defekten Dis- kette von Hand eintragen. Ist ein Eintrag unter "Format neu" leer bleibt der alte Wert bestehen. Für den Eintrag ausführ- bar gilt folgende Zuordnung: -1: keine Änderung 0: nicht Ausführbar 1: Ausführbar 2: MS-DOS-Bootsektor auf Atari nicht ausführbar 3: MS-DOS-Bootsektor auf Atari ausführbar Wenn Sie "Format aus Bibliothek" anwählen werden die ein- stellungen unter "neu" nicht beachtet, es werden die Daten der Bibliothek verwendet. Dies ist jedoch nur für Spiele- disketten sinnvoll, da nur hier das Format auch mit der Originaldiskette übereinstimmen muß. Mit "Bootsektor schreiben" wird der ausgewählte Bootsektor mit dem unter "neu" eingestellten Format geschrieben. Mit "OK" verlassen Sie das Reparaturmenü wieder. 2.1.4 Diskinfo Die Formatinformation der Diskette wird ausgelesen und ange- zeigt. Bei fehlerhaften Eintragungen erhalten Sie eine Mel- dung. 2.1.5 Dateien prüfen Die Linkvirenüberprüfung wird gestartet. Hierfür sollten Sie zunächst festlegen, welche Dateien auf Virenbefall untersucht werden sollen. Siehe dazu Abschnitt 2.2.5. 2.1.6 Speichertest Hierbei wird geprüft, ob bereits ein Virus im Speicher steht. Außerdem werden resetfeste Programme angezeigt. Be- achten Sie auch, das resetfeste RAM-Disks nicht auch reset- feste Programme sein müssen, denn nur die Daten müssen den Reset überstehen, nicht das Treiberprogramm. Da bei der Speicherprüfung nach residenten Programmen gesucht wird, die sich außerhalb des vom Gemdos verwalteten Speichers befinden, kann es hierbei hin und wieder auch zu Fehldiagnosen kommen. - Programme, die massiv in die Speicherverwaltung eingrei- fen, werden manchmal fälschlicherweise als Virus erkannt. Z.B. REVOLVER, K-SWITCH, ebenso manche Harddisk-Treiber. - Das Verfahren funktioniert sehr gut bei Bootsektorviren, jedoch in der Regel NICHT bei speicherresidenten Link- viren! Falls Sie eine Fehlermeldung erhalten, die Sich auf ein An- wenderprogramm zurückführen läßt, können Sie mit "Vektoren übernahmen", siehe Abschnitt 2.3.4, die beanstandeten Systemvektoren in die Bibliothek aufnehmen, dadurch wird diese Fehlermeldung beim nächsten Speichertest unterdrückt. 2.1.7 Komplettprüfung Speichertest, Bootsektorprüfung und Dateiprüfung werden nacheinander ausgeführt. 2.1.8 Ende Das Programm wird beendet. 2.2 Funktionen im Menü 'Einstellung' Hier finden Sie die Einstellungen mit denen Sie toXis für Ihren Anwendungsfall anpassen können. 2.2.1 Laufwerksauswahl Aufruf der Dialogbox zum Festlegen des Laufwerkes für die Bootsektorprüfung. 2.2.2 Online Speicher Hier stellen Sie die Betriebsart der Online-Speicherüberwa- chung ein. Es gibt dabei 4 Betriebsarten: - Vektoränderung zulassen die Speicherprüfung ist außer Funktion - Vektoränderung melden Bei Änderungen von Systemvektoren erhalten Sie nur eine Meldung - Nichtidentifizerbare blockieren Neu installierte Systemvektoren werden wieder mit dem altern Wert überschrieben, wenn sie keine XBRA-Kennung haben. - Jede Änderung blockieren Neu installierte Systemvektoren werden sofort wieder mit dem altern Wert überschrieben. 2.2.3 Online Laufwerk Hiermit wird die Überwachung von Laufwerkszugriffen einge- stellt. Es gibt die folgenden Möglichkeiten: - Bootsektorprüfung Hiermit stellen Sie ein, ob der Bootsektor einer neu eingelegten Diskette automatisch geprüft werden soll. - Linkvirenprüfung Hiermit stellen Sie ein, ob ein Programm beim Start automatisch auf Linkvirenbefall geprüft werden soll. - Schreibzugriff auf ausführbare Programme Soll ein vorhandenes ausführbares Programm zum Schreiben geöffnet werden, erhalten Sie eine Schreibschutzmeldung sowie eine Information, um welches Programm es sich handelt. Falls Ihnen keine Ursache für den Schreibzugriff bekannt ist, besteht die Möglichkeit, daß ein Linkvirus versucht Programme zu befallen. - nur-lesen-Attribut rücksetzen Soll das nur-lesen-Attributeines ausführbaren Programmes rückgesetzt werden, wird dies gesperrt und eine Fehlermeldung ausgegeben. Damit ist es einem Linkvirus nicht mehr möglich das nur-lesen- Attribut eines ausführbaren Programmes unbemerkt zurückzusetzen, um das Programm befallen zu können. - Schreibschutz für Laufwerke Hier können Sie Laufwerke gezielt schreibschützen, ähnlich dem Schreibschutz einer Diskette. Bei Zugriffen auf schreibgeschützte Laufwerke oder Dateien erhalten Sie die Schreibschutzmeldung des Betriebssystems. Bei Betätigen der Taste "NOCHMAL" wird der Zugriff trotzdem ausgeführt. Damit haben Sie die Möglichkeit in Ausnahmesituationen den Schreibschutz zu umgehen, z.B. wenn ein Programm Konfigurationsdaten im eigenen Programmcode ab- speichert. Achtung! Wenn Sie begonnen haben Schreibzugriffe mit der Taste "NOCHMAL" zuzulassen müssen Sie dies weiterführen! Wenn Sie zunächst Schreibzugriffe zulassen, dann aber sperren, kann dies zu Fehlern in der Datenstruktur des betreffenden Laufwerkes führen. Datenverluste währen die unweigerliche Folge! 2.2.4 HD-Auswahl Falls Sie einen Festplattentreiber vom Typ AHDI ab Version 3.0 verwenden, kann toXis von diesem Treiber abfragen wel- che Festplatten an Ihrem Computer angeschlossen sind. Ver- wenden Sie einen anderen Festplattentreiber, so müssen Sie diese Angaben selbst eintragen. Im zweiten Fall erscheint eine Dialogbox mit folgenden Einstellmöglichkeiten: - Festplattendefinition: Fortlaufende Nummer für die Ein- stellungen - Anschluß: An welche Schnittstelle ist die Festplatte angeschlossen SCSI: SCSI - Schnittstelle des TT, auch für die eingebaute Fest- platte des TT verwendet. ACSI: Der normale DMA-Anschluß sonst. Andere Festplatten. - Gerätenr. Die Gerätenummer der Fest- platte, bei Eingebauten Festplatten 0. - Laufwerksnr. Zusätzliche Laufwerksnummer wenn mehrere Plattenlaufwerke in einem Gerät enthalten sind. Bei original Atari-Hardware immer 0. - Definition löschen Einstellungen für diese Festplatte löschen. - Test Ist die eingestellte Fest- platte ansprechbar? - Suchen Sucht nach Festplatten - OK Einstellung beenden. 2.2.5 Dateiprüfung Hier können Sie spezifizieren, welche Aktionen bei der Dateiprüfung ausgeführt werden sollen. Es erscheint eine Dialogbox mit folgenden Einstellmöglichkeiten: - Suchgebiet für Dateiprüfung hier wählen Sie aus wo die zu prüfenden Dateien zu suchen sind. Folgende Einstellungen sind möglich: Datei einzelne Dateien, Auswahl mit Fileselectbox Disk Auf dem eingestellten Laufwerk Pfad Rekursiv in einem Pfad, Auswahl mit Fileselectbox Laufwerk Auf den eingestellten Laufwerken A-Z - Namenserweiterungen der ausführbaren Programme hier geben Sie an, welche Namenserweiterungen für die Suche nach Ausführbaren Programmen verwendet werden sollen. Die Standardeinstellung ist PR?, AC?, APP, TOS, und TTP. - Schnellprüfung Von den zu prüfenden Programmen wird nur der Start einge- lesen. Ein Linkvirus muß dort Veränderungen vornehmen, um lauffähig zu sein. Die Prüfzeiten insbesondere beim Prüfen von Festplatten werden drastisch verkürzt. Da vor dem Auf- nehmen in die Bibliothek jedoch das gesamte Programm gela- den werden muß, kommt die Zeitersparnis durch die Schnell- prüfung in der Regel nur bei Wiederholungsprüfungen voll zum tragen. - Unbekannte Programme automatisch in die Bibliothek aufnehmen Trifft toXis auf ein unbekanntes Programm, wird dieses automatisch in die Bibliothek aufgenommen, wenn kein Vi- renbefall erkannt wurde. - Prüfsummen bei ... Dateien überwachen Hierbei können Sie einstellen, welche nicht ausführbaren Dateien auf Veränderung überwacht werden sollen. Dies dient weniger zur Erkennung von Virenbefall sondern eher zur Erkennung von Defekten. Folgende Einstellungen sind Möglich: allen Alle nicht Ausführbaren Dateien werden über- wacht keinen Keine Überwachung folgenden Überwachung der Dateien mit den eingestellten Namenserweiterungen - Start Die Dateiprüfung wird gestartet - OK Dialogbox verlassen 2.2.6 Bootsektortyp Einstellung des Schutzprogrammes für "Bootsektor schützen". Folgende Einstellungen sind Möglich: 1 Standardschutzprogramm, erzeugt die Meldung "Kein Virus im Bootsektor". 2 MS-DOS lesbarer Bootsektor, erzeugt sowohl auf Atari als auch auf MS-DOS-Computern beim Booten die Meldung "Kein Virus im Bootsektor". Die Schutzwirkung gegen Virenbefall ist jedoch wesentlich geringer als beim Typ 1. 3 Gelöschter Bootsektor, unter MS-DOS lesbar. Dieser Boot- sektor hat praktisch keinerlei Schutzwirkung. Der Boot- sektor ist dann hilfreich, wenn andere Virensuchprogramme Bootsektoren vom Typ 1 oder 2 fälschlicherweise als Virus erkennen. 2.2.7 Darstellungsart Hier bestimmen Sie die Textgröße im Display- und im Status- Fenster, sowie die Anzeigeartart im Displayfenster. Für Bootsektoren, Ausführbare Programme und nicht ausführba- re dateien können Sie folgende Anzeigearten auswählen: Hexdump Ausgabe als Hexdump und Text ASCII Ausgabe nur als Text Disasm. list Disassemblierte Ausgabe Disasm. trace Disassemblierte Ausgabe, wobei unbedingte Verzweigungen mitverfolgt werden. Es entsteht auf diese Weise ein guter Eindruck des Programmablaufes. 2.2.8 Voreinstellung Einstellungen für den Programmstart Speicher für Dateiprüfung hier geben Sie An wieviel Speicher beim Start von toXis zum Laden für Dateien reserviert werden soll. Diese Einstellung ist insbesondere in der Betriebsart als Accessory wichtig, da unnötig reservierter Speicher sonst den anderen Program- men fehlt. Startkommandos Hier können Sie eingeben, was beim Start von toXis auto- matisch ablaufen soll. Eingeben können Sie eine Folge von Zeichen, die so interpretiert werden, als wenn sie von der Tastatur kämen. Außer den Buchstabenkommandos, die Sie der Menüleiste entnehmen können, gibt es noch das Kommando "!" für die Darstellung der Infobox und das Kommando "~" für eine Pause von 1s. Voreingestellt ist "ZM!", d.h. Belegung der Bibliothek anzeigen, Speichertest und die Infobox. 2.2.9 Einstellung sichern Speichern der Einstellungen in der Datei TOXIS.INF. 2.2.10 Einstellung laden Einstellungen werden geladen. 2.3 Funktionen im Menü 'Bibliothek' Im Menü Bibliothek finden Sie die Programmpunkte zur ver- waltung der Bibliothek. 2.3.1 Boot übernehmen Ein unbekanntes Bootprogramm kann als gutartig in die Bibliothek aufgenommen werden. Wenn Sie sich nicht letzlich sicher sind, ob es sich vielleicht um einen Virus handeln könnte, verwenden Sie das in Abschnitt 4.4 beschriebene Ver- fahren. 2.3.2 Virus übernehmen Ein unbekanntes Bootprogramm kann als Boosektorvirus in die Bibliothek aufgenommen werden. 2.3.3 Als Datei speichern Ein unbekanntes Bootprogramm kann als Datei abgespeichert werden, z.B. für weitere Analysen. 2.3.4 Vektoren übernehmen Nach dem Speichertest, siehe Abschnitt 2.1.6, können Sie Vektordatensätze übernehmen, die Fehlalarm verursachen. 2.3.5 Bibliothek laden Die Bibliotheksdatei wird neu geladen. Damit ist es Ihnen möglich mit mehreren Bibliotheksdateien zu Arbeiten. 2.3.6 Bibliothek speichern Die Bibliotheksdatei wird gespeichert. Damit seht Ihnen die aktualiserte Bibliothek nach dem nächsten Start von toXis automatisch zur Verfügung. 2.3.7 Bibliothek anzeigen Informationen über die Belegung der Bibliotheksdatei werden angezeigt. 2.4 Funktionen in Menü 'Diverses' 2.4.1 Protokoll Das Druckerprotokoll wird ein- oder ausgeschaltet 2.4.2 Kaltstart Der Speicher wird gelöscht, dann Reset durchgeführt. 2.5 Funktionen in Menü 'Hilfe' Unter diesem Menüpunkt finden Sie die Einstellungen zur Benutzerführung. 2.5.1 Extrahilfe Bei eingeschalteter Extrahilfe erhalten Sie vor der Aus- führung irgend einer Aktion eine kurze Erläuterung und eine Abbruchmöglichkeit. 2.5.2 Warnmeldungen Warnmeldungen können ausgeschaltet werden um dem geübten Benutzer eine schnellere Bedienung zu ermöglichen. 3 Gefahrenhinweise Durch toXis können unter ungünstigen Umständen Daten zer- stört werden! Es sind die folgenden Gefahrenquellen bekannt: - Ein Bootprogramm hatte eine nützliche Funktion. Durch überschreiben mit der Funktion "Diskette Schützen" wird das Bootprogramm zerstört! Insbesondere bei kopierge- schützter Software oder Disketten, die ein spe- zielles Betriebssystem verwenden, ist hier Vorsicht geboten! Spieledisketten enthalten fast immer einen ein spezielles Bootprogramm! - Wenn Sie nach "Diskette Prüfen" und vor "Diskette Schützen" die Diskette wechseln, wird keine erneute Bootsektoranalyse vorgenommen. Sie überschreiben also ein evtl. vorhandenes, nützliches Bootprogramm, ohne dies zu bemerken. - Die Warnmeldungen, z.B. beim Löschen des Bootsektors können abzuschalten werden. Wer größere Diskettenmengen zu bearbeiten hat wird dies zu schätzen wissen. Durch einen unachtsamen Tastendruck können nun jedoch fast un- bemerkt Bootprogramme zerstört werden! Beachten Sie auch, die Warnmeldungen in den Voreinstellungen enthal- ten sind, und nicht bei jedem Programmstart explizit abgeschaltet werden müssen. - Manche Linkviren treten in verschiedenen "Mutationen" auf. Das Reparieren eines virusbefallenen Programmes erzeugt deshalb manchmal Programme, die nicht lauffähig sind. - Die Formatanalyse bei "Bootsektor reparieren" geht davon aus, daß alle auf der Diskette vorhandenen Spuren und Sektoren auch genutzt werden. Dies ist jedoch bei eini- gen Schnelladeformaten nicht der Fall! Ebenso ist dies nicht der Fall, wenn Sie eine Diskette mit niedriger Ka- pazität auf eine Diskette höherer Kapazität kopieren, ohne neu zu formatieren. In einem solchen Fall wird eine intakte Diskette zerstört, wenn Sie den Bootsektor schreiben, ohne die ermittelten Daten von Hand zu korri- gieren. 4 Kleine Virenkunde Ziel dieses Kapitels ist es, dem Anwender von toXis die Funktion von Virusprogrammen zu erläutern und die bei Virenbefall nötigen Gegenmaßnahmen zu erklären. 4.1 Was ist ein Virus? Ein Virus ist ein Programm, das sich vermehren kann. Wie in Biologie ist das Virus dabei auf die Hilfe eines Wirtes, in unserem Fall den Atari ST, angewiesen. 4.2 Aufbau eines Virusprogrammes Aus der Funktion eines Virusprogrammes ergibt sich, daß ein Virus normalerweise die folgenden Programmteile enthält: - Initialisierung dieser Programmteil lädt oder verschiebt den Virus an seine endgültige Zieladresse und setzt die Ereignisüber- wachung in Gang. - Ereignisüberwachung dieser Programmteil zapft das Betriebssystem an und wartet auf eine günstige Gelegenheit zum Eingreifen. - Vermehrungsteil dieser Programmteil wird von der Ereignisüberwachung aufgerufen und bewirkt, daß ein neuer Virus auf die Diskette oder Festplatte geschrieben wird. - Aktionsteil dieser Programmteil wird nur unter ganz bestimmten Umständen von der Ereignisüberwachung aufgerufen und bewirkt die üblen Sachen, vor denen es den Computeran- wendern so graust. 4.3 Virenbefall beim Atari ST Da wohl kein Anwender freiwillig ein Virusprogramm starten würde, finden sich Viren normalerweise an den Stellen, wo sie automatisch gestartet werden. Beim Atari ST gibt es dafür zwei Möglichkeiten: a) der Virus wird an ein Anwenderprogramm angehängt, b) der Virus wird in den Bootsektor einer Diskette geschrieben. Da die Version a meistens durch die Verlängerung der Anwenderprogramme auffällt, sind zur Zeit hauptsächlich Viren vom Typ b im Umlauf. 4.4 Was tun bei Virenbefall? Als nächstes bleibt zu klären, was zu tun ist, wenn Sie ein praktisches Beispiel für die obigen Ausführungen in Form einer virusbefallenen Diskette in Händen halten! - Ruhe bewahren! Viren im Bootsektor können meistens ohne Nebenwirkungen vernichtet werden. - Falls es sich um einen bekannten Virus handelt, wird dieser durch Überschreiben mit dem toXis-Bootprogramm vernichtet. Schalten Sie danach den Computer mindestens 20 s aus, um den Virus aus dem Speicher zu löschen. Booten Sie dann von der neu behandelten Diskette. Dabei muß die Meldung "Kein Virus im Bootsektor" erscheinen. Falls dies nicht der Fall ist, müssen die obigen Schritte wiederholt werden. Jetzt haben Sie den Virus auf dieser Diskette vernichtet. - Falls es sich um ein unbekanntes Bootprogramm handelt muß zunächst festgestellt werden, ob dieses ein Virus ist. Dafür benötigen Sie zwei leere Disketten, die im folgenden mit A und B bezeichnet werden. Falls Sie eine Festplatte besitzen, klemmen Sie diese ab. Kopieren Sie die gesamte Diskette mit dem unbekannten Bootprogramm auf Diskette A. Verwenden Sie dazu ein Kopierprogramm wie z.B. "FCOPY", damit auch der Bootsek- tor unverändert übertragen wird. Formatieren Sie die Diskette B und löschen den Bootsek- tor mit der toXis-Funktion "Bootsektor löschen." Booten Sie von Diskette A. Legen Sie Diskette B ein und lassen Sie sich das Inhaltsverzeichnis anzeigen. Prüfen Sie nun die Diskette B mit toXis auf Virenbefall. Sollte der Bootsektor von Diskette B nun ein unbekanntes Bootprogramm enthalten, kann das nur ein Virus sein. Legen Sie die toXis-Diskette ein und nehmen Sie den Virus in die Bibliothek der Virenprogramme auf. Vernich- ten Sie den Virus durch Überschreiben mit dem toXis- Bootprogramm. - Wird ein Linkvirus erkannt, haben Sie oftmals die Möglichkeit das befallene Programm noch zu retten. Leider gibt es auch Linkviren, die das befallene Pro- gramm vollständig zerstören. - Bestehen Zweifel, ob ein Programm Virusbefallen ist, so können Sie folgenden Test machen: Kopieren Sie das virenverdächtige Programm zusammen mit einigen anderen Programmen, darunter auch das TEST.PRG von der toXis-Diskette auf eine gesonderte Diskette. Klemmen Sie eine evtl. vorhandene Festplatte ab und booten neu. Starten Sie dann abwechselnd das virenver- dächtige Programm und die anderen Programme auf der Diskette. Sollten sich Veränderungen an den Programmen zeigen, ist dies ein Indiz für Linkvirenbefall. Beson- ders deutlich wird dies am Programm TEST.PRG, da das Programm nur 52 Bytes lang ist. 4.5 Wie sich ein Virus manchmal verrät Obwohl ein Virus normalerweise so programmiert ist, daß man ihn nicht bemerkt, kann es doch Fälle geben, in denen er sich verrät. Wie viele Programme, so sind auch manche Viren nicht Blitter-TOS kompatibel. So z.B. der "VIRE87" von der bayrischen Hackerpost. Hier funktioniert die Schreibschut- zabfrage des Virus mit Blitter-TOS nicht mehr. Das führt dazu, daß beim Anzeigen des Inhaltsverzeichnisses einer schreibgeschützten Diskette plötzlich die Meldung "Diskette schreibgeschützt" erscheint, die hier normalerweise nicht erscheinen dürfte. Ein weiteres Indiz für Virenbefall ist das plötzliche Versagen von Bootprogrammen wie z.B. der 60-Hz Umschaltung oder dem RAM-TOS Bootprogramm. Bei Linkviren ist die Verlängerung der befallenen Programme ein untrügliches Zeichen für Virenbefall. Viele Linkviren versuchen beim Start eines befallenen Programmes alle auf- findbaren Programme ebenfalls zu verseuchen. Dies benötigt jedoch erheblich mehr Zeit als der Start des unbefallenen Programmes. 4.6 Prophylaxe Sie sollen nun erfahren, wie Sie den Viren durch das Beherzigen einiger weniger Verhaltensregeln das Leben möglichst schwer machen können. - Booten Sie immer von derselben, schreibgeschützten Dis- kette, die durch das toXis-Bootprogramm geschützt ist. Booten Sie insbesondere NIEMALS wahllos von FREMDEN Dis- ketten. - Prüfen Sie alle neuen Programmdisketten vor der ersten Benutzung mit toXis auf Virenbefall. - Halten Sie Ihre Disketten so lange schreibgeschützt, wie es irgendwie möglich ist. - Schützen Sie alle Disketten mit dem toXis-Bootprogramm. Ausgenommen diejenigen Disketten, die ein spezielles Bootprogramm benötigen. - Prüfen Sie Ihre Disketten regelmäßig mit toXis auf Virenbefall. - Fertigen Sie regelmäßig Sicherheitskopien von Ihren Daten an. Bei Programmen ist es sinnvoller eine ein- malige Sicherheitskopie beim Erwerb des Programmes durchzuführen. Da Sie sonst evtl. auf eine bereits virenbefallene Sicherheitskopie zurückgreifen! - Da manche Linkviren die zu befallenden Programme anhand ihrer Namenserweiterung erkennen, kann die Verbreitung solcher Viren durch die Änderung der Namenserweiterung der ausführbaren Programme verhindert werden. Damit Programme mit geänderter Namenserweiterung trotzdem vom Betriebssystem gestartet werden, muß die Datei DESKTOP.INF angepasst werden. Dies sei am folgenden Beispiel erklärt. In der Datei DESKTOP.INF finden Sie die folgenden vier Zeilen: #G 03 FF *.PRG@ @ #G 03 FF *.APP@ @ #F 03 04 *.TOS@ @ #P 03 04 *.TTP@ @ Kopieren Sie diese Zeilen und überschreiben Sie in den kopierten Zeilen die Namenserweiterungen mit neuen Namen. Die in den folgenden Zeilen gewählten Namen, EXE statt PRG, GDO statt APP, COM statt TOS und BAT statt TTP stellen lediglich ein Beispiel dar. Ihrer Phantasie sind hierbei keine Grenzen gesetzt. Vermeiden Sie jedoch solche Bezeichnungen, die schon für andere Zwecke ver- geben sind, z.B. BAS oder DOC. #G 03 FF *.EXE@ @ #G 03 FF *.GDO@ @ #F 03 04 *.COM@ @ #P 03 04 *.BAT@ @ Durch diese Modifikation wird erreicht, daß sowohl Programme mit den alten Namenserweiterungen, als auch solche mit den selbstdefinierten vom Betriebssystem gestartet werden. Die Änderung ist natürlich erst nach einem RESET wirksam. - Da viele Viren resetfest sind, ist es sinnvoll den Computer von Zeit zu Zeit ganz auszuschalten, um alle Programme im Speicher zu löschen. Da jedoch allzuhäufi- ges Ausschalten dem Atari nicht guttut, ist es besser, entweder die Kaltstart-Funktion von toXis oder das von Atari zum TOS 1.4 gelieferte Programm COLDBOOT.PRG zu verwenden. Vor den in Umlauf befindlichen Antiviren möchte ich an dieser Stelle einmal eindringlich warnen. Da diese Programme meist keine Gnade kennen und ALLE ausführbaren Bootpro- gramme überschreiben, insbesondere sind von Antiviren be- schriebene Bootsektoren nicht mehr unter MS-DOS lesbar. 4.7 Hinweise für Festplattenbesitzer Auch wenn Ihre Festplatte bootfähig ist, wird trotzdem beim Einschalten des Systems zunächst der Bootsektor der Diskette eingelesen und ausgeführt. Bei einem RESET wird jedoch nur der Bootsektor des vermerkten Bootlaufwerkes gelesen und ausgeführt. Schweißausbrüche wegen des Ausbleibens der Mel- dung "Kein Virus im Bootsektor" bei RESET sind also unbe- gründet. Aus dem gleichen Grunde bleiben Festplattenbe- sitzer auch meistens von Bootsektorviren verschont. Wegen der weitaus größeren Datenmenge, die auf dem Spiel steht, ist jedoch trotzdem besondere Vorsicht angebracht! Mit der TOS-Version 1.4 wurde der Ablauf des Warmstartes geändert. Es wird jetzt trotz angeschlossener Festplatte auch beim Warmstart (RESET) zunächst von Diskette gebootet! Fest- plattenbesitzer sollten diese virenfreundliche Neuerung stehts berücksichtigen! 4.8 Linkviren Unter Linkviren versteht man solche Viren, die sich an Anwenderprogramme anhängen. Da sich die Erkennung solcher Viren besonders schwierig gestaltet, werden hierfür von toXis drei verschiedene Diagnoseverfahren angewendet. Das erste Verfahren verwendet Vergleichsdaten über das zu prüfende Programm, wie z.B. Längen der Programm- und Daten- segmente sowie CRC-Prüfsummen. Dieses Verfahren hat den Vor- teil, daß alle Änderungen am Programm erkannt werden, also auch der Befall durch heute noch nicht bekannte Viren später einmal entdeckt werden kann. Bei den mitgelieferten Ver- gleichsdaten von ca. 300 Programmen können jedoch auch da- durch Abweichungen entstehen, daß die Daten von einer anderen Programmversion stammen, als das zu untersuchende Programm. Abweichungen entstehen oft auch durch in kommerziellen Programmen enthaltenen Seriennummern. Deshalb prüft ein zweites Diagnoseverfahren das Auftreten bestimmter Bytekombinationen, die für einige Viren typisch sind. Hierdurch kann der Virenbefall mit diesen Viren sicher nachgewiesen werden. Soweit möglich können diese Viren auch wieder aus den befallenen Dateien entfernt werden. Zusätzlich wird noch durch ein drittes Verfahren geprüft, ob der Dateiaufbau korrekt ist. Mit dem letzten Diagnosever- fahren sind zwar keine exakten Aussagen über den Virenbefall möglich, es hat aber den Vorteil, daß nebenbei noch defekte Dateien aufgespürt werden. 4.9 Effekte, die oft mit Viren verwechselt werden Es gibt viele Fälle, in denen sich der Atari recht seltsam verhält. Damit Sie in solchen Fällen von einer Virenpanik verschont bleiben hier eine kurze Aufzählung von Fällen, in denen kein Virus im Spiel ist. - In vielen Programmen finden sich leichtere oder schwerere Softwarefehler. Überlegen sie deshalb zuerst, ob der ver- meintliche Virus nicht vielleicht ein Softwarefehler sein könnte. Falls Sie mehrere Programme gleichzeitig verwen- den, wie z.B. Ramdisks, Druckertreiber, Terminkalender u.s.w., bedenken Sie bitte, daß möglicherweise kein Soft- warehersteller genau Ihre Kombination von Computertyp, TOS-Verion sowie Ansammlung von Accessories und Speicher- residenten Programmen jemals getestet hat! Fehler, die erst in der Kombination mehrerer Programme auftreten sind gar nicht so selten. - Bedenken Sie auch, daß das TOS, d.h. das Betriebssystem des Atari, insbesondere in den älteren Versionen eine Menge an Fehlern enthält. Hier eine kurze Auswahl der Feh- ler, die oft mit Viren verwechselt werden: - Der Wechsel einer Diskette wird oft nicht erkannt. Dies führt dann zu Datenverlust, wie Verschwinden oder un- brauchbar werden von Dateien oder Ordnern. Ein Totalver- lust aller Daten auf der Diskette kann dann vorkommen, wenn die neu eingelegte Diskette ein anderes Format auf- weist als die alte Diskette. Eine besonders böse Falle ist das Formatieren einer Diskette in einem neuen Format, da dies von der Hardwareüberwachung nicht als Diskettenwech- sel erkannt wird. Sie sollten eine neu formatierte Dis- kette deshalb sicherheitshalber unmittelbar nach dem For- matieren aus dem Laufwerk entnehmen, um die Hardwareer- kennung auszulösen. Da das TOS einen Diskettenwechsel auch an der Seriennummer im Bootsektor zu erkennen versucht, entstehen Fehler in den Fällen, in denen diese Serien- nummern bei mehreren Disketten gleich sind. Hierfür gibt es folgende Ursachen: Manche Kopierprogramme erzeugen exakte 1:1 Kopien, bei denen auch die Seriennummern im Bootsektor identisch sind. Auch auf MS-DOS-Computern formatierte Disketten sind auf dem Atari lesbar. Ein MS-DOS-Computer formatiert jedoch nur Disketten mit identischer Seriennummer. Um die Probleme beim Diskettenwechsel minimal zu halten, sollten Sie folgende Ratschläge beachten: Nach einem Diskettenwechsel im Desktop unbedingt die ESC- Taste Drücken. Im Desktop oder in der Fileselect-Box eines Programmes nach einem Diskettenwechsel immer bis zum Wur- zelverzeichnis zurückgehen und danach die gewünschten Ordner wieder öffnen. Wenn Sie für ein Programm zwei Disketten benötigen, z.B. Programm- und Datendiskette, ist es bei einem Laufwerk vorteilhaft eine Diskette als Laufwerk A: die andere als Laufwerk B: anzusprechen. Diese Betriebsart wird vom TOS korrekt verwaltet. Verwenden Sie nach Möglichkeit nur Disketten in einem ein- zigen Format, am besten dem Systemformat des Atari. - Im TOS fehlen praktisch überall Abfragen auf sinnlose Eingaben. So führt das Einlegen einer defekten Diskette im Desktop oft zum Absturz der Sortierroutine für die Dateinamen, da zuviele Dateien gefunden werden. Dies äußert sich in der Regel durch ein Muster aus senkrechten schwarzen Streifen auf dem Bildschirm und nachfolgendem Absturz mit 2 Bomben. - Durch Fehler in der FAT (File-Allocation-Table) kann es vorkommen, daß das TOS Daten auf Spuren sucht, die gar nicht existieren. Dabei wird versucht den Schreib-Lesekopf des Laufwerkes über den mechanischen Anschlag hinauszube- wegen, was sehr laute knarrende Geräusche verursacht. In einem solchen Fall ist die Diskette defekt. Sie können nur noch versuchen alle Dateien, bei denen dieser Effekt nicht auftritt auf eine andere Diskette zu kopieren. - Tritt während des Betriebes der Fileselect-Box ein Fehler auf, z.B. Lesefehler auf der Diskette, kann es zu einem Absturz der Fileselect-Box kommen. Dies äußert sich darin, daß der Pfadname sinnlose Zeichen enthält und nicht mehr verändert werden kann. Ein ähnlicher Effekt zeigt sich, wenn der ausgewählte Pfadnahme zu lang wird. In einem solchen Fall hilft nur noch ein Reset. - Durch Schwächen bei der Ordner- und Speicherverwaltung kann es nach längerer Betriebszeit zu Fehlern und System- abstürzen kommen. Hier helfen nur regelmäßige Kaltstarts. - Durch die voll ausgelastete Hardware des Atari ST (nur so kommt der günstige Preis zustande) können auch Fehler ent- entstehen. Die Versorgungsspannung liegt oft unterhalb der erlaubten Toleranzen. Dies äußert sich manchmal durch schwarze senkrechte Linien, die sich von oben her in das Bild ziehen. Sinkt die Spannung noch weiter ab verschwin- den alle weißen Flächen vom Bildschirm. Nur noch die Über- gangskanten von schwarz nach weiß bleiben sichtbar. Der Effekt wird verursacht durch das zu schwache Video-Aus- gangssignal. Der Effekt tritt nur beim monochromen Monitor SM124 auf. Der gleiche Effekt kann seine Ursache aber auch im Monitor haben. Der Stecker mit dem das Monitorkabel im inneren des Monitors (SM124) mit der Platine verbunden ist kann korro- dieren. Der entstehende Übergangswiederstand schwächt das Videosignal ab. Die beste Lösung ist in diesem Fall das Entfernen des Steckers und direktes Anlöten des Kabels. Diese Arbeit darf wegen der lebensgefährlichen Hochspan- nung im Monitor nur von einem Fachmann durchgeführt wer- den. - Vorsicht auch bei eigener Bastelei am Computer! Die Spezial-IC's von Atari sind nicht nur sündhaft teuer sondern auch sehr empfindlich! Besonders bei Speicherauf- rüstungen kann die MMU zerstört werden. Dies wirkt sich dann so aus, daß im Speicher wahllos Bit's umkippen. Auf dem Bildschirm erscheinen deshalb dann auch vereinzelte schwarze Punkte und der Rechner stürzt ab. - Die DMA-Schnittstelle ist intern mit dem Disk-Controler verbunden, aber insbesondere bei den älteren Computer der ST-Serie nicht gepuffert! Der Betrieb des Computers mit einem abgeschalteten Gerät am DMA-Bus ist deshalb nicht zu empfehlen! Datenverlust auf angeschlossenen Festplatten und Disketten kann sonst nicht ausgeschlossen werden! Ins- besondere den Laserdrucker sollten Sie abklemmen, wenn Sie ihn nicht einschalten wollen.