┌──┌─┐┌──
──┘├─┘──┘ Presents
┐  ┌┐┐┌─┤ VMag, Issue 3, 1 January 1999
└─┘┘ ┘└─┘ ─────────────────────────────

                  WELCOME to VirusHalt Protect (VH-P).
		       версия 1.2.1 от 21/04/1997
	              Автор: Andrew V. Basharimoff
			   FIDO: 2:454/2.175

1. Описание.
~~~~~~~~~~~~
Программа VirusHalt предназначена для защиты Главной загрузочной  записи
жесткого диска (MBR) и нулевого трека первого винчестера от записи. При-
нцип ее работы	состоит  в следующем: содержимое MBR диска заменяется на
программу, остающуюся в памяти резидентно при загрузке компьютера.Данная
программа перехватывает вектор Int 13h (обмен данными с диском), а также
Int 15h (AT сервис) и при попытке записи MBR либо любого другого сектора
ра на  нулевом	треке винчестера выдает соответствующее предупреждение и
останавливает систему.Программа реагирует аналогичным образом на попытки
форматирования винчестерских дисков. Более того, на AT-совместимых маши-
нах  провести	операцию  доступа  к диску через BIOS, минуя резидентную
часть VH-P, будет невозможно. Кроме этого,  при каждой загрузке проверя-
ется  целостность  кода  загрузчика  MBR и при искажении его содержимого
на  экран  выдается соответствующее сообщение и MBR исправляется, причем
доступ производится напрямую через BIOS.Это позволяет с довольно высокой
вероятностью  заблокировать  заражение	машины	вирусом, поражающим MBR.
Программа также проверяет CRC собственного кода и при ее изменении выда-
ет соответствующее предупреждение.

Так почему же Вам следует установить VH-P на свой винчестер?

1. VH-P является единственной альтернативой защиты MBR при записи вируса
на винчестер путем непосредственного программирования портов последнего.
В  этом случае опция BIOS Virus Warning не сработает и Вы пропустите по-
явление на Вашем компьютере вируса.

2. VH-P реагирует на несанкционированные, возможно, вирусные действия по
записи	на  нулевой трек  винчестера  или его форматирования по принципу
"защиты от дурака".Т.е. на экран выдается соответствующее предупреждение
и работа компьютера блокируется.Это позволяет с довольно высокой вероят-
ностью защитится от многих загрузочных и файловозагрузочных вирусов даже
неподготовленному пользователю.Зараженная программа просто не сможет ра-
ботать. В частности, этот  эффект  может  спасти Вас от заражения такими
достаточно опасными вирусами как OneHalf, Neurobasher...

3. ... ... ...

2. Использование.
~~~~~~~~~~~~~~~~~
   VIRUHALT /Опции

где Опции:

 I - инсталлировать VH-P на винчестер.
 R - удалить VH-P c винчестера.

ВНИМАНИЕ! При  инсталляции  VirusHalt на винчестер предварительно убеди-
тесь в отсуствии в памяти и на диске (в MBR) вирусов!

3. Примечания.
~~~~~~~~~~~~~~
а) VH-P  занимает 1Кбайт в старших адресах памяти, поэтому некоторые ан-
тивирусы могут выдавать соответствующие предупреждения.

б)  Надежная  работа VH-P  обеспечивается на машинах AT-класса. На PC XT
Int 15h не обрабатывается и поэтому  некоторые вирусы смогут все же про-
никнуть на Ваш винчестер.

в) VH-P использует  следующие сектора  для своих  внутренних  целей (при
обозначении цилиндр/головка/сектор): 0/0/4, 0/0/5, 0/0/6. Перед установ-
кой  не поленитесь  узнать: и спользуются  ли данные сектора программным
обеспечением, установленным на Вашей PC?

г) Возможно,  после  заражения винчестера  вирусом компьютер, защищенный
VH-P при загрузке выдаст сообщение:

VH-P has been corrupted. System halted.

Это  может  произойти, если вирус  перезапишет	хотя бы один из секторов
0/0/5  или 0/0/6, т.е.	уничтожит часть кода VH-P. В этом случае я реко-
мендую загрузиться с "чистой" системной дискеты и попытаться снять VH-P,
запустив VIRUHALT /R, а  затем	снова установив последний - VIRUHALT /I.
Если  такой  вариант  не проходит, т.е., если был уничтожен оригинальный
MBR или  искажен  код VH-P  в MBR рекомендую сделать FDISK /MBR, а затем
снова попытаться установить VH-P - VIRUHALT /I.

д) При загрузке возможна выдача сообщения:

Error loading operating system.

Это  может  произойти в  случае  сбоя чтения/записи сектора, содержащего
оригинальный (сохраненный) MBR, либо в случае повреждения его содержимо-
го. Для исправления рекомендую загрузиться с "чистой" системной дискеты,
дать команду FDISK /MBR, а затем снова установить VH-P командой VIRUHALT
/I.

е) Возможно, что при загрузке перестает выдаваться строка-копирайт VH-P.
Это может произойти, если Ваш  компьютер  инфицирован вирусом, полностью
замещающим программный код MBR (напр. AntiCMOS). В этом случае необходи-
мо загрузиться с "чистой" системной дискеты, сделать команду FDISK /MBR,
а затем установить VH-P командой VIRUHALT /I.

ж) Возможны проблемы с ADM, если установлен пароль с кодом выше 32. Поэ-
тому, если Вы все же решились установить VH-P, советую	уменьшить номера
паролей.

з) Если у Вас на винчестере установлен ADinf, то рекомендуется в его ус-
тановках  (только на PC AT)  указать  уровень  доступа	к   диску  через
Int 13h. !! Эта мера необходима только для версий ADinf младше 11.03. !!

и) Если же Вам необходимо перезаписать  MBR, то  сначала  удалите VH-P с
винчестера (опция /R), обязательно перезагрузитесь и только после этого
перезаписывайте MBR (напр. для переразбивки дисковых разделов FDISK).

к) При совместном использовании VirusHalt и программ  разграничения дос-
тупа  к  компьютеру, пытающихся использовать для  работы BIOS-вектор Int
13h, используя	трассировку, возможно  конфликты (зависание, выдача пре-
дупреждающих  сообщений и т.д.). Данный  эффект наблюдается из-за блоки-
ровки резидентным  обработчиком VH-P  трассировки Int 13h. Для избежания
подобного  рода  проявлений рекомендуется  отключать режим трассировки в
таких программах (WriteProtector и т.д.).

4. Upgrade.
~~~~~~~~~~~
а) Вставлена проверка целостности кода на всех этапах работы.

б) Добавлена защита от трассировки обработчика Int 13h.

в) Добавлена  проверка	наличия  свободного места для размещения VH-P на
   нулевом треке винчестера.

г) Добавлено срабатывание на  попытки операции форматирования винчестер-
   ских дисков.

д) Добавлена  возможность  установки  VH-P при работе ADM-подобных защит
   (т.е. пытающихся запретить запись в MBR).

е) Добавлены дополнительные проверки перед удалением VH-P.

ж) Теперь после работы VH-P  управление  получает исходный (сохраненный)
   MBR.

з) Повышена надежность работы. Введена проверка по CRC16.

и) Поддержка режима QUICK REBOOT в QEMM.

Желаю успешной "эксплуатации" VH-P.

С уважением, Andrew Basharimoff.