home *** CD-ROM | disk | FTP | other *** search
/ CD Direkt 1995 #6 / CDD_6_95.ISO / cdd / avirus / tbavw634 / addendum.doc next >
Encoding:
Text File  |  1995-03-01  |  9.7 KB  |  242 lines
  1.  
  2. Addendum.Doc
  3. ============
  4.  
  5. In dieser Datei finden Sie folgende Informationen:
  6.  
  7. 1)  Dokumentation zu TbLog
  8. 2)  Umbenennung der Anti-Vir.Dat
  9. 3)  Detecting the presence of TBAV utilities
  10. 4)  Neue Startoptionen
  11.  
  12.  
  13.  
  14. 1) Dokumentation zu TbLog
  15. =========================
  16.  
  17. TbLog ist ein TBAV-Protokoll-Datei-Utility. Es schreibt einen Record
  18. (also einen Datensatz) in eine Log- oder Protokoll-Datei immer dann,
  19. wenn eines der speicherresidenten TBAV-Utilities ein Alarmfenster
  20. öffnet und eine Meldung am Bildschirm ausgibt. Ein solcher Record wird
  21. auch dann eingetragen, wenn TbScan einen Virus entdeckt.
  22.  
  23. Diese Utility ist primär für Netzwerk-User gedacht. Wenn TbLog auf allen
  24. Workstations installiert ist und so konfiguriert wurde, daß ein und die-
  25. selbe Protokoll-Datei verwendet wird, kann der Systembetreuer jederzeit
  26. genau verfolgen, was vor sich geht. Gelangt ein Virus in das Netzwerk,
  27. kann der Systembetreuer exakt bestimmen, über welchen Rechner dies
  28. passiert ist, und er kann rechtzeitig darauf reagieren.
  29.  
  30. Ein TbLog-Record besteht aus der Zeitangabe an der das Ereignis aufge-
  31. treten ist, dem Namen des Rechners auf dem dies geschah sowie einer
  32. informativen Meldung darüber, was passiert ist und welche Dateien be-
  33. troffen waren bzw. sind. Die Information ist sehr umfassend und benötigt
  34. lediglich eine Zeile.
  35.  
  36.  
  37. Verwendung:
  38.  
  39. Ebenso wie die anderen TBAV-Utilities, kann TbLog von der Config.Sys
  40. oder der AutoExec.Bat aus geladen werden, nachdem TbDriver aufgerufen
  41. wurde.
  42.  
  43. TbLog sollte auf jeder Workstation installiert werden. Wenn Sie wollen,
  44. daß alle Workstations dieselbe Protokoll-Datei verwenden, empfehlen wir
  45. Ihnen, TbLog zu laden, nachdem das Netzwerk gestartet wurde.
  46.  
  47. TbLog verwendet standardmäßig eine Protokoll-Datei mit dem Namen TbLog.Log
  48. im TBAV-Verzeichnis. Sollten Sie einen anderen Dateinamen, ein anderes
  49. Laufwerk oder ein anderes Verzeichnis verwenden wollen, können sie einen
  50. Dateinamen in der Befehlszeile von TbLog angeben.
  51.  
  52.  
  53.  
  54. Startoptionen:
  55.  help                  ?  = zeigt einen Hilfebildschirm an
  56.  remove                r  = entfernt TbLog aus dem Speicher
  57.  on                    e  = aktiviert TbLog
  58.  off                   d  = deaktiviert TbLog
  59.  test                  t  = Test-Meldung protokollieren
  60. Option, die beim ersten Hochstarten verfügbar ist:
  61.  machine = <Rechner>   m  = Name des Rechners
  62.  
  63.  
  64. Test (t)
  65.  
  66. Diese Option kann dazu eingesetzt werden, eine Test-Meldung aufzu-
  67. zeichnen. Wenn Sie die Option 'test' beim ersten Aufruf von TbLog
  68. angeben, zeichnet es die Uhrzeit und den Rechnername in der Proto-
  69. koll-Datei auf.
  70.  
  71.  
  72. Machine (m)
  73.  
  74. Mit dieser Option können Sie den Namen des Rechners spezifizieren, auf
  75. dem TbLog geladen ist. Dieser Rechnername erscheint in der Protokoll-
  76. Datei. Auf NetBios-kompatiblen Rechnern verwendet TbLog standardmäßig
  77. den Namen des Netzwerkrechners. Auf anderen Netzwerken - wie etwa
  78. Novell - müssen Sie den Netzwerknamen in der TbLog-Befehlszeile eingeben.
  79.  
  80.  
  81. 2) Umbenennung der Anti-Vir.Dat
  82. ================================
  83.  
  84. Die meisten der TBAV-Utilities verwenden eine Art 'Fingerabdruck'-Datei
  85. mit Namen Anti-Vir.Dat. Diese Dateien werden von TbSetup erzeugt. Einige
  86. Anwender haben die Befürchtung, ein Virus könnte dies 'verstehen' und
  87. die Anti-Vir.Dat-Dateien löschen, und haben daher den Wunsch geäußert,
  88. diesen Namen frei wählen zu können.
  89.  
  90. Unserer Meinung nach ist die Umbenennung des Dateinamens Anti-Vir.Dat
  91. nicht die ultimative Lösung: Da die TBAV-Utilities den Namen irgend-
  92. wie herausfinden müssen, könnte ein Virus dieselbe Methode ebenfalls
  93. einsetzen, um den Anti-Vir.Dat-Dateinamen herauszubekommen. Zweitens
  94. könnte es für Anfänger verwirrend sein, besonders nach dem Booten von
  95. einer Diskette, da die TBAV-Utilities standardmäßig davon ausgehen,
  96. daß diese 'Fingerabdruck'-Dateien den Namen Anti-Vir.Dat tragen.
  97. Drittens: wenn Sie TbCheck verwenden, warnt dieses Sie sowieso auto-
  98. matisch, wenn eine Anti-Vir.Dat-Datei gelöscht wird.
  99.  
  100. Wie dem auch sei, wenn Sie aus Sicherheitsgründen wirklich einen an-
  101. deren Dateinamen verwenden müssen, können Sie dies mit dem Schlüssel-
  102. wort "AvFILE" im [TBAV]-Abschnitt der TBAV.INI-Datei tun. Alle TBAV-
  103. Utilities werden den spezifizierten Namen automatisch verwenden. Die
  104. Unterstützung für dieses Schlüsselwort ist begrenzt, daher kann es
  105. nicht vom TBAV-Menü aus gesetzt werden. Verwenden Sie einen ASCII-
  106. Editor, um dieses Schlüsselwort in den [TBAV]-Abschnitt einzubauen.
  107.  
  108. Obwohl die TBAV-Utilities den spezifizierten Dateinamen korrekt ver-
  109. wenden werden, gebrauchen sie weiterhin den Namen 'Anti-Vir.Dat' in
  110. den Fehlermeldungen und am Bildschirm, um die Übereinstimmung mit dem
  111. Handbuch sicherzustellen.
  112.  
  113. ACHTUNG! Falls Sie hin und wieder von einer Diskette booten, um Ihr 
  114. System zu scannen, stellen Sie unbedingt sicher, daß sich auch auf
  115. dieser Diskette eine TBAV.INI-Datei mit derselben Dateinamen-Spezifi-
  116. kation befindet!
  117.  
  118.  
  119.  
  120. 3) Detecting the presence of TBAV utilities
  121. ===========================================
  122.  
  123. Some users want to be able to find out in batch files whether some of
  124. the resident TBAV utilities are installed in memory. Since all TBAV
  125. utilities install a device-name once they become resident, this can
  126. be done by using the 'if exist' statement.
  127.  
  128. Suppose a batch file should display an error message if TbScanX has
  129. not been installed. The batch file would be:
  130.  
  131.     @echo off
  132.     if not exist SCANX echo TbScanX has not been loaded!
  133.  
  134. Or you can branch to a label by using the goto command:
  135.  
  136.     if not exist SCANX goto noscanx
  137.     bla bla
  138.     :noscanx
  139.     bla bla
  140.  
  141. The same method can be used to detect the other TBAV utilities. The
  142. device names are:
  143.  
  144.     TbScanx:                SCANX
  145.     TbCheck:                TBCHKXXX
  146.     TbMem:                  TBMEMXXX
  147.     TbFile:                 TBFILXXX
  148.     TbDisk:                 TBDSKXXX
  149.     TbLan:                  TBLANXXX
  150.     TbLog:                  TBLOGXXX
  151.  
  152.  
  153.  
  154.  
  155. 4) Neue Startoptionen
  156. =====================
  157.  
  158.  
  159. TbUtil:
  160.     -   Option 'GetBoot <Laufwerk>'. Sie können diese Option dazu ein-
  161.         setzen, den Bootsektor der angegebenen Disk in eine Datei zu
  162.         kopieren.
  163.  
  164.  
  165. TbClean:
  166.     -   Option 'NoHeur'. Mit dieser Option können Sie TbClean das heu-
  167.         ristische Säubern untersagen.
  168.  
  169.  
  170. TbScan:
  171.     -   Option 'Exec'. Mit dieser Option können Sie zusätzliche Datei-
  172.         namens-Erweiterungen ausführbarer Dateien für TbScan spezifi-
  173.         zieren. 
  174.         TbScan betrachtet die Erweiterungen .COM, .EXE, .OV?, .SYS, .BIN
  175.         und .BOO als solche ausführbarer Dateien und scannt Dateien mit
  176.         einer dieser Erweiterungen standardmäßig. Es gibt jedoch weitere
  177.         Dateien, die ein internes Overlay besitzen, welches sie für Viren-
  178.         infektionen geeignet macht. Obwohl es sehr unwahrscheinlich ist,
  179.         daß Sie jemals eine dieser Dateien ausführen werden, könnten Sie
  180.         sie trotzdem scannen wollen.
  181.  
  182.         Einige Dateinamens-Erweiterungen (uns bekannt), die auf ein aus-
  183.         führbares Format hinweisen, sind: .DLL, .SCR, .MOD, .CPL, .00?
  184.         und .APP. Die ersten vier Erweiterungen weisen auf ausführbare
  185.         Windows-Dateien hin. Sie zeigen gewöhnlich die Meldung "This
  186.         program requires Microsoft Windows", wenn Sie versuchen, diese
  187.         Dateien aufzurufen, daher ist es unwahrscheinlich, daß Sie diese
  188.         Dateien überhaupt von der DOS-Ebene aus aufrufen. Selbst wenn sie
  189.         von einem DOS-Virus infiziert sein sollten, stellen sie keine tat-
  190.         sächliche Bedrohung dar, da Sie diese ja nicht starten. Aus diesem
  191.         Grund untersucht TbScan diese Dateien nicht standardmäßig. Um
  192.         TbScan anzuweisen, dies zu tun, spezifizieren Sie folgenden Befehl
  193.         in der Befehlszeile oder im [TbScan]-Abschnitt der TBAV.INI-Datei:
  194.  
  195.             Exec=.DLL.SCR.MOD.CPL.00?.APP
  196.  
  197.         Das Fragezeichen ist als Wildcard (=Platzhalter) zulässig.
  198.  
  199.         Warnung! Seien Sie vorsichtig mit den Erweiterungen, die Sie an-
  200.         geben: Das Scannen nicht-ausführbarer Dateien kann unvorherseh-
  201.         bare Ergebnisse verursachen und zu Fehlalarmen führen. Um solche
  202.         Fehlalarme zu minimieren, wendet TbScan die heuristische Analyse
  203.         auf die hinzugefügten Erweiterungen ausführbarer Dateien nicht an.
  204.  
  205.  
  206. TbScanX:
  207.     -   Option 'api' (i)
  208.         This option can be used to enable the TbScanX API function calls.
  209.  
  210.         The interface consists of some multiplex calls (int 2Fh). Register
  211.         AH should contain CAh.  Register AL contains the function request
  212.         number.
  213.  
  214.         AL=0    InstallationCheck
  215.             BX='TB'
  216.  
  217.             Return value:
  218.             AL=FFh  TbScanX installed
  219.             BX='tb'
  220.  
  221.         AL=4    ScanFile
  222.             DS:DX   Name of the program file to be scanned.
  223.  
  224.             Return value:
  225.             No Carry flag set       No signature found in file.
  226.             Carry:                  Signature found in buffer!
  227.                     ES:BX   ASCIIZ-name of virus (null terminated)
  228.  
  229.             Registers altered:
  230.             AX,BX,CX,DX,SI,DI,BP,ES
  231.  
  232.     -   Es wurde eine neue, undokumentierte Option aufgenommen:
  233.         'xmsseg=<Hex-Adresse>' (xs). Mittels dieser Option können Sie
  234.         festlegen, unter welcher Adresse der temporäre XMS-Auslagerungs-
  235.         puffer lokalisiert werden soll, während Dateien kopiert werden.
  236.         Der Standardwert ist auf die Adresse 6000h eingestellt. Sollten
  237.         Sie Probleme beim Einsatz der XMS-Option haben, versuchen Sie
  238.         sie mit dieser neuen Option zu lösen. Empfohlene Werte liegen
  239.         zwischen 2000h und 8800h (voreingestellt ist 6000h). Lassen Sie
  240.         uns wissen, ob diese Option Ihnen weiterhilft und welche Werte
  241.         Sie eingesetzt haben. 
  242.