__MEMSCAN.DOC_________________________________________________________________ ______________________________________________________________________________ __Anleitung________________________________________Memory_Scanner_____________ ______________________________________________________________________________ ______________________________________________________________________________ (c) 16.10.1990-96 by ROSE, Ralph Roth Regelbasierendes, universelles Virensuchprogramm fr den Arbeits- speicher. Ist nicht auf bekannte Viren beschrnkt! Funktion von MemScan: --------------------- MemScan untersucht Ihren Arbeitsspeicher auf speicherresidente Computerviren. Falls Sie hierzu Fragen haben, lesen Sie die Dateien VIRSCAN.DOC & VIRSCAN.TXT durch (falls vorhanden). MemScan kann auch das "UPPER" Memory (UMB = Speicher oberhalb von 640 KB bis zu 1MB) und den HMA (High Memory Area = 1088 KB) Bereich untersuchen. MemScan bentigt fr die Virenerkennungen und Hashtabellen insgesamt ca. 450 KB freien Arbeitsspeicher! Memscan's Arbeitsspeicherbedarf wurde speziell an Netzwerk- umgebungen angepasst und luft deshalb auch mit nur 450 KB freiem Speicher! MemScan findet -dank heuristischen Scannen- unbekannte Viren (Option /UNB). MemScan meldet solche Viren i. A. mit einer der folgenden Meldungen: Execution - Funktion [EXEC] oder Generic File Open [FOpen] oder Memory Control Blocks [MCB] oder Generic Bootvirus [BOOT] (und weitere...) Bei Meldung einer dieser zwei Viren bitte ich um Zusendung einer infizierten Datei, um den Virus zu klassifizieren zu knnen (wenn VirScan mit der Option /HEUR in Dateien den gleichen Virentyp anzeigt) und um ihn in MemScan aufnehmen zu knnen! Versuchen Sie den Virus die beigefgten "Opferdateien" INFECTME.* infizieren zu lassen! Hinweis: MS-DOS 6.xx und Novell DOS 7.0 erzeugen einen Fehlalarm bei der Option /UNB in Verbindung mit der Option /HIGH. Meistens wird ein Generic Exec Virus im Segment Fxxx:xxxx gemeldet, welches jedoch der hochgeladene COMMAND.COM belegt. MemScan warum? -------------- MemScan wird von uns intern verwendet, um neue Viren schnell und sicher in VirScan aufzunehmen. Anwender haben uns jedoch laufend nach einem Programm gefragt, da NUR den Arbeitsspeicher untersucht. Aus diesem Grund wurde MemScan der ffentlichkeit zugnglich gemacht. Wahlweise Aufrufparameter: -------------------------- /? Kurze Hilfestellung ausgeben /HIGH Hohen Arbeitsspeicher (bis 1 MB) auch durchsuchen. /IVT Interrupt Virentest, siehe auch VIRSCAN.DOC /UNB Nach neuen unbekannten Viren suchen. Keinen Hinweis zur Parametersyntax ausgeben (Guru-Option). /NOVIR Keinen Hinweis zur Virussonderaktion anzeigen. Option /UNB ----------- Diese Option ist nur fr den Ernstfall gedacht! Diese Funktion erzeugt IMMER Fehlalarme! Sie dient mir zum Katalogisieren von bekannten und neuen Viren! Fast jeder neue Virus kann mit MemScan gefunden werden! Option /IVT ----------- Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 150 der bekanntesten Viren untersucht werden. Dies erfolgt mit sogenannten "Am I there" Aufrufen, die in Sekunden- bruchteilen durchgefhrt sind (im Vergleich zum langsamen Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird hierbei u.a. auf folgende Viren untersucht: - Jerusalem und verwandte Viren (mind. 48 Varianten) - Frere Jaque - Fu Manchu - Tequila (Tarnkappen/Stealth-Virus) - Yankee Doodle/Vacsina (45 Varianten) - Cascade und Yap (14 Varianten) - Flip/Omicrone (6 Varianten/Substealth-Virus) - Parity Check (4 Varianten, Bootvirus) - dBase - Plastique (AntiCad, Invader, Tobacco, 4.21, 5.21 und Cobol) - Tremor (Tarnkappenvirus) - Hare Bei Erkennung des Virus wird der Benutzer darber infor- miert. Sie sollten diese Option nicht verwenden, wenn Sie Novell Netware installiert haben, weil es zu berschneidungen der Interruptaufrufe kommt. Diese Funktion wurde ursprnglich automatisch durchgefhrt, es hat sich jedoch herausgestellt, da die sogenannten "Am I there" Aufrufe nicht 100% kompatibel mit verschiedenen Betriebssystemen und Kon- figurationen sind. Falls es also zu ungewhnlichen Seiten- effekten kommt, so knnte es an dieser Option liegen. Diese Option untersucht -falls vorhanden- auch den hohen Arbeitsspeicher (HMA) auf Viren. Hinweise zur Parametereingabe ----------------------------- Anwender, welche die amerikanische Parametereingabe mit dem Mi- nuszeichen gewohnt sind, knnen statt den Slashzeichen ('/') das Minuszeichen ('-') verwenden. Beispielsweise ist -ivt quivalent mit /Ivt Hinweis: Zwischen den einzelnen Parametern mu mindestens ein Leerzeichen vorhanden sein! Die Umgebungsvariable MEMSCAN ---------------------------- Statt MEMSCAN immer mit Parametern aufzurufen, kann MemScan mit einer sogenannten Environmentvariable (Umgebungsvariable) ge- steuert werden. Geben Sie beispielsweise am DOS-Prompt folgendes ein: SET MEMSCAN=/unb -high -ivt Wenn Sie nun MemScan starten, liet MemScan aus der Variable alle bentigen Parameter aus. Zurcksetzen von voreingestellten Werten ---------------------------------------- Manchmal ist es wnschenswert, schon fest (also per SET MEMSCAN=...) eingestellte Optionen wieder rckgngig zu machen. Dies erfolgt einfach durch Angabe eines Minuszeichens nach der Option. damit wird die Option ausgeschalten! Beispielsweise haben Sie folgendes eingeben: SET MEMSCAN=/high Dann starten Sie MemScan mit folgendem Parameter: MEMSCAN /high- Fehlalarme von MemScan ---------------------- MemScan entdeckt mit der Option /UNB ca. 98% ALLER neuer speicherresidenten Viren, jedoch ist diese Option nur fr absolute Virengurus zu empfehlen. TIP: Bei einem Virusverdacht VirScan Plus mit folgenden Parametern starten: Virscan -auto -heur -log Findet VirScan Plus jetzt in mehreren EXE/COM den gleiche Virus wie MemScan: Neuer Virus! Findet VirScan in vielen COM/EXE einen anderen Virus, z.B.: Crypt/FamZ, dann ist es ein neuer VERSCHLSSELTER Virus! In diesen Fllen bitte eine Diskette mit diesen infizierte Dateien zusenden! Hinweis: Die Option /HEUR ist nur in der Vollversion von VSP enthalten! Der Integrierte Virenschutz --------------------------- Das Programm enthlt einen integrierten Checksummentester, um einen mglichen Virenbefall gleich anzeigen zu knnen. Die zum Programm gehrige Checksumme befindet sich in der Datei mit der Endung "XXX". Diese in der Datei befindliche Checksumme sowie das Haupt- programm drfen auf keinen Fall verndert bzw. modifiziert werden! Das Hauptprogramm nimmt sonst an, es sei eventuell von einem Virus befallen worden (dem Programm noch unbe- kannter Virus)! Folgende Merkmale der EXE-Datei werden berwacht und auf Vernderungen berprft: Checksumme - Wird auch nur ein Bit des Programms vom Virus verndert, so stimmt die Checksumme nicht mehr (eigene sichere Routine, nach ANSI X3.66 - CRC-Poly ist: 0xDEBB20E3). Dateilnge - Wird ein Programm ber Nacht um ein oder zwei KB lnger, ist es infiziert! Ich rate ab, irgendwelche nderungen an der EXE & XXX-Datei durchzufhren, da dann das Programm mit Sicherheit nicht mehr luft! Die Datei mit der Endung "XXX" enthlt auch die aktuelle Version, wieviel verschiedene Viren vom Checksum- mentester erkannt werden knnen. Das Testen der Checksumme nimmt ca. 1-5 Sekunden Zeit in Anspruch (je nach Rechnertyp und Laufwerk). Meiner Ansicht nach ein vertretbarer Aufwand! Ist die Checksumme in Ordnung, wird das Programm ausgefhrt. Andernfalls wird eine ausfhrliche Fehlermeldung mit Hinweisen auf mgliche Fehlerquellen ausgegeben. Sonstiges --------- Wenn Sie die Vollversionen meiner Antivirensoftware erwerben wollen, so starten Sie bitte das Programm REGISTER.COM und ein Bestellschein wird ausgedruckt. brigens ist MemScan von 250 KB auf z. Z. 70 KB EXE + 130 KB Overlay komprimiert! Was ist neu? ------------ Version nderungen ####################################################################### 3.00 Teile von MemScan wurden in die Overlay- Datei MEMSCAN.OVR ausgelagert, deshalb bentigt MEMSCAN jetzt 50 KB weniger Arbeitsspeicher. Checksummentester hinzu- gefgt. 3.10 Erweiterter 'Am I There' Virentest. 3.17 Wartet jetzt nicht mehr auf Tastendruck, wenn KEIN Virus gefunden wurde! 3.33 Anzahl von erkannten Viren ca. 3.000 Stck! 3.36 Den Paket liegt jetzt auch HMS.COM bei. 3.50 Live Bait Test um unbekannte Dateiviren zu erkennen. 3.53 Neue ChkPC Version (Hare & Boot-437) 3.55 50 neue Viren, u.a. CriCri & Grief. BANNERWARE von ROSE ------------------- Dieses Programm darf frei kopiert und weitergegeben werden. Es handelt sich hier um sog. Bannerware, d. h. ich lege nur Wert darauf, das folgende Vereinbarungen eingehalten werden: das (C)opyright liegt bei ROSE, Ralph Roth (sog. BANNER) ein Verkauf und/oder gewerbliche Weitergabe der Programme ist verboten. Keine kommerzielle Weitergabe ohne unseres schriftliches Einverstndnis! die Programme MSSEN kostenlos bzw. gegen eine kleine Kopierge- bhr (Sharewarehndler) weitergegeben werden (max. DM 10). keine Haftung fr jegliche denkbare Fehler! die Programme/Dokumentationen drfen nicht verndert werden! das Programmpaket mu komplett und unverndert weitergegeben werden! Wer diese Bestimmungen nicht einhlt begeht unter Umstnden eine (C)opyrightverletzung und macht sich eventuell strafbar! ;-))) (C)opyright 1987-96 by: ----------------------- ALL RIGHTS RESERVED! Ŀ ROSE Softwareentwicklung Dipl.-Ing. (FH) Ralph Roth Finkenweg 24 D 78658 Zimmern o. R. FAX/AB: +49.741-32647 EMail: rar@fh-albsig.de (check out if this account exists) EMail: Ralph_Roth@p2.f2101.n246.z2.fidonet.org Fido: 2:246/2101.2 -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.6.2 mQBNAi847YIAAAECANEe8vGPyKnR0bVoMO9vEu0hD+pMItDzLSvxqWF8W8YWzZ3U AdhzfNDKL9uEo6BY/jHAF3m8vi5T//pgOsw3QqUABRG0HVJhbHBoIFJvdGggPHJh ckBmaC1hbGJzaWcuZGU+ =048D -----END PGP PUBLIC KEY BLOCK----- * ENDE *