

      ********************************************* 07.05.89 ****
      *                                                         *
      *                       SAGROTAN                          *
      *                                                         *
      *              - DER ultimative Virenkiller -             *
      *                                                         *
      *                     Henrik    Alt                       *
      *                     Kirgelweg  25                       *
      *                     7160 Gaildorf                       *
      *                                                         *
      *      -  schtzt zuverlssig vor Viren                   *
      *      -  immunisiert Ihre Disketten                      *
      *      -  Public-Domain                                   *
      *                                                         *
      ***********************************************************

     Inhalt

    1 Vorbemerkungen
       1.1 Hinweise zum Public-Domain-Vertrieb
       1.2 Update-Service
       1.3 Hardwarevoraussetzungen
       1.4 Sonstiges

     2 Kleine Virenkunde
       2.1 Was ist ein Virus?
       2.2 Aufbau eines Virusprogrammes
       2.3 Virenbefall beim Atari ST
       2.4 Was tun bei Virenbefall?
       2.5 Wie sich ein Virus manchmal verrt
       2.6 Prophylaxe
       2.7 Hinweise fr Festplattenbesitzer
       2.8 Linkviren

     3 Arbeiten mit SAGROTAN
       3.1 Die ersten Schritte
       3.2 Bootsektorprfung
       3.3 Linkvirenprfung
       3.4 Speicherprfung
       3.5 Accessories
       3.6 Gefahrenhinweise

     4 Die Handhabung der Bibliotheken
       4.1 Die Virenbibliothek
       4.2 Bibliothek bekannter Bootprogramme
       4.3 Zusammengefasste Viren und Bootsektoren
       4.4 Minibootprogramme
       4.5 Festplattenrootsektoren
       4.6 Vergleichsdaten bekannter Programme

     5 Anhang

     1 Vorbemerkungen
     ----------------


     1.1 Hinweise zum Public-Domain-Vertrieb

     SAGROTAN  ist  ein  Public-Domain-Programm  und  darf   frei 
     kopiert werden.  Die kommerzielle Nutzung ist jedoch  unter-
     sagt!  Erlaubt  ist  jedoch  das  Aufbringen  des  SAGROTAN-
     Bootsektors auf kommerzielle Programme.


     1.2 Update-Service

     Mit 30 DM honorieren Sie die Mhe,  die in SAGROTAN  steckt,  
     und  erhalten  eine  neue  Version  von  SAGROTAN.

     Falls  Sie einen neuen Virus oder ein  unbekanntes  Bootpro-
     gramm einschicken, erhalten Sie KOSTENLOS eine neue, ggf. an 
     diesen  Virus angepate Version!


     1.3 Hardwarevoraussetzungen

     SAGROTAN  luft nur in der mittleren oder hohen  Bildschirm-
     auflsung.  Wegen  der  sehr  umfangreichen  Vergleichsdaten 
     sollte fr die Arbeit mit SAGROTAN ca.  500 KB Speicher  zur 
     Verfgung stehen.  Steht weniger Speicher zur Verfgung, ist 
     die  Gre  der auf Virenbefall  zu  untersuchenden  Dateien 
     stark eingeschrnkt. Bei Computern mit nur 512K RAM kann  es
     ntig sein Teile der Vergleichsdaten wegzulassen.


     1.4 Sonstiges

     Mein Dank geht an dieser Stelle an Clemens Weller,  Fichten-
     berg,  fr die tatkrftige Untersttzung bei der Entwicklung 
     der  Benutzeroberflche.  Auch  konnte  die  Fehlersuche  im 
     Programm  durch  seine  "Weller-Tools  fr  GFA-BASIC"  sehr 
     vereinfacht werden.

     Ebenso geht mein Dank an D. Foerster-Michalke, Solingen, fr 
     die Korrektur dieser Anleitung.

     Mein Zorn gilt natrlich all denjenigen, die diese  lstigen 
     Viren programmieren oder in Umlauf bringen.

     2 Kleine Virenkunde
     -------------------

     Ziel dieses Kapitels ist es,  dem Anwender von SAGROTAN  die 
     Funktion  von  Virusprogrammen  zu  erlutern  und  die  bei 
     Virenbefall ntigen Gegenmanahmen zu erklren.

      
     2.1 Was ist ein Virus?

     Ein Virusprogramm ist ein Programm, das sich vermehren kann. 
     Wie in Biologie ist der Virus dabei auf die Hilfe eines sog. 
     Wirtes, in unserem Fall der Atari ST, angewiesen.


     2.2 Aufbau eines Virusprogrammes

     Aus der Funktion eines Virusprogrammes ergibt sich, da ein 
     Virus normalerweise die folgenden Programmteile enthlt:

       - Initialisierung
         dieser  Programmteil ldt oder verschiebt den  Virus  an 
         seine endgltige Zieladresse und setzt die Ereignisber-
         wachung in Gang.

       - Ereignisberwachung
         dieser  Programmteil  zapft das  Betriebssystem  an  und 
         wartet auf eine gnstige Gelegenheit zum Eingreifen.

       - Vermehrungsteil
         dieser  Programmteil  wird von  der  Ereignisberwachung 
         aufgerufen  und  bewirkt,  da ein neuer Virus  auf  die 
         Diskette oder Festplatte geschrieben wird.

       - Aktionsteil
         dieser  Programmteil  wird  nur  unter  ganz  bestimmten 
         Umstnden  von  der Ereignisberwachung  aufgerufen  und 
         bewirkt die blen Sachen,  vor denen es den  Computeran-
         wendern so graust.


     2.3 Virenbefall beim Atari ST

     Da  wohl kein Anwender freiwillig ein Virusprogramm  starten 
     wrde,  finden sich Viren normalerweise an den  Stellen,  wo 
     sie  automatisch  gestartet werden.  Beim Atari ST  gibt  es 
     dafr zwei Mglichkeiten:

         a) der Virus wird an ein Anwenderprogramm angehngt,
         b) der Virus wird in den Bootsektor einer Diskette 
            geschrieben.

     Da  die  Version  a  meistens  durch  die  Verlngerung  der 
     Anwenderprogramme  auffllt,  sind  zur  Zeit  hauptschlich 
     Viren  vom  Typ  b im  Umlauf.  Seit  Version  4.00  erkennt 
     SAGROTAN Viren beider Typen.


     2.4 Was tun bei Virenbefall?

     Als nchstes bleibt zu klren,  was zu tun ist, wenn Sie ein 
     praktisches  Beispiel  fr die obigen Ausfhrungen  in  Form 
     einer virusbefallenen Diskette in Hnden halten!

       - Ruhe bewahren!
         Viren im Bootsektor knnen meistens ohne  Nebenwirkungen 
         vernichtet werden. 

       - Falls  es sich um einen bekannten  Virus  handelt,  wird 
         dieser durch berschreiben mit dem SAGROTAN-Bootprogramm 
         vernichtet.  Schalten Sie danach den Computer mindestens 
         20  s  aus,  um den Virus aus dem Speicher  zu  lschen. 
         Booten Sie dann von der neu behandelten Diskette.  Dabei 
         mu  die Meldung "Kein Virus im Bootsektor"  erscheinen. 
         Falls  dies  nicht  der  Fall  ist,  mssen  die  obigen 
         Schritte  wiederholt werden.  Jetzt haben Sie den  Virus 
         auf dieser Diskette vernichtet.

       - Falls  es sich um ein unbekanntes  Bootprogramm  handelt 
         mu  zunchst festgestellt werden, ob dieses  ein  Virus 
         ist.  Dafr bentigen Sie zwei leere Disketten,  die  im 
         folgenden mit A und B bezeichnet werden.  Falls Sie eine 
         Festplatte besitzen, klemmen Sie diese ab.

         Kopieren  Sie die gesamte Diskette mit  dem  unbekannten 
         Bootprogramm  auf  Diskette A.  Verwenden Sie  dazu  ein 
         Kopierprogramm wie z.B. "FCOPY", damit auch der Bootsek-
         tor unverndert bertragen wird.

         Formatieren Sie die Diskette B und lschen den Bootsek-
         tor mit der SAGROTAN-Funktion "Bootsektor lschen."

         Booten Sie von Diskette A. 

         Legen  Sie  Diskette  B  ein und  lassen  Sie  sich  das 
         Inhaltsverzeichnis anzeigen. 

         Prfen Sie nun die Diskette B mit SAGROTAN auf  Virenbe-
         fall.  Sollte  der   Bootsektor von Diskette B  nun  ein 
         unbekanntes   Bootprogramm enthalten,  kann das nur  ein 
         Virus sein. 

         Legen  Sie die SAGROTAN Diskette ein und nehmen Sie  den 
         Virus in die Bibliothek der Virenprogramme auf. Vernich-
         ten Sie den Virus durch berschreiben mit dem  SAGROTAN-
         Bootprogramm.

       - Wird  ein  Linkvirus  erkannt,  haben  Sie  oftmals  die 
         Mglichkeit  das  befallene  Programm  noch  zu  retten. 
         Leider  gibt es auch Linkviren,  die das befallene  Pro-
         gramm vollstndig zerstren.

       - Bestehen Zweifel,  ob ein Programm Virusbefallen ist, so 
         knnen Sie folgenden Test machen:

         Kopieren Sie das virenverdchtige Programm zusammen  mit 
         einigen anderen Programmen,  darunter auch das  TEST.PRG 
         von der SAGROTAN-Diskette auf eine gesonderte  Diskette. 
         Klemmen  Sie  eine evtl.  vorhandene Festplatte  ab  und 
         booten neu.  Starten Sie dann abwechselnd das  virenver-
         dchtige  Programm  und die anderen  Programme  auf  der 
         Diskette.  Sollten sich Vernderungen an den  Programmen 
         zeigen,  ist dies ein Indiz fr Linkvirenbefall.  Beson-
         ders  deutlich wird dies am Programm  TEST.PRG,  da  das 
         Programm nur 52 Bytes lang ist.


     2.5 Wie sich ein Virus manchmal verrt

     Obwohl ein Virus normalerweise so programmiert ist,  da man 
     ihn  nicht bemerkt,  kann es doch Flle geben,  in denen  er 
     sich verrt.  Wie viele Programme, so sind auch manche Viren 
     nicht Blitter-TOS kompatibel.  So z.B. der "VIRE87" von  der 
     bayrischen Hackerpost.   Hier funktioniert die Schreibschut-
     zabfrage des Virus mit Blitter-TOS nicht mehr.   Das   fhrt 
     dazu,  da beim Anzeigen  des  Inhaltsverzeichnisses   einer 
     schreibgeschtzten  Diskette pltzlich die Meldung "Diskette 
     schreibgeschtzt"  erscheint,  die hier normalerweise  nicht 
     erscheinen drfte. 

     Ein  weiteres  Indiz  fr  Virenbefall  ist  das  pltzliche 
     Versagen von Bootprogrammen wie z.B.  der 60-Hz  Umschaltung 
     oder dem RAM-TOS Bootprogramm.

     Bei Linkviren ist die Verlngerung der befallenen  Programme      
     ein  untrgliches Zeichen fr Virenbefall.  Viele  Linkviren 
     versuchen  beim Start eines befallenen Programmes alle  auf-
     findbaren Programme ebenfalls zu verseuchen.  Dies  bentigt 
     jedoch  erheblich mehr Zeit als der Start  des  unbefallenen 
     Programmes. 


     2.6 Prophylaxe

     Sie  sollen  nun  erfahren,   wie Sie den  Viren  durch  das 
     Beherzigen  einiger  weniger  Verhaltensregeln   das   Leben 
     mglichst schwer machen knnen.

       - Booten Sie immer von  derselben, schreibgeschtzten Dis-
         kette,  die durch  das  SAGROTAN Bootprogramm  geschtzt 
         ist. Booten Sie insbesondere NIEMALS wahllos von FREMDEN 
         Disketten. 

       - Prfen  Sie alle neuen  Programmdisketten vor der ersten 
         Benutzung mit SAGROTAN auf  Virenbefall.

       - Halten  Sie  Ihre Disketten so  lange  schreibgeschtzt, 
         wie es irgendwie mglich ist.

       - Schtzen  Sie alle Disketten mit dem  SAGROTAN  Bootpro-
         gramm.  Ausgenommen diejenigen Disketten,  die ein  spe-
         zielles Bootprogramm bentigen.

       - Prfen  Sie Ihre Disketten regelmig mit  SAGROTAN  auf 
         Virenbefall.

       - Fertigen  Sie  regelmig  Sicherheitskopien  von  Ihren 
         Daten  an.  Bei Programmen ist es sinnvoller  eine  ein-
         malige  Sicherheitskopie  beim  Erwerb  des   Programmes 
         durchzufhren.  Da  Sie  sonst evtl.  auf  eine  bereits 
         virenbefallene Sicherheitskopie zurckgreifen! 

       - Da manche Linkviren die zu befallenden Programme  anhand 
         ihrer Namenserweiterung erkennen,  kann die  Verbreitung 
         solcher  Viren durch die nderung der  Namenserweiterung 
         der  ausfhrbaren  Programme  verhindert  werden.  Damit 
         Programme mit genderter Namenserweiterung trotzdem  vom 
         Betriebssystem   gestartet   werden,   mu   die   Datei 
         DESKTOP.INF  angepasst  werden.  Dies sei  am  folgenden 
         Beispiel erklrt. 

         In  der Datei DESKTOP.INF finden Sie die folgenden  vier 
         Zeilen:

          #G 03 FF   *.PRG@ @ 
          #G 03 FF   *.APP@ @ 
          #F 03 04   *.TOS@ @ 
          #P 03 04   *.TTP@ @ 

         Kopieren  Sie diese Zeilen und berschreiben Sie in  den 
         kopierten  Zeilen  die  Namenserweiterungen  mit   neuen 
         Namen.  Die in den folgenden Zeilen gewhlten Namen, EXE 
         statt PRG,  GDO statt APP,  COM statt TOS und BAT  statt 
         TTP stellen lediglich ein Beispiel dar.  Ihrer Phantasie 
         sind hierbei keine Grenzen gesetzt. Vermeiden Sie jedoch
         solche Bezeichnungen, die schon fr andere Zwecke ver-
         geben sind, z.B. BAS oder DOC.

          #G 03 FF   *.EXE@ @ 
          #G 03 FF   *.GDO@ @ 
          #F 03 04   *.COM@ @ 
          #P 03 04   *.BAT@ @ 

         Durch  diese  Modifikation  wird  erreicht,  da  sowohl 
         Programme  mit den alten Namenserweiterungen,  als  auch 
         solche  mit  den  selbstdefinierten  vom  Betriebssystem 
         gestartet werden.  Die nderung ist natrlich erst  nach 
         einem RESET wirksam.         

       - Da  viele  Viren resetfest sind,  ist  es  sinnvoll  den 
         Computer  von Zeit zu Zeit ganz auszuschalten,  um  alle 
         Programme im Speicher zu lschen.  Da jedoch allzuhufi-
         ges Ausschalten dem Atari nicht guttut,  ist es  besser, 
         entweder  die Kaltstart-Funktion von SAGROTAN  oder  das 
         von  Atari zum TOS 1.4 gelieferte Programm  COLDBOOT.PRG 
         zu verwenden. 

     Vor  den  in  Umlauf befindlichen Antiviren  mchte  ich  an 
     dieser Stelle einmal eindringlich warnen. Da diese Programme 
     meist  keine   Gnade kennen und ALLE  ausfhrbaren  Bootpro-
     gramme berschreiben. 


     2.7 Hinweise fr Festplattenbesitzer

     Auch wenn Ihre Festplatte bootfhig ist,  wird trotzdem beim 
     Einschalten des Systems zunchst der Bootsektor der Diskette 
     eingelesen und ausgefhrt.  Bei einem RESET wird jedoch  nur 
     der Bootsektor  des  vermerkten Bootlaufwerkes gelesen  und 
     ausgefhrt.  Schweiausbrche wegen des Ausbleibens der Mel-
     dung  "Kein Virus im Bootsektor" bei RESET sind  also  unbe-
     grndet.  Aus  dem gleichen Grunde  bleiben   Festplattenbe-
     sitzer  auch meistens von Bootsektorviren  verschont.  Wegen 
     der   weitaus  greren Datenmenge, die auf dem Spiel steht, 
     ist jedoch trotzdem besondere Vorsicht angebracht! 


     2.8 Linkviren

     Unter  Linkviren  versteht man solche  Viren,  die  sich  an 
     Anwenderprogramme  anhngen.  Da sich die Erkennung  solcher 
     Viren  besonders  schwierig gestaltet,  werden  hierfr  von 
     SAGROTAN drei verschiedene Diagnoseverfahren angewendet.

     Das  erste Verfahren verwendet Vergleichsdaten ber  das  zu 
     prfende Programm,  wie z.B. Lngen der Programm- und Daten-
     segmente sowie CRC-Prfsummen. Dieses Verfahren hat den Vor-
     teil,  da alle nderungen am Programm erkannt werden,  also 
     auch der Befall durch heute noch nicht bekannte Viren spter 
     einmal entdeckt werden kann.  Der Nachteil ist  jedoch,  da 
     die dazu ntigen Vergleichsdaten auch vorhanden sein  mssen 
     (siehe Abschnitt 4.6).  Bei den mitgelieferten Vergleichsda-
     ten  von  ca.  350  Programmen knnen  jedoch  auch  dadurch 
     Abweichungen  entstehen,  da  die Daten von  einer  anderen 
     Programmversion stammen,  als das zu untersuchende Programm. 
     Abweichungen  entstehen  oft  auch  durch  in  kommerziellen 
     Programmen enthaltenen Seriennummern.

     Deshalb  prft ein zweites Diagnoseverfahren  das  Auftreten 
     bestimmter Bytekombinationen,  die fr einige Viren  typisch 
     sind. Hierdurch kann der Virenbefall mit diesen Viren sicher 
     nachgewiesen werden.  Soweit mglich knnen diese Viren auch 
     wieder aus den befallenen Dateien entfernt  werden. 

     Zustzlich wird noch durch ein drittes Verfahren geprft, ob 
     der  Dateiaufbau korrekt ist.  Dabei wird berprft,  ob  in 
     einer  evtl.  vorhandenen  Symboltabelle auch  wirklich  nur 
     Symbole vorhanden sind, ob die Relokationstabelle in Ordnung 
     ist und ob nachtrglich Daten an die Datei angehngt wurden. 
     Der  letzte Punkt erwies sich dabei als ziemlich  schwierig, 
     da  viele  Compiler noch etliche Bytes  "Datenmll"  an  die 
     Datei  anhngen.  Ein besonders bles Beispiel ist hier  der 
     "C"-Compiler von DRI, der schon dem Betriebssystem des Atari 
     ST  zu seiner Behbigkeit und Flle  verholfen  hat.  Ebenso 
     kann es bei solchen Programmen zu Fehldiagnosen kommen,  die 
     von Compilern oder Linkern, die das  GST-Dateiformat verwen-
     den, erzeugt wurden. Ist an das Programm keine Symboltabelle 
     angehngt,  uert  sich dies in der Meldung,  es  seien  48 
     Bytes an das Programm angehngt,  bzw. Die Symboltabelle mit 
     48 Bytes Lnge sei fehlerhaft. Ist an das Programm noch eine 
     Symboltabelle angehngt,  kann dies zu der Diagnose  fhren, 
     die  Datei  sei Virusbefallen,  da oftmals  mehrere  tausend 
     Bytes angehngt sind. Mit dem letzten Diagnoseverfahren sind 
     zwar keine exakten Aussagen ber den Virenbefall mglich, es 
     hat  aber  den Vorteil,  da nebenbei noch  defekte  Dateien 
     aufgesprt werden.


     3 Arbeiten mit SAGROTAN
     -----------------------


     3.1 Die ersten Schritte

     Da SAGROTAN voll mengesteuert ist,  werden Sie schnell  mit 
     der Bedienung vertraut sein.  Untersttzt werden Ihre ersten 
     Schritte durch eine 'Extrahilfe',  die zu jedem  angewhlten 
     Menpunkt  eine  kurze  Erklrung  gibt.  Auerdem  ist  bei 
     Funktionen,  die zu Datenverlust fhren knnten,  zustzlich 
     eine Abbruchmglichkeit gegeben.

     Um die Bedienung von SAGROTAN zu vereinfachen, ist auch eine 
     Steuerung  ber die Tastatur mglich.  Damit Sie die  Tasten 
     leicht finden, steht hinter jedem Meneintrag ein Zeichen in 
     spitzen  Klammern.  Durch  Drcken  dieser  Taste  wird  die 
     gleiche  Funktion  ausgefhrt,   wie  durch  Anklicken   des 
     Meneintrages mit der Maus.

     Nach   dem  Start  von SAGROTAN werden  zunchst  die   Ver-
     gleichsbibliotheken  geladen.   Der Ladevorgang wird   dabei 
     mitprotokolliert.  Nach   Beendigung des  Ladevorganges  er-
     scheint die Benutzeroberflche  und  die  SAGROTAN  Infomel-
     dung.   Nach  Anklicken  von  OK  oder  Drcken  von  RETURN 
     ist  SAGROTAN  arbeitsbereit.   Sie  sehen  jetzt zwei  Fen-
     ster.  Im  oberen Fenster wird der Hexdump  des  Bootsektors 
     ausgegeben,  im  unteren Fenster  erfolgt der Dialog mit dem 
     Benutzer.

     Seit Version 4.05 knnen Sie die Aufteilung des Bildschirmes 
     verndern.  Durch  Verschieben des Dialogfensters nach  oben 
     wird  das  Hexdump-Fenster kleiner  und  das  Dialog-Fenster 
     grer.  Der gegenteilige Effekt tritt bei Verschiebung nach 
     unten  ein.  Falls Sie das Hexdump-Fenster so  gro  gewhlt 
     haben,   da   der  gesamte  Bootsektor  dargestellt   wird, 
     empfiehlt  es sich die Ausgabe im Dialogfenster  auf  kleine 
     Schrift umzustellen,  da sonst nicht mehr alle Meldungen  in 
     das Fenster passen.  Die Umstellung geschieht durch  Auswahl 
     der Textgre 6 unter dem Men "ALLERLEI". 

     3.2 Bootsektorprfung

     Der  normale Ttigkeitsablauf wird sein,  da Sie  nun  eine 
     Diskette  einlegen  und  diese mit  "Bootsektor prfen"  auf 
     Virenbefall  untersuchen.  Falls die  Diskette  kein   Boot-
     programm   oder  gar einen Virus enthlt,  sollten  Sie  das 
     SAGROTAN-Bootprogramm mit "Bootsektor schtzen" auf die Dis-
     kette  aufbringen.  Nachdem dies geschehen ist,   knnen Sie 
     die nchste Diskette einlegen.


     3.3 Linkvirenprfung

     Fr  die  Prfung von Dateien auf   Linkvirenbefall  sollten 
     Sie  zunchst  festlegen,  welche  Dateien  auf  Virenbefall 
     untersucht  werden sollen.  Dazu haben Sie vier  Auswahlmg-
     lichkeiten. 

       1. Einzelne Dateien, Auswahl durch Fileselect-Box.

       2. Alle ausfhrbaren Dateien in einem Pfad,  Auswahl durch 
          Fileselect-Box.

       3. Alle  ausfhrbaren  Dateien  auf  dem  voreingestellten 
          Laufwerk.

       4. Alle Dateien auf den ausgewhlten Laufwerken.

     Die Auswahl finden Sie unter Optionen im Men  "VIRUS".  Bei 
     einer  reihenweisen  berprfung werden nur  solche  Dateien 
     berprft,  die  eine  der fnf  konfigurierbaren  Namenser-
     weiterungen haben.  Die Nameserweiterungen werden folgender-
     maen vorbelegt:  APP,  AC?,  PR?, TOS und TTP . ? bedeutet, 
     da jeder Buchstabe als gltig erkannt wird.


     3.4 Speicherprfung

     Hierbei  wird  geprft,  ob bereits ein  Virus  im  Speicher 
     steht.  Auerdem werden resetfeste Programme angezeigt.  Be-
     achten Sie auch,  das resetfeste RAM-Disks nicht auch reset-
     feste Programme sein mssen,  denn nur die Daten mssen  den 
     Reset berstehen, nicht das Treiberprogramm.

     Da  bei  der  Speicherprfung  nach  residenten   Programmen 
     gesucht wird,  die sich auerhalb des vom Gemdos verwalteten 
     Speichers befinden,  kann es hierbei hin und wieder auch  zu 
     Fehldiagnosen kommen.

     - Programme,  die massiv in die Speicherverwaltung  eingrei-
       fen,  werden manchmal flschlicherweise als Virus erkannt. 
       Z.B. REVOLVER, K-SWITCH.

     - Das  Verfahren funktioniert sehr gut bei  Bootsektorviren, 
       jedoch  in  der Regel NICHT bei  speicherresidenten  Link-
       viren!


     3.5 Accessories

     SAGROTAN erlaubt auch den Aufruf von Desk-Accessories.   Aus 
     Grnden  der Einfachheit wird durch die  Redraw-Routine  der 
     gesamte  Bildschirm  neu aufgebaut.  Deshalb  sollten  keine 
     Accessories aufgerufen werden, die  verschoben werden knnen
     oder Eingaben auerhalb  des Accessoryfeldes  zulassen,  wie
     z.B. das Kontrollfeld.


     3.6 Gefahrenhinweise

     Durch    SAGROTAN   knnen  unter   ungnstigen    Umstnden 
     Daten zerstrt werden! Es sind die folgenden Gefahrenquellen 
     bekannt:

       - Ein Bootprogramm hatte eine ntzliche  Funktion.   Durch 
         berschreiben mit der Funktion "Diskette Schtzen"  wird 
         das  Bootprogramm zerstrt!  Insbesondere bei  kopierge-
         schtzter   Software  oder Disketten,  die   ein    spe-
         zielles  Betriebssystem  verwenden,  ist  hier  Vorsicht 
         geboten!  Spieledisketten enthalten fast immer einen ein 
         spezielles Bootprogramm!

       - Wenn  Sie  nach  "Diskette  Prfen"  und  vor  "Diskette 
         Schtzen"  die   Diskette wechseln,  wird keine  erneute 
         Bootsektoranalyse  vorgenommen.  Sie berschreiben  also 
         ein evtl.  vorhandenes,   ntzliches Bootprogramm,  ohne 
         dies zu bemerken.

       - Ab  Version 3.7 ist es mglich, die  Warnmeldungen, z.B. 
         beim Lschen des Bootsektors abzuschalten.  Wer  grere 
         Diskettenmengen zu bearbeiten hat wird dies zu  schtzen 
         wissen.  Durch einen unachtsamen Tastendruck knnen  nun 
         jedoch fast unbemerkt Bootprogramme zerstrt werden!

       - Wenn  Sie angehngte Daten abschneiden,  kann  dies  zur 
         Zerstrung  des Programmes fhren,  da manche  Programme 
         solche Daten tatschlich bentigen!  Z.B.  ERDKUGEL.PRG, 
         TURBODOS.PRG.

       - Manche  Linkviren treten in  verschiedenen  "Mutationen" 
         auf.  Das  Reparieren eines  virusbefallenen  Programmes 
         erzeugt deshalb manchmal Programme,  die nicht lauffhig 
         sind.


     4 Die Handhabung der Bibliotheken
     ---------------------------------

     SAGROTAN  bentzt  fr die  Virenprfung  fnf  verschiedene 
     Bibliotheken  mit Vergleichsprogrammen,  die beim Start  von 
     SAGROTAN automatisch geladen werden. Die Bibliotheken mssen 
     sich dazu im Ordner LIBRARY befinden,  der im gleichen  Pfad 
     liegt, wie SAGROTAN selbst.


     4.1 Die Virenbibliothek

     Die  erste  Bibliothek enthlt  die  Vergleichsviren.  Jeder 
     Virus belegt eine eigene Datei. Der Dateiname ist "VIRUS_C", 
     die  Namenserweiterung eine dreistellige Ziffer.  Die  erste 
     Datei  hat  den  Namen  "VIRUS_C.001".  Die  Dateien  mssen 
     durchgehend nummeriert sein. SAGROTAN bricht den Ladevorgang 
     ab,  wenn keine Datei mit der nchsten Nummer mehr  gefunden 
     wird.  Dies  sei am folgenden Beispiel  erklrt.  Angenommen 
     Ihre   Virenbibliothek  enthlt  die  Dateien   VIRUS_C.001, 
     VIRUS_C.002 und VIRUS_C.003.  Wenn Sie die Datei VIRUS_C.002 
     lschen, wrde beim nchsten Start von SAGROTAN nur noch die 
     Datei VIRUS_C.001 geladen.  Wenn die Datei VIRUS_C.003  noch 
     bentigt wird, mu diese in VIRUS_C.002 umbenannt werden.

     Wenn  Sie  aus  SAGROTAN  heraus  einen  Virus  abspeichern, 
     berechnet SAGROTAN die Namenserweiterung aus der Anzahl  der 
     geladenen  Viren.  Sie  brauchen sich darum  also  nicht  zu 
     kmmern.  Seit  Version 3.6 werden die  Viren  verschlsselt 
     abgespeichert,  denn  SAGROTAN soll ja die  Ausbreitung  von 
     Viren hemmen und nicht frdern!  Falls Sie noch ber  unver-
     schlsselte  Virusdateien  verfgen,  so  knnen  Sie  diese 
     trotzdem verwenden.  Die unverschlsselten Dateien haben den 
     Dateinamen "VIRUS".  Beachten Sie,  da, auch bei gemischter 
     Verwendung   von   verschlsselten   und   unverschlsselten 
     Dateien,  die  Nummerierung aller  Virusdateien  durchgehend 
     sein mu.


     4.2 Bibliothek bekannter Bootprogramme

     Die  zweite Bibliothek enthlt bekannte  Bootprogramme,  die 
     keine  Viren  sind.  Der Dateiname ist hier "BOOT"  und  die 
     Namenserweiterung, wie bei den Virusdateien,  eine dreistel-
     lige Ziffer. Entsprechend gilt auch das oben Gesagte in  Be-
     zug auf die durchgehende Nummerierung.  Da die  Bootsektoren
     nicht verschlsselt abgespeichert werden, ist es nicht  mg-
     lich,  durch Umbenennen einer Datei, diese von der Viren- in
     die Bootsektorbibliothek zu bertragen.  Der umgekehrte Fall
     ist jedoch  mglich,  da die  unverschlsselten  Virusdatei-
     en den gleichen Aufbau haben, wie die Bootprogramme. Sollten
     Sie also einmal  versehentlich einen Virus als  Bootprogramm
     abgespeichert haben, knnen Sie durch  Umbenennen von "BOOT"
     in  "VIRUS"  (nicht "VIRUS_C") und  Anpassen  der Nummer der
     Namenserweiterung  den  Virus in die  Virenbibliothek  ber-
     tragen.


     4.3 Zusammengefasste Viren und Bootsektoren

     Wegen der stark angewachsenen Zahl von Vergleichsdateien ist 
     seit  Version 4.10 zustzlich eine Datei mit  Namen  CMP.DAT 
     vohanden, die eine grere Anzahl von Viren und Bootprogram-
     men  enthlt.  Dadurch wird der Ladevorgang  beim Start  von
     SAGROTAN deutlich verkrzt. Falls Sie neue Viren oder  Boot-
     programme in diese Datei  aufnehmen  mchten, verwenden  Sie 
     die Funktion "Alle Bootsektoren speichern". Beachten Sie je-
     doch, da es bisher keine Mglichkeit gibt aus CMP.DAT  Ver-
     gleichsdaten zu entfernen.  Da beim  Speichern  von  CMP.DAT
     alle Viren und Bootprogramme gespeichert werden, mssen  Sie
     danach noch alle Dateien BOOT.xxx, VIRUS_C.xxx und VIRUS.xxx
     aus dem Ordner LIBRARY entfernen, da diese sonst beim  nch-
     sten  Start  von SAGROTAN zweimal  geladen  wrden.  Die  in 
     CMP.DAT  enthaltenen Viren sind zustzlich  so  verstmmelt, 
     da  eine  Entschlsselung nicht  mehr  mglich  ist.  Diese 
     zustzliche Manahme verhindert den Einsatz von SAGROTAN als 
     "Virus-Construction-Set",  bewirkt jedoch leider  auch,  da 
     CMP.DAT von SAGROTAN ab Version 4.13 nicht als Vergleichsda-
     ten fr SAGROTAN 4.10 und 4.12 verwendet werden kann.

     Die Datei MINI.DAT ist eine abgemagerte Version von CMP.DAT, 
     fr Computer, die nicht gengend Speicher haben. In MINI.DAT 
     sind  keine Spielebootsektoren vorhanden.  Zum  Einsatz  von 
     MINI.DAT benennen Sie zuerst CMP.DAT um,  oder entfernen die 
     Datei aus dem Ordner Library.  Danach benennen Sie  MINI.DAT 
     in CMP.DAT um.


     4.4 Minibootprogramme

     Die  dritte Bibliothek enthlt kleine Bootprogramme mit  bis 
     zu zehn Bytes Lnge.  Wegen der Krze der Programme  besteht 
     diese Bibliothek nur aus einer einzigen Datei mit dem  Namen 
     "MINIBOOT.HEX",  in der alle Programme enthalten sind. Damit 
     die Datei leicht zu  edieren  ist,  sind die Programme darin 
     als Hexdump enthalten.  Mit Hilfe eines Texteditors wie z.B. 
     "Tempus"  ist  es nun leicht mglich  zustzliche  Programme 
     hinzuzufgen.  Dabei ist der folgende Dateiaufbau  einzuhal-
     ten: Jedes Programm belegt eine Zeile. Die Zeile beginnt mit 
     dem Hexdump des Programmes,  dann folgt,  getrennt durch das 
     Kommentarzeichen "*",  der Name des Programmes. Zur besseren 
     bersicht knnen auch Leerzeilen oder Kommentarzeilen, diese 
     mssen mit dem Zeichen "*" beginnen, eingefgt werden.

     Es  besteht z.Zt.  keine Mglichkeit von SAGROTAN  aus  Pro-
     gramme  an  die Datei MINIBOOT.HEX  anzufgen.  Den  Hexdump 
     eines  Minibootprogrammes knnen Sie  aus  Fachzeitschriften 
     entnehmen  oder aus dem Fenster "Inhalt des Bootsektors"  in 
     SAGROTAN ablesen.

     Die Datei MINIBOOT.HEX ist auch zur Aufnahme von  Konfigura-
     tionskommandos fr SAGROTAN bestimmt. Wenn Sie am Anfang der 
     Datei die Zeile:

      * Extrahilfe aus

     einfgen,  wird die Extrahilfe beim Start von SAGROTAN nicht 
     eingeschaltet. Wenn Sie mit der Bedienung von SAGROTAN schon 
     vertraut sind, werden Sie dieses sicher zu schtzen wissen. 


     4.5 Festplattenrootsektoren

     Der  Rootsektor  der  Fesplatte  wird  beim  DMA-Bootvorgang 
     gelesen  und  ausgefhrt.  Im Rootsektor  ist  auerdem  die 
     Partitionierungsinformation  der  Festplatte  enthalten.  Da 
     dieser Sektor einen anderen Aufbau besitzt,  als ein Disket-
     tenbootsektor, wird fr diese Sektoren eine extra Bibliothek 
     gefhrt.  Die  Sektoren  haben den Namen  "HDBOOT"  und  als 
     Namenserweiterung  die  DMA-Gerte-Nummer  als  dreistellige 
     Zahl.  Zur  Zeit wird nur eine Festplatte mit der  Nummer  0 
     untersttzt.   Es   kann  also  nur  die  Datei  mit   Namen 
     "HDBOOT.000" auftreten.  Die Datei ist nicht im Lieferumfang 
     enthalten,  sondern  wird bei der ersten  Festplattenprfung 
     erzeugt.  Da  die  Partitionierungsinformation  beim  Befall 
     durch  einen Disketten-Bootsektorvirus zerstrt  wrde,  ist 
     fr  diesen  Fall eine  Reparaturmglichkeit  gegeben.  Dazu 
     mssen  Sie sich von der Datei HDBOOT.000 eine  Sicherheits-
     kopie auf Diskette anlegen. Mit Hilfe des Programms HDRESTOR 
     kann der Rootsektor dann wieder auf die Festplatte geschrie-
     ben werden.


     4.6 Vergleichsdaten bekannter Programme
     
     Die fnfte Bibliothek besteht ebenfalls nur aus einer Datei, 
     und  zwar mit dem Namen PGM_INFO.DAT.  In dieser Datei  sind 
     Vergleichsdaten  fr die berprfung von Dateien  auf  Link-
     virenbefall gespeichert.  Um die berprfung von verschiede-
     nen Versionen eines Programmes zu ermglichen, knnen belie-
     big  viele Dateien mit gleichem Namen in diese Datei  aufge-
     nommen  werden.  Wird  bei der Prfung einer  Datei  festge-
     stellt,  da  keine  oder  nur  abweichende  Vergleichsdaten 
     vorhanden  sind,  erhalten  Sie die  Mglichkeit,  die  Ver-
     gleichsdaten  in die im Speicher stehende Tabelle  aufzuneh-
     men.  Diese  Tabelle ist das Abbild der Datei  PGM_INFO.DAT. 
     Mit  "Programminformationen  speichern"  unter  "BIBLIOTHEK" 
     wird  die  erweiterte  Tabelle  dann  wieder  in  die  Datei 
     PGM_INFO.DAT   gespeichert.   Um  Eintrge  aus  der   Datei 
     PGM_INFO.DAT zu entfernen, verwenden Sie bitte das mitgelie-
     ferte Programm EDIT_DAT.PRG aus dem Ordner Library.











     5 Anhang
     --------
     Auf den nchsten Seiten finden Sie vorgefertigte Antwortfor-
     mulare fr den Updateservice.






        Absender:                                  Datum __ . __ . 19__

        Name    ..................
        Strae  ..................
        PLZ/Ort ..................



        An                                        
        Henrik Alt
        Kirgelweg 25
 
        7160 Gaildorf
 

 

        Updatebestellung
 
__                                                                           __
        Hiermit bestelle ich die neueste Version von SAGROTAN.
        Den Preis von 30,-- DM habe ich
 
        .. als Verrechnungsscheck beigelegt

                    oder
  
        .. auf das Konto 6428662 bei der Kreissparkasse Schwbisch Hall-
           Crailsheim, BLZ 62250030 berwiesen, und zwar am __ . __ . 19__ 

                    oder

        .. in bar (Scheine) beigelegt.       (Zutreffendes bitte ankreuzen)


              

 

        ________________
         (Unterschrift)
 






        Absender:                                  Datum __ . __ . 19__

        Name    ..................
        Strae  ..................
        PLZ/Ort ..................



        An                                        
        Henrik Alt
        Kirgelweg 25
 
        7160 Gaildorf
 


        Ein neuer Virus!

__                                                                           __
        Ich habe in meiner Diskettensammlung einen neuen Virus bzw.
        ein unbekanntes Bootprogramm entdeckt!

        Der Virus befindet sich auf der beigelegten Diskette in der
        Datei:  VIRUS_C.___  bzw. BOOT.___   .
 
        Als Dankeschn erhalte ich eine neue Version von SAGROTAN.




        ________________
         (Unterschrift)     



