Documentation française du programme.
Écrit par :
Zbigniew Trzcionkowski
Merci de bien vouloir tout lire !
WatchDog est un programme FREEWARE.
© 2001-2002 par Zbigniew Trzcionkowski
DESCRIPTION
WatchDog surveille la mémoire en tâche de fond. Le temps entre les
vérifications est ajusté automatiquement entre 5 et 10 secondes. La
mémoire est également testée juste après l'affichage de la fenêtre
d'informations. (Jetez un oeil au menu outils du XorkBench)...
À quoi vous attendre avec WatchDog :
- Il vérifie la mémoire de la présence de virus connus, en utilisant la
bibliothèque « xvs.library »,
- il contrôle la mémoire avec le chargement de routines internes,
- il conserve les notifications sur S:startup-sequence et S:user-startup.
SYSTÈME REQUIS
AmigaOS 2.0 ou supérieur.
xvs.library de Georg Hormann, Alex van Niel et Jan Erik Olausen.
Tous problèmes doivent être envoyés à :
zeeball@interia.pl
COMMENT CELA FONTIONNE T-IL ?
Le retrait des virus connus de la mémoire est basé sur la bibliothèque
xvs.library et rien de plus ne peut être dit à ce sujet, voyons
les routines internes:
- Harrier .A Un désactiveur de mémoire pour les
virus, probablement jamais diffusé au publique.
- Vaginitis détecteur des clones des virus Fungus/Vaginitis
- Supprime ou restaure les valeur initiales de manière générique :
tc_launch [vue dans le virus Beol ...]
tc_switch [vue dans le virus Beol ...]
pr_PktWait [vue dans le virus Beol ...]
mp_sigTask [vue dans le virus Smeg et le virus penetrator ...]
remplacement de l'opcode $4EB9 sur des vecteurs vitaux d'Exec, schéma d'infection [Illegal Access/HitchHiker4.11]
- Détection des correctifs (patch) obsolète avec leur retrait :
crm.library sur (New)LoadSeg [peut être utilisé pour cacher d'autres correctifs !]
- Détecteur de modification avec restitution ou redémarrage à froid :
ColdCapture, CoolCapture, WarmCapture [rotfl, mais c'est une tradition chez les tueurs de virus...]
KickTagPtr, KickMemPtr [toujours utilisé par quelques outils légaux]
- Détecteur de modification avec restauration facilitée :
DoIO(), SendIO(), WaitIO() [bloc d'amorce et possibilité d'infection des fichiers...]
ExitIntr(), Schedule(), Reschedule(), Dispatch(), Switch() [interception des paquets et des correctifs]
PutMsg(),GetMsg(),ReplyMsg(),Wait(),WaitPort(),Signal() [interception des paquets]
DebugEntry, DebugData, AlertData, LastAlert [virus classiques, champs d'auto-reconnaissance]
execLibOpen(), execLibClose(), execLibExpunge() [nouvelle tentative d'auto-reconnaissance des virus]
dosLibOpen(), dosLibClose(), dosLibExpunge() [ceux-ci ne peuvent pas servir à intercepter quoi que ce soit, mais je les aient quand même ajouté...]
Open(), Lock(), LoadSeg(), SetComment(), SetProtection(), Execute(), SystemTagList(), NewLoadSeg(), FilePart(), PathPart(), AddPart(), FindVar() [beaucoup plus populaire/vecteurs sensibles aux virus basés sur « Open/Close », comme par exemple la série des HappyNewYear et Elbereth ...]
Close(), Read(), Write(), UnLock(), Examine() [très populaire/vecteurs pouvant être infectés « au vol », comme par exemple NoName(212 bytes)]
ExNext(), ExAll() [infection en masse dans BOBEK ou les répertoires « de petites santés »...]
- Détector de modification uniquement :
Appel de ExNext dans reqtools.library (en construction !) [BOBEK3 schéma d'infection !]
retourné par le pointeur Wait() sur la pile du volume [SMEG2/HitchHiker5.00 schéma d'infection !]
SysStackLower guard dénonce les modifications dans les derniers octets de la pile du système. Cette zone peut être altérée par de vilains software incluant les virus (ex : 212-bytes linkvirus) Notez que cette caractéristique se rapproche d'avantage à celle d'un débogueur. :-)
PARAMÈTRES
Actuellement WatchDog est contrôlé par les types d'outils de son icône,
cependant, je peux ajouter une entrée via le Shell si quelqu'un le
réclame.
Jetez un oeil sur l'icône et soyez attentif sur le fait que certains
types d'outils sont réservés au débogage, et ils seront supprimés dans
le futur...
AUTEUR
Zbigniew Trzcionkowski
Astrow 7
43 250 Pawlowice
Poland
Envoyez-moi les rapports d'erreurs, les idées et les fichiers infectés.
100% de réponse à ceux qui envoient des disquettes.
Adresse électronique : [zeeball@interia.pl]
Vous pouvez télécharger WatchDog à partir de la page VHT-DK :
[www.vht-dk.dk]
Vous pouvez aussi rechercher les nouvelles versions dans le répertoire
« util/virus » d'Aminet !