Version française de la documentation du programme.
Écrit par :
Zbigniew « Zeeball » Trzcionkowski
Merci de bien vouloir tout lire !
Safe est un programme FREEWARE
© 1998-2002 par Zbigniew `Zeeball` Trzcionkowski
DESCRIPTION
« Safe » est une petite commande CLI destinée à détecter les
[virus liens] dans votre système. Il vérifie la mémoire
et lui-même, uniquement lors de son exécution et il ne réside PAS en
mémoire.
« Safe » vous permet de supprimer la plupart des correctifs des vecteurs DOS et exec
- voir VECS/S.
Tout ce que vous avez à faire est d'exécuter mon script d'installation ou
bien de copier l'icône de « Safe » sur une partition quelconque de votre
disque dur et de l'exécuter lorsque vous en avez besoin... (après avoir
utilisé un nouveau logiciel, etc.).
N'oubliez pas que lancer « Safe » de multiples fois équivaut à un système
plus sûr. Associez-le à un bouton sous DOpus, Diskmaster etc.
Exemple de « Safe » avec Diskmaster :
AddCmd Parent, 10, Parent ; StdIO "CON:0/12/640/100/Alerte !/AUTO";
Extern Safe;StdIO CLOSE
Ne renommez pas le fichier « Safe » si vous désirez l'exécuter à partir
de son icône !
N'essayez pas de compresser le fichier exécutable « Safe » !
Utilisez la dernière version en date de la bibliothèque
« xvs.library ». (Pour obtenir le numéro de version de la bibliothèque
« xvs.library » actuelle et de « Safe », tapez « safe VER » dans un Shell).
« Safe » ne peut découvrir de nouveaux virus que lorsqu'il est placé sur un
périphérique où l'écriture est possible et avec un peu d'espace libre. Le
périphérique « RAM: » ne peut pas être utilisé car il indique toujours 100%
d'occupation et la plupart des virus ne peuvent pas infecter des fichiers
placés dans « RAM: ».
Si « Safe » fonctionne - vous ne verrez rien.
Si un virus est trouvé, vous devrez exécuter un tueur de virus comme
VirusChecker pour le retirer.
Si un virus inconnu ou nouveau est découvert, envoyez-le à l'auteur de
votre anti-virus ou bien à VHT-DK. Vous pouvez également m'envoyer le
fichier.
SYSTÈME REQUIS
AmigaOS 2.0 ou supérieur.
Pour une reconnaissance des virus connus et les retirer de la mémoire, vous
avez besoin de la bibliothèque « xvs.library » de Georg Hormann et
Alex van Niel.
Pour écrire un rapport avec l'option « REP » et récupérer les
éléments mémoire avec « SAVEMEM » ou la désassembler avec « DIS », il vous
faut la bibliothèque « asl.library v38+ ».
L'option « DIS » a besoin de la bibliothèque « disassembler.library » de
Thomas Richter.
Tous problèmes rencontrés devraient être envoyés à :
zeeball@interia.pl
COMMENT CELA FONCTIONNE T-IL ?
- Il vérifie la mémoire de la présence des éléments les plus récents
que xvs ne connait pas pour le moment
et bien sûr des autres virus connus de la bibliothèque « xvs.library »...
- Il vérifie la taille du fichier et les instructions modifiées,
ou le virus connus.
- Si quelque chose est trouvé, vous obtiendrez un message via le CLI.
Le progamme essaiera de reconnaître et de corriger les problèmes rencontrés
dans la mémoire à l'aide de la « xvs.library » ou des routines internes...
Le fichier est écrit dans un format spécifique [virus-liens] pour provoquer l'infection. Je pense que 90%
des [virus-liens] attaqueront ce fichier, alors il sera
détecté.
PARAMÈTRES
« Safe » permet les options suivantes à partir d'un CLI ou d'un Shell :
Syntaxe :
REBOOT/S,RENRAM/S,VER/S,REP/S,WBLOCK/S,VECS/S,OWNOUT/S,SAVEMEM/S,MOUNTSIZE
- REBOOT
- Effectue un redémarrage standard de l'ordinateur en effaçant les
vecteurs « reset », tout comme la version 13.7 de « Safe », le registre
TC de la MMU est réinitialisé. Ceci facilite le redémarrage lorsque la
ROM à été déplacé. (sur ma config étrange hé,hé).
- RENRAM
- Renomme « Ram disk: » en « Ram: ». Ceci aide avec certains
programmes.
- VER
- Affiche les numéros de versions de « Safe » et de « xvs.library ».
- REP
- Ouvre une requête de fichiers pour sauvegarder le rapport de
« Safe » dans un fichier.
- WBLOCK
- Exécute un « LockPubScreen(NULL) » pour éviter que le WorkBench ne
se ferme, spécialement avec certains jeux peu amicaux (UFO Enemy
Unknown) !
- VECS
- Affiche les vecteurs du système, et affiche aussi le résultat d'une
vérification heuristique simple.
La plupart des virus testés ont donné un résultat suspect à 50+,
mais n'oubliez pas qu'il ne s'agit que d'une suspicion, des correctifs
légaux peuvent donner de grands nombres également !
Il vous permet de retirer les correctifs
associés aux vecteurs DOS et Exec ! Il vous sera demandé si le
correctif doit être retiré ou non.
- CLRVBR
- Met le VBR à 0
- OWNOUT
- Force l'utilisation de la fenêtre « CON: » pour dialoguer avec
l'utilisateur.
- SAVEMEM
- Sauve la mémoire dans un fichier. Les adresses de début et de fin
vous seront demandées, ainsi que le nom du fichier à partir d'une
requête de fichiers ASL.
Une confirmation sera requise pour un fichier de taille supérieure
à 100 Ko.
Vous devez savoir que certaines adresses ne sont pas accessibles,
exemple : $dffxxx !
- MOUNTSIZE
- Si vous entrez la taille (en décimal), elle sera comparée avec la
taille de la commande « c:mount ». Ceci est utile pour détecter ces
stupides hackers de TCP:.
- DIS
- Presque la même chose que SAVEMEM/S, mais le bloc sauvegardé est
désassemblé. Cette option nécessite la bibliothèque
« disassembler.library » de Thomas Richter.
AUTEUR
Zbigniew Trzcionkowski
Astrow 7
43 250 Pawlowice
Poland
Envoyez-moi vos rapports de bogues, idées et fichiers infectés.
100% de réponses pour les expéditeurs de disques
Adresse électronique : [zeeball@interia.pl]
Vous pouvez télécharger « Safe » à partir de la page VHT-DK :
[www.vht-dk.dk]
Vous pouvez aussi rechercher les nouvelles versions sur Aminet,
dans le répertoire « util/virus » !
Remerciements à :
- Jan Andersen de VH-DK - pour les virus
- Tomasz `Error` Wiszkowski - pour tout... ...rapports de bogues...
- Tomasz `Siumot` Bielinski - pour plusieurs idées/rapports de bogues
- Bob Cameron - pour la correction de ce texte
INFORMATIONS SUPPLÉMENTAIRES
hunk
Un exécutable AmigaDos comporte les parties suivantes :
Lorsque vous exécutez un programme, la fonction « LoadSeg » du système
chargera les différentes parties (hunks) du fichier à différents endroits
en mémoire.
Les plus connues de ces parties (appelée « sections » en assembleur) sont :
- header - information sur les autres parties.
- code - programme binaire pour le processeur MC680x0, petites données etc.
- data - données du programme (imagess, sons etc.), programmes pour le « Copper », etc.
- bss - utilisé pour mettre de grosses zones vides pour le programme sans accroître la taille sur le disque. Ne contient que des données sur la taille des zones.
- reloc - contient les données en relation entre les autres parties qui doivent être recalculées lorsque les parties sont chargées en mémoire.
- end - 4 octets - uniquement un identificateur. Utilisé à la fin d'une partie. Le système n'en a pas besoin dans certaines parties.
virus-liens
C'est un vrai virus. Les virus-liens les plus classiques sur Amiga ajoute
leur code au fichier exécutable pour le diffuser avec lui.
Quand un uilisateur exécute un fichier infecté, le code du virus est également
exécuté et ajoute son code à certaines fonctions du système (LoadSeg, Write, Open, ...)
Quand la fonction est appelée, le virus cherche à infecter un autre fichier.
Sur Amiga, il y a deux principales manières d'infecter un fichier :
[augmentation de la première partie]
[ajout d'une partie]
premièrement, augmentation d'un [hunk]
ajoute le code du virus à la fin de la première partie
(si [code dans la partie]) et remplace une des
instructions du MC680x0 avec un saut vers le code du virus.
Les instructions les plus usitées dans le remplacement sont :
RTS, BSR, JSR, MOVE.L 4.W,A6.
« Safe » depuis la version 11.0 peut afficher certaines instructions
modifiées.
[partie] ajout
ajoute au fichier une ou des [partie(s)] avec le code
du virus. Ceci n'est pas simple à faire, il y a donc plus de première
parties augmentées. Une autre méthode comparable est d'ajouter une nouvelle
[partie dans l'en-tête] etc.