Poison! Handbuch
Seite 1
Seite 2
Seite 3
Seite 4
Für alle Atari ST / TT / MegaST / MegaSTE / Falcon030
Zum Aufruf der Datei-Prüfung klicken Sie auf den "Dateien"- Button in der Gruppe "prüfen". Für die ausgewählten Laufwerke zeigt Poison! dann eine Dateiauswahl, in der Sie den Pfad angeben, bei dem die Prüfung begonnen werden soll. Der Inhalt der Ordner die sich auf dieser Ebene befinden wird mit allen untergeordneten Ordnern ebenfalls überprüft. Möchten Sie einzelne Dateien prüfen, brauchen Sie die entsprechende Datei nur anzuklicken und die Dateiauswahl mit "OK" verlassen. Während der Prüfung wird der hier abgebildete Dialog angezeigt, der Sie darüber informiert, welche Datei gerade bearbeitet wird und wie weit Poison! mit seiner Arbeit ist. Die Prüfung wird auch durchgeführt, wenn Sie in derselben Gruppe den Button "Alles" wählen.
Poison! vegleicht also die Dateien mit den Endungen *.PR?, *.AC?, *.TO?, *.TT?, ... (entsprechend der Angabe aus dem "Einstellungen"-Dialog) mit den Daten aus der Database und ergänzt diese automatisch mit den Daten bisher unbekannter Programme. Auf Veränderungen bzw. Abweichungen werden Sie natürlich hingewiesen. Leider ist dieser Hinweis von Poison! noch kein sicheres Indiz für einen Linkvirus, da ja der Dateiname als Vergleichskriterium herhalten muß und es außerdem Programme gibt, die (wie Poison!) Parameter direkt in der Programmdatei speichern. Unterschiedliche Versionen des gleichen Programms verursachen also ebenfalls einen Hinweis auf Veränderungen der Datei. Aus diesem Grund können Sie diesen Hinweis "ignorieren" oder mit dem Button "Database..." die Datei-Liste verändern indem Sie die gleichnamige Datei "hinzufügen", wodurch zwei oder mehrere Dateien gleichen Namens als Referenz herangezogen werden, oder die (alte?) Referenzdatei "entfernen" und durch eine andere Datei ersetzen.
Anmerkung: Obwohl Poison! Parameter in der eigenen Programmdatei speichert, erkennt es Veränderungen die durch Linkviren am Programm vorgenommen wurden.
Die Database kann - wenn sie sich geändert hat - beim Beenden von Poison! gespeichert werden. Sie sollte den Namen "POISON.PDB" tragen und auf gleicher Ebene zu finden sein wie "POISON!.PRG" bzw. "POISON!.ACC", denn diese Datei wird (falls vorhanden) beim Programmstart automatisch mitgeladen. Wenn Sie Poison! als Accessory benutzen, kann das Programm nicht beendet werden und Ihnen dadurch auch keine Möglichkeit geben, die Database zu speichern. Deshalb können Sie eine veränderte Database mit der entsprechenden Funktion im "Einstellungen"-Dialog von Hand sichern. Wenn Sie unsicher sind, ob eine Datei infiziert ist, sollten Sie diese Datei auf eine Diskette kopieren und uns diese umgehend schicken. Anschließend sollten Sie die Datei löschen, bzw. durch eine Kopie von der Originaldiskette ersetzen.
Zusammen
mit der Prüfung auf Veränderungen werden die Dateien auf die bereits
bekannten Linkviren überprüft. Findet Poison! einen Linkvirus,
erscheint ein entsprechender Dialog, der Ihnen die Möglichkeit gibt,
die Datei zu löschen oder sie zu deaktivieren, indem die Endung von
*.PRG in *.PRX geändert wird.
Wir empfehlen, die Datei möglichst umgehend zu löschen um weiteres Unheil zu vermeiden. Programme, die von Linkviren befallen sind, lasen sich leider nicht wieder rekonstruieren - erstellen Sie also direkt nach Erhalt Sicherheitskopien der Originaldisketten Ihrer Programme.
Im Hauptdialog von Poison! gibt es in der Funktionsgruppe "schützen" den
Button "Dateien", der eine einfache Funktion zum Schutz vor Linkviren
aufruft. Dieser Schutz besteht darin, daß ausgewählten Dateien
das Attribut "nur lesen" zugeteilt wird, wodurch die Datei weder
gelöscht noch verändert werden kann (wie es zur Verbreitung eines
Virus nötig wäre.) Die Funktion wird auch aufgerufen, wenn Sie
in der Gruppe "schützen" den Button "Alles" wählen.
Nach Auswahl der Funktion werden Sie zunächst gefragt, ob das Attribut
ein- oder ausgeschaltet werden soll. Anschließend wird für die
ausgewählten Laufwerke eine Dateiauswahl angezeigt, in der Sie angeben,
ab welcher Ebene Dateien mit der ausgewählten Endung (entsprechend der
Angabe aus dem "Einstellungen"-Dialog) bearbeitet werden sollen.
Der Inhalt der Ordner die sich auf dieser Ebene befinden wird ebenso bearbeitet,
wie die untergeordneten Ordner.
Möchten Sie das Attribut für einzelene Dateien ändern, brauchen
Sie die entsprechende Datei nur anzuklicken und die Dateiauswahl mit "OK" verlassen.
Hierbei handelt es sich nicht um einen unüberwindlichen Schutz vor Linkviren,
denn ein Virus kann den Schreibschutz natürlich auch wieder aufheben.
Die weit verbreiteten Viren vom Typ VCS und Milzbrand sind dazu allerdings
nicht in der Lage.
Mit dem Button "Vektoren" in der Gruppe "prüfen" stellt Poison! eine Funktion zur Verfügung, die den Schutz vor Computerviren in eine neue Richtung erweitert. Um es vorwegzunehmen: diese Funktion setzt zum Verständnis einige Programmierkenntnisse voraus und ist geeignet, in anderen Fällen eher für Verwirrung zu sorgen denn zu helfen. Wenn Poison! sich also nach Aufruf der Funktion z.B. mit "7 unbekannte verbogene Vektoren gefunden" meldet, ist dies noch kein Grund zur Panik. Lesen Sie einfach den folgenden Abschnitt und beurteilen Sie selbst, ob Sie für sich in der Vektorüberwachung eine Hilfe finden (Sie werden, warten Sie es ab.)
Exkurs: Vektoren
Die ersten 2 KB im Arbeitsspeicher der Atari ST (TT) Computer haben eine besondere Funktion: die Bedeutung der meisten Speicheradressen ist offiziell dokumentiert und darf unter Einhaltung bestimmter Regeln verändert werden. Hier finden sich unter anderem die Vektoren, deren Aufgabe (vereinfacht dargestellt) Wegweisern entspricht, die vom Betriebssystem beachtet werden, wenn bestimmte Ereignisse eintreten.
Ein Beispiel: Der gleichzeitige Druck der Tasten Alternate + Help löst normalerweise eine Hardcopy vom Bildschirm auf einem 9-Nadel Drucker aus. Nehmen wir an, Sie haben einen Laserdrucker und hätten statt der gedruckten Hardcopy lieber eine Hardcopy in Form einer Grafikdatei. Mit Hilfe der Systemvektoren kein Problem, denn im Speicher steht an Adresse 1282 (dezimal) die Adresse der Hardcopy-Funktion, die vom Betriebssystem durch das Drücken der Tastenkombination Alternate + Help aufgerufen wird. Ein Programm zum Speichern einer Hardcopy muß also nichts anderes machen, als hier die eigene Startadresse einzutragen, um in Zukunft statt der Druckfunktion des Betriebssystems aufgerufen zu werden.
Die meisten Viren verändern zu Ihrer Verbreitung einige Betriebssystem-Vektoren, und diese Veränderungen kann mit Hilfe der Vertorüberwachung von Poison! festgestellt werden. Die Nutzung der Systemvektoren ist grundsätzlich eine durchaus sinnvolle Sache, die von vielen Programmen (z.B. von Poison!) selbst genutzt wird, um entweder in bestimmten Situationen auf Ereignisse reagieren oder um Betriebssystem-Funktionen (z.B. die Dateiauswahl) zu ersetzen. Aus ihrer Veränderung kann also zunächst kein Rückschluß auf die Aktivität eines Virus gezogen werden. Der einzige Ansatz, einem Virus auf die Schliche zu kommen besteht darin, bei einem garantiert gesunden System festzustellen, welche Programme die Vektoren verändern. Später sind Sie dann in der Lage, unbekannte Programme zu entdecken und unter Umständen als Virus zu identifizieren.
Nach Auswahl des Buttons "Vektoren" in der Gruppe "prüfen" informiert Sie ein Dialog über die Zahl der zur Zeit unbekannten Veränderungen an den Systemvektoren. Danach erscheint der eigentliche Dialog zur Vektorüberwachung.
Beim ersten Aufruf wird Poison! Sie wahrscheinlich auf mehrere unbekannte Änderungen aufmerksam machen, was lediglich daran liegt, daß die von Poison! geführte Liste noch leer ist - also kein Grund zur Sorge.
In der ersten Zeile ist angegeben, welcher Vektor nicht mehr auf die übliche Adresse zeigt und welche neue Adresse statt dessen eingetragen wurde. Sind mehrere Vektoren verändert worden, können Sie mit den nach oben und unten gerichteten Pfeilen am rechten Rand des Dialogs zwischen den Vektoren wählen. Darunter steht (falls vorhanden) die sogenannte XBRA - Kennung des Programms, das den Vektor verändert hat, sowie der Name des Programms. Hierbei handelt es sich nicht um den Dateinamen (der auch gar nicht festgestellt werden könnte) sondern um eine durch Sie selbst zu vergebene Bezeichnung.
Zum Ändern oder zur erstmaligen Eingabe der Bezeichnung klicken Sie auf den Button "Namen ändern" und tragen in dem daraufhin erscheinenden Dialog den gewünschten Namen ein. Haben mehrere Programme den gleichen Vektor verändert, können Sie mit den nach links und rechts gerichteten Pfeilen am rechten Rand des Dialogs zwischen den Programmen (entsprechend ihrer Verkettung) wählen. Anmerkung: Programme, die Vektoren verändern und nicht über eine XBRA- Kennung verfügen, verhindern daß man von solch einem Programm zurückverfolgen könnte, welche anderen Programme sich vorher in den Vektor gehängt haben. Die Liste der Vektoren können Sie mit dem Button "Speichern" sichern.