############################################################################## Antidote v3.7 ½ 1990-1996, Kai Holst Fecha publicaci¢n: 28 de Septiembre de 1994 Documentaci¢n : 12 de Marzo de 1996 ############################################################################## Indice de contenidos: 1: Introducci¢n - si no sabes para que vale, realmente, Antidote 2: Direcciones de contacto - como entrar en contaco 3: Informaci¢n de la versi¢n - que es ahora el programa 4: Historia de Antidote - a que se parec¡an las versiones viejas 5: Pantalla de informaci¢n de sistema - que es, que muestra y como funciona 6: Escaneando virus - que es lo que hace Antidote 7: Planes futuros - ¨qu‚ ser  en el futuro? 8: Un peque¤a secci¢n para programadores 9: Responsabilidades - el trozo que nadie se aburre en leer ############################################################################## PRACTICA HEX SEGURO - USA ANTIDOTE! ############################################################################## Parte 1 Introducci¢n si no sabes para que vale, realmente, Antidote Antidote es un antivirus para todas las computadoras TOS de Atari. Con una gran cantidad de caracter¡sticas avanzadas que no incluye otro antivirus, se ha convertido en una poderosa herramienta en la batalla contra los virus inform ticos de los pasados a¤os y, aunque no se ha realizado ning£n trabajo para mejorar Antidote desde septiembre de 1994, es un hecho que poca gente discute que este programa es una de las mejores aplicaciones de protecci¢n realizadas para el Atari. Con un suave y r pido entorno GEM, Antidote es extremadamente f cil de usar, y de hecho, la idea de que sea c¢modo en su uso ha sido vital durante todo el proceso de su desarrollo. Ambas, las versiones mas viejas, que est n basadas en un sistema de di logo no basado en el GEM (de 1990 a 1993) y la versiones mas recientes GEM, son muy f ciles de usar, con di logos informativos y simplificados. Tambi‚n, gracias a la opci¢n de tener di logos en ventanas (el programa por defecto arranca as¡), Antidote es completamente mutitarea, e incluso siempre trabajar  mas r pido bajo entornos multitarea que otros antivirus siendo ejecutados en un entorno simple. No te creas mis palabras, pru‚balo y dime si estoy diciendo mentiras. En busca de la compatibilidad, Antidote funciona absolutamente en todas las m quinas TOS de Atari desde sus principios - en versiones TOS de la 1.0 fechada all  en 1985 o 1986 a las £ltimas versiones AES multitarea, en m quinas con solo 256Kb de RAM (actualmente esto es cierto) y usando cualquier programa residente, accesorios o desktops alternativos que puedas poseer. Antidote ha sido ejecutado con ‚xito bajo TOS, MiNT, Geneva y Magic. Deber¡a ser compatible al 100% con futuras ediciones de estos o de otros entornos. Quiz s, la mejor parte de Antidote es que es gratuito. No hay, absolutamente, ninguna obligaci¢n de enviarme dinero o cualquier otra gratificaci¢n si usas Antidote de forma continua o lo usa espor dicamente. Prob‚ ello durante un corto periodo de tiempo antes de que desapareciese, y solo recib¡ dos registros y tres o cuatro e-mail anim ndome. Ese sistema no funcionaba. Porfavor, £salo tan amenudo como lo necesites, y si‚ntete libre de distribuirlo en librerias de dominio p£blico, FTP y a todos tus amigos. Y ya sabeis, una carta con algunas palabras de lo que os a parecido Antidote puede que me animen a realizar alguna mejora. As¡ que ¨qu‚ tal una postal o un e-mail? Mirar mas abajo para la direcci¢n... As¡ que ahora lee el resto del manual (incluso las responsabilidades) y entonces ve con el antivirus. Recuerda, hex es mejor cuando se practica seguro... ############################################################################## Parte 2 Direcciones de contacto como entrar en contaco Correo postal: Kai Trygve Holst Postboks 5061, Larsg†rden N-6021 lesund Noruega E-mail kh@www.hials.no WWW http://www.hials.no/~kh/ Tel‚fono Actualmente no disponible (desafortunadamente) ############################################################################## Parte 3 Informaci¢n de la versi¢n que es ahora el programa La versi¢n de Antidote suministrada con este peque¤o manual deber¡a ser la v/3.7, que se finalizo el 28 de septiembre de 1994. Fue una versi¢n beta solo para probar unas pocas nuevas opciones, y distribuida a un peque¤o grupo de personas el mismo d¡a por e-mail. Debido al estado beta del programa, las estad¡sticas de reconocimiento no son muy vistosas, reconoce unos 211 bootsectors (demos, juegos comerciales, etc), 155 programas residentes (TSR), 64 entradas cookies distintas, 6 bootsectors de antivirus, 21 compresores conocidos, todos los 5 virus link y conoce 64 virus de bootsector. Es bastante para ponerlo el tercero en el ranking de antivirus de Atari, incluso en el segundo puesto. La versi¢n 3.7 no tiene caracter¡sticas eliminadas. Eliminar  virus del bootsector de un disco, puede, satisfactoriamente, eliminar tres de los virus link conocidos, sin da¤ar el fichero (lo cual creo que es £nico pues los otros antivirus los quitan pero tiende a generar un fichero inutilizable), y lo mas interesante de todo, si un virus a infectado la m quina es capaz de eliminar los trozos de c¢digo de este virus que se esconden en las traps del sistema, con lo que muy posible que las capacidades destructivas del virus se vean bloqueadas por este antivirus. Cuando se procede a la eliminaci¢n de un virus link, hay una cosa que deber¡as saber: los tres virus link que satisfactoriamente son eliminados son #3 (Uluru), #4 (Papa & Garfield) y #5 (Crash). La eliminaci¢n de estos es perfecta. Si te topas con el virus link Milzbrand (#1), tambi‚n se te preguntar  si quieres eliminarlo. NO RESPONDAS QUE SI. El c¢digo implementado en la v/3.7 es ALTAMENTE beta, y tiene una probabilidad de ‚xito menor del 10% (acabo de empezar a estudiar este virus) recuerda esto. Hay un £nico erro conocido y no podr s verlo a no ser que tengas una estructura de disco enorme. Implemente una rutina ultra-r pida de escaneo de disco usada para buscar virus link y es capaz de escanear mas de 250 ficheros por segundo en un disco duro r pido. De cualquier forma no est  completamente depurada y dar  un mensaje de error si ocurre lo siguiente: es encontrado un programa comprimido o infectado durante el escaneo, que ocupa el cluster XXX de la partici¢n del disco duro. Recuperar  la estructura de directorio, y si encuentra una carpeta borrada que hace referencia al cluster XXX buscar  en ella el nombre de fichero. Esto puede dar lugar a un nombre de fichero inusu lmente largo y la m quina se queda detenida. La m quina no parece que est‚ colgada. Ser  eliminado cuando presente una nueva versi¢n. Otra cosa a tener en cuenta del programa es que puede ocasionalmente sacar una caja de alerta con alguna informaci¢n que he a¤adido a ella, esto solo sucede cuando se producen llamadas GEM desconocidas o cuando el programa calcual que tiene que detenerse. Lo £ltimo no es muy aconsejable que suceda... Uno o dos d¡as despu‚s de que esta versi¢n fuese compilada, un accidente desafortunado ocurri¢ en mi disco duro perdiendo toda la informaci¢n que ten¡a en ‚l y dej ndome solo peque¤as partes de mi c¢digo y de mis b£squedas. Tambi‚n perd¡ de forma irrevocable todos los programas que ten¡a en ‚l. As¡ que el programa que hay en esta versi¢n es mi copia personal que ten¡a en un disco y lleva el n£mero de serie 00000 (cero). Pulsa Control-I en cualquier di logo de Antidote para sacar una caja de alerta que te confirme esto. Despu‚s de este accidente dej‚ de programas, por razones obvias, y hasta ahora no hab¡a pensado en continuar el proyecto Antidote. Porfavor, lee mas abajo para mas informaci¢n sobre (posibles) ediciones futuras. ############################################################################## Parte 4 Historia de Antidote a que se parec¡an las versiones viejas Esta secci¢n no estar  disponible hasta la siguiente publicaci¢n de Antidote. ############################################################################## Parte 5 Pantalla de informaci¢n de sistema que es, que muestra y como funciona El explorador de sistema (como he elegido llamarlo) alcanz¢ su versi¢n 9.12 aunque Antidote ha llegado a su versi¢n 3.7. He elegido mantener n£meros de versiones separadas simplemente porque Antidote era un Antivirus y, solo las diferencias entre sus capacidades como antivirus, cambiaban su n£mero de versi¢n, pero siempre que el sistema de exploraci¢n cambiaba le daba nuevo n£mero de versi¢n cada vez, independientemente del resto del programa. El uso b sico del sistema de exploraci¢n es permitir la b£squeda dentro de las traps de sistema y trazar los programas residentes y virus. El propio di logo est  confeccionado, claramente, en secciones, mostrando ocho traps de sistema seleccionadas (gemdos, aes, bios, xbios, hdv_bpb, hdv_rw, hdv_mcv y el vector reset), informaci¢n de hardware, informaci¢n RAM, informaci¢n del medio y alguna informaci¢n de software y sistema operativo. Un n£mero de objetos en el di logo son seleccionables: si el explorador ha detectado que una trap de sistema ha sido usada por un programa residente, el correspondiente objeto pasa de un estado inactivo a un estado activo y se convierte en seleccionable apareciendo un texto descriptivo. Adem s, el explorador intenta encontrar el camino a trav‚s de la trap y buscar otros programas que tambi‚n hagan un uso particular de la trap, todo hasta una direcci¢n que apunte a la ROM o a un programa que no permita una b£squeda a trav‚s de ‚l. Se que suena un poco complicado, pero son las cinco de la madrugada cuando estoy escribiendo esto, y b sicamente solo pienso en mi cama. Para hacer esto un poco mas f cil pondremos un ejemplo: Digamos que enciendes tu ordenador e instalas los siguientes programas en la carpeta AUTO: MultiDialog, NVDI y Selectric¿ (aqu¡ asumo que conoces estos programas...). Adem s has instalado un RAM disk resistente al reset desconocido por Antidote, y que est  instalado el £ltimo de los cuatro. Entonces, dejadme decir que, todos estos programas tienen una cosa en com£n, usan el vector Bios (trap #13), el cual comprueba Antidote. B sicamente lo que aparecer  en el explorador de sistema en el objeto Bios es el texto "Trap #13: Unknown". Si usas un monitor a color, el texto aparecer  en rojo, en cualquir caso, el objeto es seleccionable. Las otras traps aparecer n en verde lo que indica que solo programas conocidos, no conflictivos, han interceptado ese vector (estos objetos tambi‚n son seleccionables), y los objetos que no son seleccionables indican que ese vector apunta directamente a la ROM. Pero volvamos otra vez al vector bios. Clickeando en este objeto se cerrar  la ventana y abrir  otra ventana mas peque¤a con un di logo mas peque¤o en ella. En este di logo puedes ver otros objetos como: => $00154A08 : Unknown VPF: 10% SRam => $001227BC : Selectric¿ File Selector SLCT => $00062496 : NVDI Screen Accelerator NVDI => $0004030A : Unknown VPF: 0% MDIA => $00E00D3E : ROM Routine End Esta es una lista de los programas que actualmente interceptan la trap de sistema Bios. Esto, lo que significa es que, cuando un programa intenta hacer una llamada Bios (trap #13) el sistema salta a la direcci¢n del £ltimo programa para interceptar el vector (en este caso el RAM-disk). El c¢digo de este programa, entonces, examina la llamada bios para ver si tiene que realizar alg£n proceso, si es as¡ hace lo que se supone que tiene que hacer y entonces, probablemente, devuelve el control al programa que lo llam¢; en otro caso salta al siguiente programa de la cadena (en este caso Selectric¿). Esto continua hasta que alcanza la TOS. As¡, que esto es todo lo que significa, ¨entonces? Bueno, la flecha de la izquierda significa que es una direcci¢n. Entonces viene la direcci¢n donde apunta el vector y luego un nombre describi‚ndolo. Impreso en negro si es un programa conocido o una direcci¢n ROM y en verde si es desconocido. Si es desconocido, Antidote tambi‚n intenta examinar el c¢digo alrededor del vector para ver caracter¡sticas de virus conocidos (c¢digo da¤ino) - el resultado de este examen es reflejado en el Factor de Probabilidad de Virus (VPF entre amigos - gracias a Richard Karsmakers, autor de UVK, por este nombre) que se muestra solo en los programas desconocidos. Y finalmente, en la parte derecha, se muestra el identificador XBRA del programa, si hay alguno (por favor, mira otra documentaci¢n para mas informaci¢n sobre XBRA). Si la lista de programas residentes es mas larga que diez (que son el m ximo n£mero de l¡neas mostradas en el di logo) puedes hacer un scroll arriba o abajo usando los botones de la parte inferior de la ventana. Pulsa "Return to menu" para volver al explorador de sistema. Para mas documentaci¢n del explorador de sistema (incluyendo informaci¢n sobre las Cookie Jar, las Goodie Bag e informaci¢n de como Antidote actualmente elimina virus de memoria, tendr s que esperar la documentaci¢n de version(es) futura(s). Estoy demasiado cansado para escribir ahora de forma correcta todo eso. ############################################################################## Parte 6 Escaneando virus que es lo que hace Antidote Bien, ahora vamos al trabajo. Antidote se dedica a detectar y eliminar virus, y este trabajo se realiza en un di logo sencillo al cual puedes entrar desde el men£ principal. El di logo "Check" est  dividido en secciones con diferentes ‚nfasis, dependiendo del tipo de acci¢n que quieras tomar. Aqu¡ ir‚ por las secciones una a una. "Search for link-viruses" - Esta parte contiene botones seleccionables para cada uno de los discos de tu sistema. Cuando un bot¢n es presionado, se resalta y, b sicamente, esto es todo lo que realiza. Puedes resaltar mas de un bot¢n (por ejemplo, "C", "D", "E" y "F" si tienes un disco duro en tu sistema) y cuando el escaneo de virus es iniciado, todas las unidades de disco marcadas son escaneada para encontrar virus tipo link. "Bootsector" - Similar a las opciones de los virus link. Esta secci¢n muestra botones de unidades seleccionables, de A a C, si est n activas en tu sistema. Cuando son seleccionadas aparecen resaltadas y cuando se inicia la comprobaci¢n se busca en todas esas unidades los virus de arranque. "Scan Type" - Hay aqu¡ dos opciones "GEMDOS" y "Enhanced". Esto se refiere a los dos modos que puedes usar escaneando un disco o partici¢n en b£squeda de virus link. El modo GEMDOS es el modo estandar, tal como se usa por otros antivirus. Puede garantizar su funcionamiento en sistema de ficheros TOS/DOS y es tambi‚n el mas lento de los dos. El modo Enhanced usa una rutina escrita por mi amigo Gard Eggesb³ Abrahamsen para incrementar la velocidad de b£squeda de virus link algo mas de un 900%. Desafortunadamente esta rutina solo funciona en sistemas de ficheros estandar TOS. Mejoras para hacer uso de las ventajas de Minix y de otros sistemas operativos est n, todav¡a, pendientes. "Show Filename" - Esta opci¢n solo tiene efecto en el modo de escaneo GEMDOS. Si se establece "Yes", el nombre de los ficheros que se est  escaneando en busca de virus link son mostrados en el di logo scan. "Pack notify" - Si se establece "Yes", esta opci¢n fuerza a Antidote a darte una caja de alerta notific ndote que est  en un fichero ejecutable comprimido por alguno de los compresores que conoce. "Cancel" y "OK" - simplemente ign¢ralos. Tienen que ver con una opci¢n implementada de forma incorrecta. La idea era que si tu estableces una configuraci¢n en este di logo la usar s siempre una vez a la semana (chequear todas las particiones de tu disco dura, a parte de los sectores de arranque, en modo Enhanced, desactivar la opci¢n de mostrar nombres y activar la de notificar los comprimidos). Pod¡as grabar estos par metros en un fichero de informaci¢n ("Save Options" en la pantalla de informaci¢n). Sin embargo, nunca he estado de acuerdo con el formato de fichero de informaci¢n que eleg¡, as¡ que esta opci¢n puede que no sea usada en el futuro. F¡jate que grabar las opciones funciona y puedes tener as¡ una configuraci¢n por defecto. Puede que te ahorre unos segundos. "Go" - Inicia la b£squeda de virus. Si has pedido que busque en alg£n sector de arranque se realizar  este test primero, seguido por eventuales escaneos de discos o discos duros en busca de virus link. Si se encuentra algo, se te indicar  una acci¢n a realizar antes de que Antidote continue. ############################################################################## Parte 7 Planes futuros ¨qu‚ ser  en el futuro? Si, actualmente estoy trabajando en una nueva versi¢n de Antidote, desde su desaparici¢n. Habr  un gran n£mero de cambios, el aspecto estar  cambiado, mucho c¢digo probablemente sea optimizado un poco, la estad¡stica de reconocimiento se mejorar  considerablemente y el programa entero ser  realizado en C, al contrario que las versiones anteriores que est n programadas totalemente en GFA Basic (con un poco de lenguaje ensamblador en segmentos INLINE). Esto es una lista de haceres o, como a mi me gusta decir, querer hacer: * Cambio de dise¤o - mas lineas en los di logos con meno paja. - Ayuda en linea, usando ST Guide o el sistema de Geneva. * Determinaci¢n mas segura de RAM. * Libreria de ventana mejorada con capacidades de ventanas m£ltiples. - Ficheros de recurso multilingues. - Documentaci¢n multilingue. - Soporte de nombres de ficheros largos. - Actuaciones no GEM - en caso de MiNT-OS o shell de comandos. - Interpretaci¢n de l¡neas de comandos - por la misma raz¢n que arriba... - Soporte XACC. - Soporte AV. - Soporte de iconificaci¢n. - Soporte de "arrastrar y dejar". - Mejorar las estad¡sticas de reconocimiento. - Eliminar TODOS los virus link. - Librer¡a de sectores de arranque desconocidos. - Habilidad para almacenar sectores de arranque desconocidos y reconocerlos a partir de la base de datos. - Habilidad para reparar sectores de arranque de juegos comerciales. Los puntos marcados con un arterisco (*) ya est n acabados. El resto tendr n que llegar mas tarde. Se que otros antivirus ya tienen algunas de las cosas que he mencionado, pero eso no me quita esta idea, simplemente tengo que hacer Antidote mejor que esos programas. ############################################################################## Parte 8 Un peque¤a secci¢n para programadores En la siguiente edici¢n de Antidote, esta secci¢n contendr  informaci¢n sobre como interaccionar con Antidote via protocolos estandar de comunicaci¢n interna, como se describen en las notas publicadas de "GBell" y "PAnTHer", dos piezas excelentes de software escritas por mi amigo Gard Eggesb³ Abrahamsen. ############################################################################## Parte 9 Responsabilidades el trozo que nadie se aburre en leer El autor del software descrito en esta documentaci¢n no admite ninguna responsabilidad por cualquier tipo de da¤o producido, directa o indirectamente por este software. El programa descrito aqu¡ ha sido profundamente depurado para la m xima seguridad, pero debido a su estado beta puede que uno o dos errores se hayan escapado. Quiero hacer incapie en el hecho de que toda la responsabilidad es solamente tuya. Incondicionalmente. ##############################################################################