$Header: /home/cvs/src/asm/bootkill/hms.doc,v 1.24 2019/10/20 11:54:05 ralph Exp $
// atom:set fileencoding=windows1252 fileformat=dos filetype=plain tabstop=2 expandtab:


 HMS - Heuristischer Memory Scanner fr DOS - berprft den PC auf DOS Viren
           (C)opyr. 1992-2020 by ROSE SWE, Dipl.-Ing. Ralph Roth

   ----------------------------------------------------------------------
                       ___ ___    _____    _________
                      /   |   \  /     \  /   _____/
                     /    ~    \/  \ /  \ \_____  \
                     \    Y    /    Y    \/        \
                      \___|_  /\____|__  /_______  /
                            \/         \/        \/
   ----------------------------------------------------------------------

Virenscanner fr DOS Betriebssystem. Auch unter Windows einsetzbar (getestet
mit Win95 bis Windows 7).


Funktion:
~~~~~~~~~

HMS ist ein Programm zum Erkennen von bekannten und UNBEKANNTEN (neuen) Viren
im DOS Arbeitsspeicher. Viele DOS Viren laden sich selbst in den
Arbeitsspeicher und berwachen das Ausfhren von Programmen durch DOS. Wird
ein Programm ausgefhrt, berprft der Virus ob es schon infiziert ist oder
infiziert es. Damit der Virus sich nicht laufend neu installiert, berprft
er, ob er schon 'speicherresident' ist. Diese berprfung fhrt HMS ebenfalls
durch. Normalerweise erhlt HMS jedoch als Rckgabewert einen 'Fehler'. Falls
kein Fehler zurckgegeben wird, knnte ein Virus diese Funktion belegen! Damit
HMS keine Fehlalarme erzeugt, wurde HMS unter den verschiedensten
Konfigurationen getestet und teilweise auch auf verschiedene Programme
angepasst. So wurde HMS u. a. unter folgenden Betriebssystem/Konfigurationen
getestet:


  *        Original MS-DOS 3.10, 3.21, 3.30, 3.31, 4.01, 5.00, 6.00, 6.20, 6.22
  *        PC-, Tulip- & Compac-DOS 3.31, 4.01, 5.00, 6.00
  *        DR-DOS 3.41, 5.00 & 6.00
  *        OS/2 1.x, 2.0, 2.1 (Achtung: Luft nicht mit OS/2 Warp!)
  *        Windows 3.1x, Novell Netware, RTX-DOS, QEMM, IBM LAN Manager,
  *        386 MAX, MS LAN Manager, SCROLLit 1.3,
  *        MS-DosShell, CEMM und verschiedenen residenten Antivirenprogrammen
  *        (VSAFE, TSAFE, SVS, DEFENDER, VDEFENDER, VIRSTOP u.a.)
  *        Novell DOS 7.0 - bis Patchlevel 13 (Englisch) und Patchlevel 15 (Dt)
  *        OpenDOS 7.01, 7.02, 7.03 (Caldera)
  *        Windows 95/95a-95c, 98SE, Windows NT 4.0 SP 1..SP 6a
  *        Win2K.RC3, Win2K SP1, SP2, WinME, Win-XP, Windows Vista, Windows 7
  *        FreeDOS Beta 8 und 1.00 mit FreeCOM (FAT16 und FAT32 Kernel)
  *        FreeDOS 1.1 mit HimemX 3.34

Zustzlich wurde HMS in Verbindung mit ber 50 verschiedenen
speicherresidenten Programmen ausfhrlich ausgetestet und teilweise angepasst!

Inkompatibilitten:
-------------------

HMS funktioniert nicht mit folgenden Programmen bzw. Betriebssystemen:

- TSafe (die Uraltversion von 1990) - speichert nicht alle Register ab!
- XRAY - HMS erkennt ob XRAY (1.09) installiert wurde und bricht ab.
- RIO (Rock Input-Output)
- RelRes (aus CT'91 - 27.06.91) ist total inkompatibel zu HMS, CHKPC
  und VSTOP.
- Novell DOS 7.0 (einige Funktionen werden deshalb nicht berprft!)
- OS/2 alle Versionen!
- Spezielle, unsauber programmierte Festplattentreiber, z.B.: SCSI
- DosBox 0.72, DosBox 0.74 = OK!



Arbeitsspeicher scannen:
------------------------

Das Programm HMS berprft den Arbeitsspeicher zustzlich auf folgende
bekannte Viren:

           Jerusalem Familie          >> 80 Varianten
           Vacsina + Yankee Doodle     - 48 Varianten
           Cascade Familie (1701/1704) - 14 Varianten
           Tequila                     -  3 Varianten
           Plastique (4.21/5.21/Cobol) - 11 Varianten
           Omicrone/Flip & Prism       -  6 Varianten
           Parity Boot, Tomalak etc.   -  3 Varianten
           EbbelWoi/King M.         mind. 3 Varianten
           Tremor (Tarnkappenvirus)    -  3 Varianten
           Natas (Tarnkappenvirus)  mind. 3 Varianten
           Hare Familie             mind. 3 Varianten
           Perfume (4711)              -  2 Varianten
           dBase, FSP Killer           je 1 Variante
           Neuroquila, Nighfall        je 2/3 Varianten
           MegaStealth                    1 Variante
           Spanska.4250                   1 Variante
           Implant                        2 Varianten
und weitere...


Sollten Sie DR-DOS verwenden, bricht HMS nach dieser Prfung ab (s. u.)!


Einsatz:
~~~~~~~~

Starten Sie Ihren Computer wie gewohnt. Fhren Sie HMS aus. HMS sollte jetzt
unter jeder berprften Funktion ein "--- OK! ---" melden. Sollte dies nicht
der Fall sein haben Sie wahrscheinlich ein Programm geladen, welches HMS
antwortet. Sollte HMS jedoch beispielsweise folgendes melden:

          :
          :
       AX vor Aufruf FE01, AX nach Aufruf 01FE!
          :
          :

wre (in diesem Fall) der Flip Virus aktiv. Lassen Sie sich jedoch nicht
verunsichern, dieses Programm soll ja nur ein Werkzeug darstellen. Versuchen
Sie in diesem Fall TSR's aus der AUTOEXEC.BAT und Device Treiber aus der
CONFIG.SYS zu deaktivieren. Bei MS-DOS 6.0 beim Booten die F5-Taste drcken
und damit DOS 'nackt' booten. Meldet HMS nach der Deaktivierung keine
Interrupt berschneidung mehr, liegt eine Inkompatibilitt zu HMS vor! Bitte
senden Sie mir das entsprechende Programm zu! Zum berprfen, welche Programme
speicherresident geladen wurden, knnen Sie auch das Programm RESIDENT mit der
Option '/a-' verwenden! Falls es Probleme mit irgendeinem Programm geben
sollte, sollten Sie Ihrem Schreiben auf jedem Fall einen Ausdruck von ROSEDIAG
beilegen. Einen Ausdruck erstellen Sie wie folgt:

                            rosediag > lpt1:
                                 und
                               hms > lpt1:
                    (anschlieend eine Taste drcken)

Sollte HMS jedoch keine Interrupt berschneidung melden, knnen Sie HMS in die
AUTOEXEC.BAT einbinden um einen grtmglichen Schutz zu gewhrleisten. Sollte
sich nmlich jetzt ein Virus einnisten, knnte es zu eine Interrupt
berschneidung fhren, die eventuell beim Start von HMS angezeigt werden
knnte!

HMS (und die anderen Antivirenprogramme) besitzen einen einzigartigen
Selbstschutz, der teilweise aktive Tarnkappenviren erkennt und entsprechend
den Virus deaktiviert! So erkennt HMS z. B. den Shiny-Virus und hlt das
Programm vorsichtshalber an!


Parameter:
~~~~~~~~~~

HMS kann mit verschiedenen Parameter an Ihre Bedrfnisse angepasst werden. Um
eine bersicht der aktuellen Parameter zu erhalten, starten Sie HMS mit dem
Parameter '/?' (-> HMS /?).


Parameter /N+
~~~~~~~~~~~~~

Mit dem Parameter /N+ knnen Sie HMS anweisen, auch die Funktionen, die
normalerweise Novell Netware bzw. andere Netzwerke belegen zu berprfen.
WARNUNG: Falls Sie diese Option in Verbindung mit einem Netzwerktreiber
ausfhren, kommt es zu einen Systemzusammenbruch Ihres Arbeitsrechners oder
sogar des Netzwerkes! Aus diesem Grund muss diese Option explizit angeben
werden. Falls von HMS ein Netzwerk gefunden wird, wird automatisch die Option
/N+ gesperrt! Die Option /N+ ist nur fr nicht vernetzte Rechner sinnvoll,
oder bevor irgendein Netzwerktreiber geladen wird (z.B.: erstes Programm in
der AUTOEXEC.BAT)!

Tipps fr reine DOS Rechner
~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wenn Sie einen grtmglichen Schutz gegen eine Vireninfektion wnschen,
binden Sie bitte wie folgt die Programme HMS, CHKPC und VSTOP in Ihre
AUTOEXEC.BAT-Datei ein (Reihenfolge beachten):

        C:\VIRSCAN\TOOLS\QMS.EXE
        C:\VIRSCAN\TOOLS\CHKPC.COM -p
        C:\VIRSCAN\TOOLS\HMS.COM /n+
        C:\VIRSCAN\TOOLS\VSTOP.COM -w

Falls Sie die Programme in ein anderes Verzeichnis installiert haben, mssen
Sie die Pfade entsprechend anpassen. Fgen Sie die drei Zeilen gegen Ende der
Datei ein, um einen grtmglichen Schutz zu gewhrleisten.


Hinweis:
~~~~~~~~

Eventuell nicht geeignet fr DR-DOS, SCSI-Treiber und CD-ROM. HMS berprft
sich selbst auf Virenbefall oder Vernderungen und sollte deshalb in die
AUTOEXEC.BAT (siehe oben) integriert werden! Durch einen integrierten
Checksummentest kann das Programm nicht mehr gendert werden. HMS merkt
hierdurch teilweise sogar eine Infektion durch Tarnkappenviren (Stealthviren)!


Lizenz Vereinbarung
~~~~~~~~~~~~~~~~~~~

HMS ist BANNERWARE (darf privat umsonst benutzt werden)! MODIFIZIEREN, AENDERN,
DIESE ANLEITUNG WEGLASSEN UNTERSAGT! JEDE KOMMERZIELLE WEITERGABE/NUTZUNG
UNTERSAGT! Weitere Nutzungslizenzbestimmungen: LIZENZ.DOC und FREEWARE.COM!
Jede kommerzielle Verwendung erfordert unsere schriftliche Einverstndnis
(auch Bundling, Verffentlichung in Zeitschriften u. .)!


Credits:
~~~~~~~~

    Joerg Abdinghoff:   Win-XP Test


Garantieausschlusserklrung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Programm HMS kann unter Umstnden andere speicherresidente Software
beeinflussen! Es wre theoretisch mglich, das es zu Seiteneffekten kommen
knnte (solche Seiteneffekte wurden jedoch noch nicht festgestellt)!

Unter keinen Umstnden ist der Programmautor Ralph Roth haftbar fr jegliche
Folgeschden, einschlielich aller entgangenen Gewinne und Vermgensverluste,
oder anderer mittelbarer und unmittelbarer Schden, die durch den Gebrauch
oder die Nichtverwendbarkeit dieser Software und ihrer begleitenden
Dokumentationen entsteht. Dies gilt auch dann, wenn der Autor ber die
Mglichkeit solcher Schden unterrichtet war oder ist!


(C)opyright by (ALL RIGHTS RESERVED!)


__________ ________    ____________________   ___________      _____________
\______   \\_____  \  /   _____/\_   _____/  /   _____/  \    /  \_   _____/
 |       _/ /   |   \ \_____  \  |    __)_   \_____  \\   \/\/   /|    __)_
 |    |   \/    |    \/        \ |        \  /        \\        / |        \
 |____|_  /\_______  /_______  //_______  / /_______  / \__/\  / /_______  /
        \/         \/        \/         \/          \/       \/          \/

 -------------------------------------=-----------------------------------
     ROSE SWE                           See ROSEBBS.TXT for
     Dipl.-Ing. Ralph Roth              full address, FAX and PGP keys.
     http://rose.rult.at
     rose_swe@hotmail.com               All Rights Reserved!
 -------------------------------------=-----------------------------------



/Ende/
