Documentation française du programme.

---

---

Écrit par :

Zbigniew Trzcionkowski

Merci de bien vouloir tout lire !

WatchDog est un programme FREEWARE.
© 2001-2002 par Zbigniew Trzcionkowski

[Description] [Système requis] [Comment cela fonctionne t-il ?] [Paramètres] [Auteur]

DESCRIPTION

• Il vérifie la mémoire de la présence de virus connus, en utilisant la bibliothèque « xvs.library »,
• il contrôle la mémoire avec le chargement de routines internes,
• il conserve les notifications sur S:startup-sequence et S:user-startup.

SYSTÈME REQUIS

COMMENT CELA FONTIONNE T-IL ?

• Harrier .A Un désactiveur de mémoire pour les virus, probablement jamais diffusé au publique.
  
  
• Vaginitis détecteur des clones des virus Fungus/Vaginitis
  
  
• Supprime ou restaure les valeur initiales de manière générique :
  
  tc_launch [vue dans le virus Beol ...]
  
  tc_switch [vue dans le virus Beol ...]
  
  pr_PktWait [vue dans le virus Beol ...]
  
  mp_sigTask [vue dans le virus Smeg et le virus penetrator ...]
  
  remplacement de l'opcode $4EB9 sur des vecteurs vitaux d'Exec, schéma d'infection [Illegal Access/HitchHiker4.11]
  
  
• Détection des correctifs (patch) obsolète avec leur retrait :
  
  crm.library sur (New)LoadSeg [peut être utilisé pour cacher d'autres correctifs !]
  
  
• Détecteur de modification avec restitution ou redémarrage à froid :
  
  ColdCapture, CoolCapture, WarmCapture [rotfl, mais c'est une tradition chez les tueurs de virus...]
  
  KickTagPtr, KickMemPtr [toujours utilisé par quelques outils légaux]
  
  
• Détecteur de modification avec restauration facilitée :
  
  DoIO(), SendIO(), WaitIO() [bloc d'amorce et possibilité d'infection des fichiers...]
  
  ExitIntr(), Schedule(), Reschedule(), Dispatch(), Switch() [interception des paquets et des correctifs]
  
  PutMsg(),GetMsg(),ReplyMsg(),Wait(),WaitPort(),Signal() [interception des paquets]
  
  DebugEntry, DebugData, AlertData, LastAlert [virus classiques, champs d'auto-reconnaissance]
  
  execLibOpen(), execLibClose(), execLibExpunge() [nouvelle tentative d'auto-reconnaissance des virus]
  
  dosLibOpen(), dosLibClose(), dosLibExpunge() [ceux-ci ne peuvent pas servir à intercepter quoi que ce soit, mais je les aient quand même ajouté...]
  
  Open(), Lock(), LoadSeg(), SetComment(), SetProtection(), Execute(), SystemTagList(), NewLoadSeg(), FilePart(), PathPart(), AddPart(), FindVar() [beaucoup plus populaire/vecteurs sensibles aux virus basés sur « Open/Close », comme par exemple la série des HappyNewYear et Elbereth ...]
  
  Close(), Read(), Write(), UnLock(), Examine() [très populaire/vecteurs pouvant être infectés « au vol », comme par exemple NoName(212 bytes)]
  
  ExNext(), ExAll() [infection en masse dans BOBEK ou les répertoires « de petites santés »...]
  
  
• Détector de modification uniquement :
  
  Appel de ExNext dans reqtools.library (en construction !) [BOBEK3 schéma d'infection !]
  
  retourné par le pointeur Wait() sur la pile du volume [SMEG2/HitchHiker5.00 schéma d'infection !]
  
  SysStackLower guard dénonce les modifications dans les derniers octets de la pile du système. Cette zone peut être altérée par de vilains software incluant les virus (ex : 212-bytes linkvirus) Notez que cette caractéristique se rapproche d'avantage à celle d'un débogueur. :-)
  
  

PARAMÈTRES

AUTEUR

Zbigniew Trzcionkowski
Astrow 7
43 250 Pawlowice
Poland