$Id: MemScan.txt,v 1.50 2024/12/11 09:55:35 ralph Exp $
// vim:set fileencoding=utf8 fileformat=dos filetype=plain tabstop=2 expandtab:


     __  __                ____                     ______   ___  ____
    |  \/  | ___ _ __ ___ / ___|  ___ __ _ _ __    / /  _ \ / _ \/ ___|
    | |\/| |/ _ \ '_ ` _ \\___ \ / __/ _` | '_ \  / /| | | | | | \___ \
    | |  | |  __/ | | | | |___) | (_| (_| | | | |/ / | |_| | |_| |___) |
    |_|  |_|\___|_| |_| |_|____/ \___\__,_|_| |_/_/  |____/ \___/|____/

                            (c) 16.10.1990-2025 by ROSE SWE, Ralph Roth


Hint: The complete documentation for MemScan in English can be found in the
document "MemScan_Eng.txt!"

Regel basierendes, universelles Virensuchprogramm für den DOS Arbeitsspeicher.
Es ist nicht auf bekannte Boot- und DOS Viren beschränkt!

NOTE: Heutzutage wird reines DOS oder Windows 9x kaum noch verwendet, der
Hauptanwendungsfall, für den MemScan entwickelt wurde. Trotzdem bieten wir
MemScan weiterhin zur kostenlosen Nutzung an, weil wir glauben, dass dies das
einzige Programm ist, das weltweit noch für DOS-Betriebssysteme gepflegt und
weiterentwickelt wird!


Funktion von MemScan
--------------------

  MemScan untersucht Ihren Arbeitsspeicher auf speicherresidente MS-DOS
  Computerviren.  Falls Sie hierzu Fragen haben, lesen Sie die Dateien
  VIRSCAN.DOC & VIRSCAN.TXT durch (falls vorhanden).

  MemScan kann auch das "UPPER" Memory (UMB = Speicher oberhalb von 640 KB bis
  zu 1MB) und den HMA (High Memory Area = 1088 KB) Bereich untersuchen.
  MemScan benötigt für die Virenerkennungen und Hashtabellen insgesamt ca.
  450 KB freien DOS Arbeitsspeicher!  MemScans Arbeitsspeicherbedarf wurde
  speziell an Netzwerkumgebungen angepasst und läuft deshalb auch mit nur 450
  KB freiem Speicher!

  MemScan findet -dank heuristischen Scannen- unbekannte Viren (Option /UNB).
  MemScan meldet solche Viren i.  A.  mit einer der folgenden Meldungen:

              Execution - Funktion [EXEC]   oder
              Generic File Open [FOpen]     oder
              Memory Control Blocks [MCB]   oder
              Generic ExeHeader.????-????   oder
              Generic Bootvirus [BOOT]        (und weitere...)

  Bei Meldung einer dieser zwei Viren bitte ich um Zusendung einer infizierten
  Datei, um den Virus zu klassifizieren zu können (wenn VirScan mit der Option
  /HEUR in Dateien den gleichen Virustyp anzeigt) und um ihn in MemScan
  aufnehmen zu können!  Versuchen Sie den Virus die beigefügten "Opferdateien"
  INFECTME.* infizieren zu lassen!

  Hinweis: MS-DOS 6.xx und Novell DOS 7.0 erzeugen einen Fehlalarm bei der
  Option /UNB in Verbindung mit der Option /HIGH.

  Meistens wird ein Generic Exec Virus im Segment Fxxx:xxxx gemeldet, welches
  jedoch der hoch geladene COMMAND.COM belegt.


MemScan warum?
--------------

  MemScan wird von uns intern verwendet, um neue Viren schnell und sicher in
  VirScan aufzunehmen.  Anwender haben uns jedoch laufend nach einem Programm
  gefragt, dass NUR den Arbeitsspeicher untersucht. Aus diesem Grund wurde
  MemScan der Öffentlichkeit zugänglich gemacht.


 Wahlweise Aufrufparameter:
 --------------------------

    /?                Kurze Hilfestellung ausgeben
    /HIGH             Hohen Arbeitsspeicher (bis 1 MB) auch durchsuchen.
    /IVT              Interrupt Virentest, siehe auch VIRSCAN.DOC
    /NOLIVEBAIT       Übergehe den Live Bait Test
    /NOMEM            Übergehe den kompletten "Quick Memory Check"
    /NOPATHCOMPANION  Übergehe den Path Companion Test
    /UNB /UNK         Nach neuen unbekannten Viren suchen.
                      Keinen Hinweis zu Parameter ausgeben
                      (Guru-Option).
    /AKTION           Hinweis zur Virussonderaktion anzeigen.

  Weitere Parameter siehe Option /?  (-> MemScan /?)

  Option /UNB
  -----------

  Diese Option ist nur für den Ernstfall gedacht!  Diese Funktion erzeugt
  IMMER Fehlalarme!  Sie dient mir zum Katalogisieren von bekannten und neuen
  Viren!  Fast jeder neue Virus kann mit MemScan gefunden werden!


  Option /IVT
  -----------

  Mit dem Parameter /IVT kann der Arbeitsspeicher nach ca. 150 der
  bekanntesten DOS Viren untersucht werden (veraltet, kaum noch verbreitet).
  Dies erfolgt mit sogenannten "Am I there" Aufrufen, die in
  Sekundenbruchteilen durchgeführt sind (im Vergleich zum langsamen
  Untersuchen des Arbeitsspeichers). Der Arbeitsspeicher wird hierbei u.a. auf
  folgende Viren untersucht:

        -  Jerusalem und verwandte Viren (mind. 48 Varianten)
             -  Frere Jaque
             -  Fu Manchu
        -  Tequila (Tarnkappen/Stealth-Virus)
        -  Yankee Doodle/Vacsina (45 Varianten)
        -  Cascade und Yap (14 Varianten)
        -  Flip/Omicrone (6 Varianten/Substealth-Virus)
        -  Parity Check (4 Varianten, Bootvirus)
        -  dBase
        -  Plastique (AntiCad,  Invader, Tobacco, 4.21, 5.21 und
           Cobol)
        -  Tremor (Tarnkappenvirus)
        -  Hare

  Bei Erkennung des Virus wird der Benutzer darüber informiert.

  Sie sollten diese Option nicht verwenden, wenn Sie Novell Netware
  installiert haben, weil es zu Überschneidungen der Interrupt aufrufe kommt.
  Diese Funktion wurde ursprünglich automatisch durchgeführt, es hat sich
  jedoch herausgestellt, dass die sogenannten "Am I there" Aufrufe nicht 100%
  kompatibel mit verschiedenen Betriebssystemen und Konfigurationen sind.
  Falls es also zu ungewöhnlichen Seiteneffekten kommt, so könnte es an dieser
  Option liegen.  Diese Option untersucht -falls vorhanden- auch den hohen
  Arbeitsspeicher (HMA) auf Viren.


 Hinweise zur Parametereingabe
 -----------------------------

  Anwender, welche die amerikanische bzw. nach Linuxart Parametereingabe mit
  dem Minuszeichen gewohnt sind, können statt den Slashzeichen ('/') das
  Minuszeichen ('-') verwenden.

  Beispielsweise ist -ivt äquivalent mit /Ivt

  Hinweis: Zwischen den einzelnen Parametern muss mindestens ein Leerzeichen
  vorhanden sein!


 Die Umgebungsvariable MemScan
 ----------------------------

  Statt MemScan immer mit Parametern aufzurufen, kann MemScan mit einer
  sogenannten Environment Variable (Umgebungsvariable) gesteuert werden. Geben
  Sie beispielsweise am DOS-Prompt folgendes ein:

                      SET MEMSCAN=/unb -high -ivt

  Wenn Sie nun MemScan starten, liest MemScan aus der Variable alle
  benötigen Parameter aus.


 Zurücksetzen von vor eingestellten Werten
 -----------------------------------------

  Manchmal ist es wünschenswert, schon fest (also per SET MEMSCAN=...)
  eingestellte Optionen wieder rückgängig zu machen.  Dies erfolgt einfach
  durch Angabe eines Minuszeichens nach der Option.  Damit wird die Option
  ausgeschaltet!

  Beispielsweise haben Sie folgendes eingeben:

                           SET MEMSCAN=/high

  Dann starten Sie MemScan mit folgendem Parameter:

                             MemScan /high-


 Fehlalarme von MemScan
 ----------------------

  MemScan entdeckt mit der Option /UNB ca.  98% ALLER neuer speicherresidenten
  Viren, jedoch ist diese Option nur für absolute Virengurus zu empfehlen.
  TIPP: Bei einem Virusverdacht VirScan Plus mit folgenden Parametern starten:

                          Virscan -auto -heur -log

  Findet VirScan Plus jetzt in mehreren EXE/COM den gleiche Virus wie MemScan:
  Neuer Virus!  Findet VirScan in vielen COM/EXE einen anderen Virus, z.B.:
  Crypt/FamZ, dann ist es ein neuer VERSCHLÜSSELTER Virus! In diesen Fällen
  bitte eine Diskette mit diesen infizierte Dateien zusenden!  Hinweis: Die
  Option /HEUR ist nur in der Vollversion von VSP enthalten!

 Program Return Values
 ---------------------

 Siehe Englische Anleitung!


 Der Integrierte Virenschutz
 ---------------------------

  Das Programm enthält einen integrierten Checksummentester, um einen
  möglichen Virenbefall gleich anzeigen zu können.  Die zum Programm gehörige
  Checksumme befindet sich in der Datei mit der Endung "XXX".

  Diese in der Datei befindliche Checksumme sowie das Hauptprogramm dürfen auf
  keinen Fall verändert bzw.  modifiziert werden!  Das Hauptprogramm nimmt
  sonst an, es sei eventuell von einem Virus befallen worden (dem Programm
  noch unbekannter Virus)!

  Folgende Merkmale der EXE-Datei werden überwacht und auf Veränderungen
  überprüft:

  ¦ Checksumme - Wird auch nur ein Bit des Programms vom Virus verändert, so
  stimmt die Checksumme nicht mehr (eigene sichere Routine, nach ANSI X3.66 -
  CRC-Polynom ist: 0xDEBB20E3).

  ¦ Dateilänge - Wird ein Programm über Nacht um ein oder zwei KB länger,
  ist es infiziert!

  Ich rate ab, irgendwelche Änderungen an der EXE & XXX-Datei durchzuführen,
  da dann das Programm mit Sicherheit nicht mehr läuft! Die Datei mit der
  Endung "XXX" enthält auch die aktuelle Version, wie viel verschiedene Viren
  vom Checksummentester erkannt werden können. Das Testen der Checksumme nimmt
  ca.  1-2 Sekunden Zeit in Anspruch (je nach Rechnertyp und Laufwerk).
  Meiner Ansicht nach ein vertretbarer Aufwand!  Ist die Checksumme in
  Ordnung, wird das Programm ausgeführt. Andernfalls wird eine ausführliche
  Fehlermeldung mit Hinweisen auf mögliche Fehlerquellen ausgegeben.


Sonstiges
---------

  Wenn Sie die Vollversionen meiner Antivirensoftware erwerben wollen, so
  starten Sie bitte das Programm REGISTER.COM und ein Bestellschein wird
  ausgedruckt.

  Übrigens ist MemScan von 380 KB auf z.  Z.  85 KB EXE + 180 KB Overlay
  komprimiert!


Was ist neu?
------------


   Version          Änderungen
  #######################################################################

   3.00             Teile von MemScan wurden in die Overlay-
                    Datei MEMSCAN.OVR ausgelagert, deshalb
                    benötigt MemScan jetzt 50 KB weniger
                    Arbeitsspeicher. Checksummentester hinzugefügt.
   3.10             Erweiterter 'Am I There' Virentest.
   3.17             Wartet jetzt nicht mehr auf Tastendruck,
                    wenn KEIN Virus gefunden wurde!
   3.33             Anzahl von erkannten Viren ca. 3.000 Stück!
   3.36             Den Paket liegt jetzt auch HMS.COM bei.
   3.50             Live Bait Test um unbekannte Dateiviren zu
                    erkennen.
   3.53             Neue ChkPC Version (Hare & Boot-437)
   3.55             50 neue Viren, u.a. CriCri & Grief.
   3.98             4180 Viren. QMS, TestBoot & HMS wurden
                    erheblich erweitert. Der LiveBait Test
                    wurde erheblich verbessert.

   4.xx             Neue Viren.

   5.0.1            Komplett überarbeitet Version. Programmführung
                    in Englischer Sprache!
   5.1.0            Stealth Live Goat Test hinzugefügt.
   5.6              /NOPATHCOMPANION, /NOLIVEBAIT
   5.7              /NoMem
   6.0              Win32 Live Bait Test
   6.2.7            /NoWin32Test, /NoStealthTest, Doku überarbeitet
   6.3.1            Englische Dokumentation
   6.5.5            /NoHMA verbessert, Probleme mit HMA/A20 Gate behoben
   6.7              Kommandozeile wird ausgegeben
   9.5.5            An DosEMU (Linux) angepasst
   10.4             Dokumentation angepasst/erweitert (12/2018)
   14.1             Erhebliche interne Verbesserungen (07/2021)



BANNERWARE von ROSE
-------------------

Dieses Programm darf frei kopiert und weitergegeben werden. Es handelt sich hier
um sog. Bannerware, d.h. ich lege nur Wert darauf, das folgende Vereinbarungen
eingehalten werden:

    * das Copyright liegt bei ROSE SWE, Ralph Roth (sog. BANNER)
    * ein Verkauf und/oder gewerbliche Weitergabe der Programme ist
      verboten. Keine kommerzielle Weitergabe ohne unseres
      schriftliches Einverständnis!
    * die Programme MÜSSEN kostenlos bzw. gegen eine kleine Kopiergebühr
      (Sharewarehändler) weitergegeben werden (max. Euro 10).
    * keine Haftung für jegliche denkbare Fehler!
    * die Programme/Dokumentationen dürfen nicht verändert werden!
    * das Programmpaket muss komplett und unverändert weitergegeben
      werden!

Wer diese Bestimmungen nicht einhält begeht unter Umständen eine
(C)opyrightverletzung und macht sich eventuell strafbar! ;-)))



(C)opyright by (ALL RIGHTS RESERVED!)


__________ ________    ____________________   ___________      _____________
\______   \\_____  \  /   _____/\_   _____/  /   _____/  \    /  \_   _____/
 |       _/ /   |   \ \_____  \  |    __)_   \_____  \\   \/\/   /|    __)_
 |    |   \/    |    \/        \ |        \  /        \\        / |        \
 |____|_  /\_______  /_______  //_______  / /_______  / \__/\  / /_______  /
        \/         \/        \/         \/          \/       \/          \/

 -------------------------------------=-----------------------------------
     ROSE SWE                           See ROSEBBS.TXT for
     Dipl.-Ing. Ralph Roth              full address, FAX and PGP keys.
     http://rose.rult.at
     rose_swe@hotmail.com               All Rights Reserved!
 -------------------------------------=-----------------------------------





FAQ/Tipps (Deutsch)
------------------

Ein Tipp noch, wie Sie vielleicht einen Datei-/Bootvirus erkennen können:

1.) MemScan -unb -high
2.) qms -unb
3.) testboot.exe als letzten Befehl in die Autoexec.bat einbinden
4.) rhbvs -auto -log -all -high
