$Header: /home/cvs/src/asm/bootkill/hms.doc,v 1.29 2024/12/11 09:17:31 ralph Exp $


 HMS - Heuristischer Memory Scanner fr DOS - berprft den PC auf DOS Viren
           (C)opyr. 1992-2025 by ROSE SWE, Dipl.-Ing. Ralph Roth

   ----------------------------------------------------------------------
                       ___ ___    _____    _________
                      /   |   \  /     \  /   _____/
                     /    ~    \/  \ /  \ \_____  \
                     \    Y    /    Y    \/        \
                      \___|_  /\____|__  /_______  /
                            \/         \/        \/
   ----------------------------------------------------------------------

Virenscanner fr DOS Betriebssystem. Auch unter Windows einsetzbar (getestet
mit Win95 bis Windows 7).


Funktion:
~~~~~~~~~

HMS ist ein Programm zum Erkennen von bekannten und UNBEKANNTEN (neuen) Viren im
DOS Arbeitsspeicher. Viele DOS Viren laden sich selbst in den Arbeitsspeicher
und berwachen das Ausfhren von Programmen durch DOS. Wird ein Programm
ausgefhrt, berprft der Virus ob es schon infiziert ist oder infiziert es.
Damit der Virus sich nicht laufend neu installiert, berprft er, ob er schon
'speicherresident' ist. Diese berprfung fhrt HMS ebenfalls durch.
Normalerweise erhlt HMS jedoch als Rckgabewert einen 'Fehler'. Falls kein
Fehler zurckgegeben wird, knnte ein Virus diese Funktion belegen! Damit HMS
keine Fehlalarme erzeugt, wurde HMS unter den verschiedensten Konfigurationen
getestet und teilweise auch auf verschiedene Programme angepasst. So wurde HMS
u. a. unter folgenden Betriebssystem/Konfigurationen getestet:


  *        Original MS-DOS 3.10, 3.21, 3.30, 3.31, 4.01, 5.00, 6.00, 6.20, 6.22
  *        PC-, Tulip- & Compac-DOS 3.31, 4.01, 5.00, 6.00
  *        DR-DOS 3.41, 5.00 & 6.00
  *        OS/2 1.x, 2.0, 2.1 (Achtung: Luft nicht mit OS/2 Warp!)
  *        Windows 3.1x, Novell Netware, RTX-DOS, QEMM, IBM LAN Manager,
  *        386 MAX, MS LAN Manager, SCROLLit 1.3,
  *        MS-DosShell, CEMM und verschiedenen residenten Antivirenprogrammen
  *        (VSAFE, TSAFE, SVS, DEFENDER, VDEFENDER, VIRSTOP u.a.)
  *        Novell DOS 7.0 - bis Patchlevel 13 (Englisch) und Patchlevel 15 (Dt)
  *        OpenDOS 7.01, 7.02, 7.03 (Caldera)
  *        Windows 95/95a-95c, 98SE, Windows NT 4.0 SP 1..SP 6a
  *        Win2K.RC3, Win2K SP1, SP2, WinME, Win-XP, Windows Vista, Windows 7
  *        FreeDOS Beta 8 und 1.00 mit FreeCOM (FAT16 und FAT32 Kernel)
  *        FreeDOS 1.1 mit HimemX 3.34

Zustzlich wurde HMS in Verbindung mit ber 50 verschiedenen
speicherresidenten Programmen ausfhrlich ausgetestet und teilweise angepasst!

Inkompatibilitten:
-------------------

HMS funktioniert nicht mit folgenden Programmen bzw. Betriebssystemen:

- TSafe (die Uraltversion von 1990) - speichert nicht alle Register ab!
- XRAY - HMS erkennt ob XRAY (1.09) installiert wurde und bricht ab.
- RIO (Rock Input-Output)
- RelRes (aus CT'91 - 27.06.91) ist total inkompatibel zu HMS, CHKPC
  und VSTOP.
- Novell DOS 7.0 (einige Funktionen werden deshalb nicht berprft!)
- OS/2 alle Versionen!
- Spezielle, unsauber programmierte Festplattentreiber, z.B.: SCSI
- DosBox 0.72, DosBox 0.74 = OK!
- Windows 64 bit


Arbeitsspeicher scannen:
------------------------

Das Programm HMS berprft den Arbeitsspeicher zustzlich auf folgende
bekannte Viren:

           Jerusalem Familie          >> 80 Varianten
           Vacsina + Yankee Doodle     - 48 Varianten
           Cascade Familie (1701/1704) - 14 Varianten
           Tequila                     -  3 Varianten
           Plastique (4.21/5.21/Cobol) - 11 Varianten
           Omicrone/Flip & Prism       -  6 Varianten
           Parity Boot, Tomalak etc.   -  3 Varianten
           EbbelWoi/King M.         mind. 3 Varianten
           Tremor (Tarnkappenvirus)    -  3 Varianten
           Natas (Tarnkappenvirus)  mind. 3 Varianten
           Hare Familie             mind. 3 Varianten
           Perfume (4711)              -  2 Varianten
           dBase, FSP Killer           je 1 Variante
           Neuroquila, Nighfall        je 2/3 Varianten
           MegaStealth                    1 Variante
           Spanska.4250                   1 Variante
           Implant                        2 Varianten
und weitere...


Sollten Sie DR-DOS verwenden, bricht HMS nach dieser Prfung ab (s. u.)!


Einsatz:
~~~~~~~~

Starten Sie Ihren Computer wie gewohnt. Fhren Sie HMS aus. HMS sollte jetzt
unter jeder berprften Funktion ein "--- OK! ---" melden. Sollte dies nicht
der Fall sein haben Sie wahrscheinlich ein Programm geladen, welches HMS
antwortet. Sollte HMS jedoch beispielsweise folgendes melden:

          :
          :
       AX vor Aufruf FE01, AX nach Aufruf 01FE!
          :
          :

wre (in diesem Fall) der Flip Virus aktiv. Lassen Sie sich jedoch nicht
verunsichern, dieses Programm soll ja nur ein Werkzeug darstellen. Versuchen Sie
in diesem Fall TSR's aus der AUTOEXEC.BAT und Device Treiber aus der CONFIG.SYS
zu deaktivieren. Bei MS-DOS 6.0 beim Booten die F5-Taste drcken und damit DOS
'nackt' booten. Meldet HMS nach der Deaktivierung keine Interrupt berschneidung
mehr, liegt eine Inkompatibilitt zu HMS vor! Bitte senden Sie mir das
entsprechende Programm zu! Zum berprfen, welche Programme speicherresident
geladen wurden, knnen Sie auch das Programm RESIDENT mit der Option '/a-'
verwenden! Falls es Probleme mit irgendeinem Programm geben sollte, sollten Sie
Ihrem Schreiben auf jedem Fall einen Ausdruck von ROSEDIAG beilegen. Einen
Ausdruck erstellen Sie wie folgt:

                            rosediag > lpt1:
                                 und
                               hms > lpt1:
                    (anschlieend eine Taste drcken)

Sollte HMS jedoch keine Interrupt berschneidung melden, knnen Sie HMS in die
AUTOEXEC.BAT einbinden um einen grtmglichen Schutz zu gewhrleisten. Sollte
sich nmlich jetzt ein Virus einnisten, knnte es zu eine Interrupt
berschneidung fhren, die eventuell beim Start von HMS angezeigt werden knnte!

HMS (und die anderen Antivirenprogramme) besitzen einen einzigartigen
Selbstschutz, der teilweise aktive Tarnkappenviren erkennt und entsprechend den
Virus deaktiviert! So erkennt HMS z. B. den Shiny-Virus und hlt das Programm
vorsichtshalber an!


Parameter:
~~~~~~~~~~

HMS kann mit verschiedenen Parameter an Ihre Bedrfnisse angepasst werden. Um
eine bersicht der aktuellen Parameter zu erhalten, starten Sie HMS mit dem
Parameter '/?' (-> HMS /?).


Parameter /N+
~~~~~~~~~~~~~

Mit dem Parameter /N+ knnen Sie HMS anweisen, auch die Funktionen, die
normalerweise Novell Netware bzw. andere Netzwerke belegen zu berprfen.
WARNUNG: Falls Sie diese Option in Verbindung mit einem Netzwerktreiber
ausfhren, kommt es zu einen Systemzusammenbruch Ihres Arbeitsrechners oder
sogar des Netzwerkes! Aus diesem Grund muss diese Option explizit angeben
werden. Falls von HMS ein Netzwerk gefunden wird, wird automatisch die Option
/N+ gesperrt! Die Option /N+ ist nur fr nicht vernetzte Rechner sinnvoll, oder
bevor irgendein Netzwerktreiber geladen wird (z.B.: erstes Programm in der
AUTOEXEC.BAT)!

Tipps fr reine DOS Rechner
~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wenn Sie einen grtmglichen Schutz gegen eine Vireninfektion wnschen, binden
Sie bitte wie folgt die Programme HMS, CHKPC und VSTOP in Ihre
AUTOEXEC.BAT-Datei ein (Reihenfolge beachten):

        C:\VIRSCAN\TOOLS\QMS.EXE
        C:\VIRSCAN\TOOLS\CHKPC.COM -p
        C:\VIRSCAN\TOOLS\HMS.COM /n+
        C:\VIRSCAN\TOOLS\VSTOP.COM -w

Falls Sie die Programme in ein anderes Verzeichnis installiert haben, mssen
Sie die Pfade entsprechend anpassen. Fgen Sie die drei Zeilen gegen Ende der
Datei ein, um einen grtmglichen Schutz zu gewhrleisten.


Hinweis:
~~~~~~~~

Eventuell nicht geeignet fr DR-DOS, SCSI-Treiber und CD-ROM. HMS berprft sich
selbst auf Virenbefall oder Vernderungen und sollte deshalb in die AUTOEXEC.BAT
(siehe oben) integriert werden! Durch einen integrierten Checksummentest kann
das Programm nicht mehr gendert werden. HMS merkt hierdurch teilweise sogar
eine Infektion durch Tarnkappenviren (Stealthviren)!


Lizenz Vereinbarung
~~~~~~~~~~~~~~~~~~~

HMS ist BANNERWARE (darf privat umsonst benutzt werden)! MODIFIZIEREN, AENDERN,
DIESE ANLEITUNG WEGLASSEN UNTERSAGT! JEDE KOMMERZIELLE WEITERGABE/NUTZUNG
UNTERSAGT! Weitere Nutzungslizenzbestimmungen: LIZENZ.DOC und FREEWARE.COM!
Jede kommerzielle Verwendung erfordert unsere schriftliche Einverstndnis
(auch Bundling, Verffentlichung in Zeitschriften u. .)!


Credits:
~~~~~~~~

    Joerg Abdinghoff:   Win-XP Test


Garantieausschlusserklrung:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Das Programm HMS kann unter Umstnden andere speicherresidente Software
beeinflussen! Es wre theoretisch mglich, das es zu Seiteneffekten kommen
knnte (solche Seiteneffekte wurden jedoch noch nicht festgestellt)!

Unter keinen Umstnden ist der Programmautor Ralph Roth haftbar fr jegliche
Folgeschden, einschlielich aller entgangenen Gewinne und Vermgensverluste,
oder anderer mittelbarer und unmittelbarer Schden, die durch den Gebrauch oder
die Nichtverwendbarkeit dieser Software und ihrer begleitenden Dokumentationen
entsteht. Dies gilt auch dann, wenn der Autor ber die Mglichkeit solcher
Schden unterrichtet war oder ist!


(C)opyright by (ALL RIGHTS RESERVED!)


__________ ________    ____________________   ___________      _____________
\______   \\_____  \  /   _____/\_   _____/  /   _____/  \    /  \_   _____/
 |       _/ /   |   \ \_____  \  |    __)_   \_____  \\   \/\/   /|    __)_
 |    |   \/    |    \/        \ |        \  /        \\        / |        \
 |____|_  /\_______  /_______  //_______  / /_______  / \__/\  / /_______  /
        \/         \/        \/         \/          \/       \/          \/

 -------------------------------------=-----------------------------------
     ROSE SWE                           See ROSEBBS.TXT for
     Dipl.-Ing. Ralph Roth              full address, FAX and PGP keys.
     http://rose.rult.at
     rose_swe@hotmail.com               All Rights Reserved!
 -------------------------------------=-----------------------------------



/Ende/
