home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / VXAVTOOL.ZIP / EXEC-VIR.ZIP / GOATEXEC.ZIP / GOAT.DOC < prev    next >
Encoding:
Text File  |  1997-04-03  |  59.8 KB  |  1,217 lines
  1.   ┌───────────────────────────┐
  2.   │  ╔══╗  ╔══╗  ╔══╗  ╔═╦═╗  │                 Utility for
  3.   │  ║     ║  ║  ╔══╣    ║    │                 antivirus
  4.   │  ║ ═╦  ║  ║  ║  ║    ║    │                 researchers
  5.   │  ╚══╝  ╚══╝  ╚══╚═  ═╩═   │                 
  6. ┌─┴───────────────────────────┴───────────────────────────────────────┐
  7. │                                                                     │
  8. │               GOAT File Creator Package, Version 4.2                │
  9. │                   (c) MIG, Igor G. Muttik, 1997                     │
  10. │                                                                     │
  11. └─────────────────────────────────────────────────────────────────────┘
  12.  
  13.                 ┌──────────────────────────────────────┐
  14.                 │ NEW - CREATION OF NE-EXE AND PE-EXE  │
  15.                 │ FILES FOR WINDOWS 3.x AND WINDOWS 95 │
  16.                 └──────────────────────────────────────┘
  17.  
  18.   ┌───────┐
  19.   │PURPOSE│
  20. ──┴───────┴───────────────────────────────────────────────────────────────────
  21.  
  22.         GOAT package is a tool for the antivirus researchers.
  23.  
  24.         The GOAT file generator produces executable victim file(s)
  25.         (COM, EXE or SYS), typically called "sacrificial goat file(s)".
  26.         These output files are used as baits for the viruses.
  27.  
  28.         The purpose of the programs can be explained using the
  29.         following diagram:
  30.  
  31.  
  32.       ╔══════════╗      ┌──────────────────────┐
  33.       ║ Goats    ╟────┬─┤ You need a goat file │       ┌─────────────────┐
  34.       ║ creation ║    │ │ with some special    ├───────┤ use GOAT.COM in │
  35.       ║ task     ║    │ │ internal structure.  │       │ "just-one-file" │
  36.       ╚══════════╝    │ └──────────────────────┘       │ mode            │
  37.                       │                                └─────────────────┘
  38.                       │ ┌─────────────────────────┐
  39.                       │ │ You need a series of    │    ┌─────────────────┐
  40.                       ├─┤ goat files of different ├────┤ use GOAT.COM in │
  41.                       │ │ sizes.                  │    │ "series" mode   │
  42.                       │ └─────────────────────────┘    └─────────────────┘
  43.                       │
  44.                       │ ┌─────────────────────────┐
  45.                       │ │ You need a set of files │    ┌─────────────────┐
  46.                       ├─┤ of the same size with   ├────┤ use GOATSET.BAT │
  47.                       │ │ the different contents. │    └─────────────────┘
  48.                       │ └─────────────────────────┘
  49.                       │
  50.                       │ ┌──────────────────────────┐
  51.                       │ │ You need many identical  │  ┌─────────────────────┐
  52.                       ├─┤ samples to infect them   ├──┤ use GOAT.COM in     │
  53.                       │ │ with the polymorphic     │  │ "zillions-of-files" │
  54.                       │ │ virus.                   │  │ mode                │
  55.                       │ └──────────────────────────┘  └─────────────────────┘
  56.                       │
  57.                       │ ┌──────────────────────────┐
  58.                       │ │ You need many different  │  ┌─────────────────────┐
  59.                       └─┤ samples to infect them   ├──┤ use GOAT.COM in     │
  60.                         │ with the polymorphic     │  │ "zillions-of-files" │
  61.                         │ virus.                   │  │ mode with /U switch │
  62.                         └──────────────────────────┘  └─────────────────────┘
  63.  
  64.  
  65.         Using GOAT.COM you can manually select the size, the name
  66.         of a sacrificial goat file and vary its internals to meet
  67.         the criteria, which the virus uses when deciding "to infect
  68.         or not to infect" the victim file. You can enter the size
  69.         of a sacrificial goat file in any of given formats: decimal,
  70.         hexadecimal or in kilobytes. Size of the victim files can
  71.         be as small as 2 bytes and as much as many gigabytes (it is
  72.         a 32-bit variable). GOAT.COM is very flexible - it can create
  73.         COM, EXE, SYS(COM) and SYS(EXE) files, NE-EXE, PE-EXE with
  74.         code at the beginning, in the middle, or at the very end of
  75.         the goat file. Files can be filled with zeroes, NOPs, two
  76.         types of pattern or even filled with random garbage. You
  77.         can add stack segment for the EXE files, vary header size,
  78.         and ... many other options are available.
  79.  
  80.         "Series" mode is intended to create a series of bait files
  81.         with linearly increasing length. Length increase step is
  82.         changeable.
  83.  
  84.         In "zillions-of-files" mode GOAT.COM can create unlimited (you
  85.         will just run out of disk space long before) number of files.
  86.         Then you can infect this set of files with a polymorphic virus
  87.         to test its behavior and properties. This mode is turned on if
  88.         '+' (plus) or /Fnnn or /D[nnn] is given in the command line.
  89.  
  90.         GOATSET.BAT produces some sort of "a standard set" of files
  91.         of the same size. These files are different (internal contents
  92.         or attribute are variable). GOATSET.BAT needs GOAT.COM for the
  93.         execution. GOAT.COM should be located in the current directory,
  94.         or it should be accessible via PATH environment variable.
  95.         The "standard set" of goat files may help you to find out
  96.         which files are prefered by the virus (ex.: virus may infect
  97.         only COM files starting with JMP). Checking "a standard set"
  98.         after virus attack, you can easily understand which files
  99.         are infectable.
  100.  
  101.         A small batch file RUN-ALL.BAT will help you to run (i.e., infect,
  102.         if you have a resident virus active) all generated bait files.
  103.         Text of RUN-ALL.BAT is self-explanatory.
  104.  
  105.         Using GOAT.INI file you can change default behaviour of GOAT.COM
  106.         to better meet your requirements.
  107.  
  108.  
  109.   ┌────────┐
  110.   │EXAMPLES│
  111. ──┴────────┴──────────────────────────────────────────────────────────────────
  112.  
  113.         Examine the following examples with comments:
  114.  
  115.         ───────────────────────── "just-one-file" mode ────────────────────
  116.  
  117.         GOAT /?                  // gives help screen
  118.         GOAT 2 c:\bait.com       // create 2-byte file C:\BAIT.COM
  119.         GOAT 100k                // create 100k file GOAT000.EXE
  120.         GOAT 10 /b/j             // make short COM file with code at the
  121.                                     bottom, without JMP instruction
  122.         GOAT 34 /e2              // create EXE file with 32-byte header
  123.         GOAT 8k /e100h           // create long EXE header (100h=256para=4k)
  124.         GOAT 200 /e10/9          // create EXE file with a 160-bytes header
  125.                                  // and fill the file with NOPs
  126.         GOAT 570 /e/b/j          // make EXE with a standard 512-byte header,
  127.                                     place code at bottom and avoid JMP
  128.         GOAT 4000 /iE5h          // make 4000 bytes COM file, fill with E5h
  129.         GOAT 8k/r/t62            // make 8k COM file with readonly attribute
  130.                                     and seconds field in timestamp = 62 sec
  131.         GOAT 30000 t.exe         // create 30000 bytes file T.EXE, but
  132.                                     with internal COM structure, i.e.,
  133.                                     without EXE header
  134.         GOAT 30000 t.exe /e      // create 30000 bytes file T.EXE,
  135.                                     with standard 512 bytes 'MZ'-header
  136.         GOAT 2000h /e            // create 8192 bytes file GOAT000.EXE
  137.         GOAT 512k /#20h/w        // create 512k NE-EXE file GOAT000.EXE with
  138.                                     20h relocation entries in the EXE header
  139.         GOAT 1k /r7              // make 1k Hidden/System/Readonly COM file
  140.         GOAT 300k /e40h/o/j/9    // make 300k EXE file, not overlaid, without
  141.                                     JMP, filled with NOPs with 1k EXE header
  142.         GOAT 300k /e40h/o/j/9/b  // same, but code at bottom of file
  143.         GOAT 300k /p/t18h        // make 300k EXE file and fill it with
  144.                                     00, 01, 02, ... pattern, set seconds
  145.                                     in the file timestamp = 18h = 24
  146.         GOAT 1k /n               // make 1k COM file, filled with random bytes
  147.         GOAT 1k /u               // make 1k COM file, different from above
  148.         GOAT 1k /y               // make 1k SYS device driver
  149.         GOAT 1k /y/e             // make 1k SYS-EXE device driver
  150.         GOAT 1k /e/k1k           // make 2k EXE file with 1k STACK segment
  151.         GOAT 1k /e/k810h         // make 3088 bytes EXE file, code segment
  152.                                     will take 1024 bytes, stack - 2064, and
  153.                                     SP=810h, CS:IP=FFF0:100
  154.         GOAT 1k /e /k810h /M512  // make 3088 bytes EXE file, code segment
  155.                                     will take 1024 bytes, stack - 2064, and
  156.                                     SP=810h, CS:IP=0:0
  157.  
  158.  
  159.         ────────────────────────── "series" mode ──────────────────────────
  160.  
  161.         GOAT 1000-65000 1000     // create 65 COM files
  162.         GOAT 1000-65000 1000 /E  // create 65 EXE files
  163.         GOAT 600-1600 100 /E/L   // create 10 EXE files and assign them
  164.                                  // a previous year's timestamp
  165.         GOAT 1k-66k 32k /b/9     // create 3 files. First two will be COM
  166.                                     files with 1k and 33k size, last will
  167.                                     be EXE file. Names assigned: GOAT000.COM,
  168.                                     GOAT001.COM and GOAT002.EXE. Code
  169.                                     located at bottom, filled with NOPs
  170.         GOAT 1000h-2000h 200h    // create 9 files: GOAT000.COM (size=
  171.                                     4096) .. GOAT008.COM (size=8192)
  172.         GOAT 50k-60k 10h /e2/b/v // create many EXE files with 32 byte EXE-
  173.                                     header, code at bottom. All will have
  174.                                     SS=CS, SP=IP
  175.         GOAT 1024k-16384k 1024k  // create 16 files, all EXE. Will
  176.                                     probably result in "Not enough disk
  177.                                     space" error, because files will take
  178.                                     >120MB in total
  179.         GOAT 100-1000 100/m50/p2 // make 10 COM files with JMP to the code
  180.                                     located at byte 50, word-pattern filled
  181.         GOAT 1k-10k 1k /y/e      // make 10 SYS device drivers, organized as
  182.                                     EXE files with 512-bytes header
  183.  
  184.  
  185.         ────────────────────────── "zillions-of-files" mode ───────────────
  186.  
  187.         GOAT 100 +               // make 500 100-byte COM files in 10 dirs
  188.         GOAT 1k /D               // make 500 1k COM files in the current dir
  189.         GOAT 1000 /F400/D5/Q65   // create 2000 COM files of size 1000
  190.                                     in five directories - DIRAAA...DIRAAE
  191.                                     Names are GOATAAA.COM .. GOATCJJ.COM
  192.         GOAT 12345h /E2/B/9/D1   // create 500 files. Files will be EXE,
  193.                                     74165 bytes in size, with short EXE
  194.                                     header, NOPs filled, code will be
  195.                                     placed at the end of the files. Names
  196.                                     assigned: GOAT000.COM .. GOAT999.COM
  197.                                     All in one subdirectory - DIR000
  198.         GOAT 2000 /F10000/D1000  // create 10 millions of 2000-byte files
  199.                                     in 1000 directories
  200.  
  201.  
  202.         ────────────────────────── "test-set" mode ────────────────────────
  203.  
  204.         GOATSET 1024             // create 52 different files. Twelve
  205.                                     COM files, 34 EXE files and 6 SYS files
  206.                                     (2 nornal SYS and 4 SYS-EXE).
  207.                                     See GOATSET.LOG for the report.
  208.         GOATSET 30k              // create 52 files. See GOATSET.LOG
  209.                                     for the report.
  210.  
  211.  
  212.         ────────────────────────── "running goats" ────────────────────────
  213.  
  214.         RUN-ALL                  // run all generated GOAT???.COM and
  215.                                     GOAT???.EXE files
  216.  
  217.  
  218.   ┌─────────────────┐
  219.   │USAGE OF PROGRAM │
  220. ──┴─────────────────┴─────────────────────────────────────────────────────────
  221.  
  222.         You can see the correct usage of all programs, specifying the
  223.         "help" command line switch "/h" (or /?):
  224.  
  225.         GOAT /h
  226.         GOATSET /h
  227.  
  228.         Printout of GOAT.COM's help screen is given below:
  229.  
  230. ┌────────────────────────────────────────────────────────────────────────────
  232. │GOAT  -  Version 4.2  -  (C) MIG, 1997
  234. │Usage: GOAT  Size [Filename]  [/switches]               - "just-one-file"
  235. │       GOAT  StartSize EndSize [Increment]  [/switches] - "series mode"
  236. │       GOAT  Size  [+] [/D[nnn]] [/Fnnn]  [/switches]   - "zillions-of-files"
  238. │Size - dec, hex or kbytes (Ex.: 1000, 65530, FE00h, 31k, 512K, 2048k)
  239. │If [Filename] is not given creates GOAT000, GOAT001...
  241. │Switches:                               /N[nnnn] RND filled (nnnn = seed)
  242. │  /Annnn   set SYS driver Attribute     /P,/P2   use byte or word pattern
  243. │  /B       code at Bottom               /Qnn     use char 'nn' instead of '0'
  244. │  /D[nnnn] Directories (default = 10)   /R[nn]   make file Readonly/Hidden/Sys
  245. │  /E[nnn]  EXE file (nn = header size)  /Tnn     seT seconds = nn (<63, even)
  246. │  /Fnnnn   Files in dir (default = 500) /U       Unique RND fill
  247. │  /Gnn     use 'nn' as NOP replacement  /W[nnnn] Make NE header at offset nnnn
  248. │  /Inn     fIll byte = nn (/9 for NOP)  /X[nn]   replace E9 00 00 with 'nn's
  249. │  /J       no JMP at code start         /Y       create device driver (SYS)
  250. │  /Knnnn   add STACK seg of nnnn size   /Z       use 'ZM' EXE header
  251. │  /L[nnnn] set year = nnnn (/L = oLd)   /#[nnn]  put nnn EXE relocations
  252. │  /Mnnnn   put code at offset 'nnnn'    /!       Make PE executable (Win-95).
  254.  
  255.         The square brackets denote optional parameters.
  256.  
  257.  
  258.   ┌────────┐
  259.   │SWITCHES│
  260. ──┴────────┴──────────────────────────────────────────────────────────────────
  261.  
  262.         Short reference of all available switches is given below in
  263.         the alphabetical order.
  264.  
  265.         Note that any switches having a parameter could be entered either
  266.         in decimal or hexadecimal notation (ex., /i100 or /iE5h).
  267.  
  268.  
  269.         /Annnn  - set SYS device Attribute (default=0C853h). Have no sense
  270.                   without /Y switch. (May be placed in the INI file to
  271.                   change default device driver attribute.)
  272.  
  273.         /B      - place code at bottom of file (default is at start)
  274.  
  275.         /C[n]   - set GOAT.COM selfcheck level (by default equals to 2,
  276.                   the highest) (/C means /C0, i.e., no checks at all)
  277.  
  278.         /D[nnnn]- create maximum nnnn subdirectories (default=10)
  279.                   /D (or /D0) means make goat files in current directory.
  280.                   (this switch turns on "zillions-of-files" mode if it was
  281.                   given from the command line)
  282.  
  283.         /E[nn]  - create EXE file (if size > 65280 - done automatically)
  284.                   If nn is given file will have an EXE header of
  285.                   nn paragraphs long (just /E will produce standard
  286.                   512-bytes EXE header). Header size is limited to
  287.                   about 32k.
  288.  
  289.         /Fnnnn  - create maximum nnnn files in a subdirectory (default=500)
  290.                   (this switch turns on "zillions-of-files" mode if it was
  291.                   given from the command line)
  292.  
  293.         /Gnn    - use nn byte instead of NOP (when, say, /J/B are used)
  294.                   /Gnn should be used with *caution* - bad selection of nn
  295.                   will produce goats which hang when executed. This switch
  296.                   is useful when included in the INI file. See also /X.
  297.  
  298.         /H, /?  - Help screen
  299.  
  300.         /Inn    - use fill byte nn instead of standard zero-fill
  301.                   (ex., /i100 or /iE5h)
  302.  
  303.         /J      - remove JMP at code start (by default it is present)
  304.  
  305.         /Knnnn  - add nnnn bytes of STACK segment to the bottom of executable
  306.                   file (stack segment is filled with 'STACK' string by default)
  307.                   Can be placed in the INI file. Parameter /K given in the
  308.                   command line can supress /Knnnn definition given in the
  309.                   INI file.
  310.  
  311.         /L[nnnn]- assigns year 'nnnn' to a created goat file(s). If given
  312.                   without number (just /L) - assigns previous year (say,
  313.                   if current year is 1996 goat will get year 1995).
  314.                   Please note that /L switch affects both the timestamp
  315.                   of the file and the timestamp embedded in the PE-header.
  316.  
  317.         /Mnnnn  - place code in the middle of the file exactly at offset
  318.                   nnnn (nnnn can be in the range 0..filesize, even when
  319.                   the file is >64k).
  320.  
  321.         /N[nnnn]- fill goat file with pseudorandom bytes. The parameter
  322.                   (if given) is a random number generator seed.
  323.                   RNG uses multiplicative congruental method with
  324.                   2**32 period.
  325.  
  326.         /O      - do not make long EXE (>256K) with internal overlay structure
  327.                   This option affects only EXE files longer than 256k.
  328.                   By default such EXE goats get number of pages in the EXE
  329.                   header like in a 256k EXE file (i.e. the rest of the file
  330.                   is not loaded in memory when the file is executed).
  331.  
  332.         /P[n]   - fill free file space with pattern. Switch /P or /P1 means
  333.                   byte pattern, while /P2 - word pattern. Byte pattern looks
  334.                   like is - 00, 01, .. FE, FF, 00, ..  Word pattern is -
  335.                   0000, 0001, ...FFFF, 0000. Both types of patterns
  336.                   are "anchored" to the location (i.e., byte pattern at,
  337.                   say, offset 2BCE will be CE CF D0 D1...; word pattern at
  338.                   the same location will be CE 2B D0 2B D2 2B...).
  339.  
  340.         /Qnn    - use char 'nn' (ex., 65='A') instead of '0' when naming goat
  341.                   files (ex., /Q65 will do: GOATAAA.COM, GOATAAB.COM,...)
  342.  
  343.         /R[nn]  - setting nn in range 1..7 you can produce any combination
  344.                   of Readonly/Hidden/System attributes (/R or /R1 sets
  345.                   Readonly bit, /R2 - Hidden, /R4 - System).
  346.  
  347.         /S      - turn off selfchecking of the created goat file. Also
  348.                   makes goat code a bit shorter (about 80 bytes instead
  349.                   of 286). See also switch /7.
  350.  
  351.         /Tnn    - set timestamp seconds field = nn. DOS stores the seconds
  352.                   of the file creation in the rounded to the closest even
  353.                   value. So odd values are not allowed. Seconds field
  354.                   should be in the range 0..62 and even (ex., 0, 1Eh, 62,...)
  355.  
  356.         /U      - guarantees that contents of each generated file is unique
  357.                   (fills file with random bytes and and do not reset random
  358.                   generator before creation of each file).
  359.  
  360.                   However, if you make a set of files (in "series mode" or
  361.                   "zillions-of-files mode") many times - you will get an
  362.                   identical set every time (as the same seed produces the
  363.                   same pseudorandom sequence). In "just-one-file" mode PC
  364.                   clock is used to give a seed for pseudorandom generator
  365.                   and therefore you will get unreproducible garbage
  366.                   filling for each goat.
  367.  
  368.         /V      - set SS:SP equal to CS:IP
  369.  
  370.         /W[nnnn]- make NE-EXE file. By default NE-EXE header will be
  371.                   located at offset 400h. The offset value is rounded
  372.                   to the closest 32-bit boundary. NE-EXE header should
  373.                   be in the first 64k of the EXE file, so offset limits
  374.                   are [40..FF8C] (but it shouldn't also overlap with the
  375.                   code or with relocations, if any). See also /2 switch.
  376.  
  377.         /X[nn]  - kills E9 00 00 and replaces it with given bytes.
  378.                   Switch /X without parameter is useful only when the
  379.                   code is not at the goat file start (/B or /Mnnnn were
  380.                   used). Otherwise it has the same effect as just /J.
  381.  
  382.                   /Xnn should be used with *caution* - bad selection of nn
  383.                   might produce goats which hang when executed.
  384.  
  385.                   If there are values patched in the body of the program
  386.                   where [90 90 90] was - they are used in the first place.
  387.  
  388.         /Y      - create device driver (SYS file). May be combined with
  389.                   /E to make SYS-EXE files.
  390.  
  391.         /Z      - make 'ZM' EXE header instead of 'MZ'.
  392.  
  393.         /2      - merely changes target OS in the NE-EXE header to OS/2
  394.                   (default is Windows). Can be specified twice to get
  395.                   "unknown" target OS. 
  396.  
  397.                   For PE executables increases OS MAJOR, USER MAJOR
  398.                   and SUBSYS MAJOR fields (defaults are, 1, 0 and 3,
  399.                   respectively). Can be placed in the INI file.
  400.  
  401.         /9      - fill free file space with NOPs (default - with zeroes)
  402.                   (it is just a shortcut for /i90h).
  403.  
  404.         /7      - enables beeping when selfcheck fails (works both for
  405.                   selfcheck of GOAT.COM generator and for produced goat
  406.                   files which have selfchecking code).
  407.  
  408.         /#[nnnn]- specifies the number of dummy relocation entries in
  409.                   the EXE header. Relocation make happy a couple
  410.                   of viruses, which refuse to infect goats with no
  411.                   relocations. Relocations are dummy - they do not
  412.                   affect the goat code. If the code of the goat is
  413.                   at the file start (just after EXE header), then
  414.                   relocations will affect bytes just after the goat
  415.                   code (after B4 4C CD 21). If code is at file end (/B),
  416.                   or in the middle (/Mnnnn), then relocations are made
  417.                   to the bytes just after file end (or to the stack
  418.                   area if it's present). Switch /# without parameter
  419.                   can suppress /#nnn definition given in the INI file.
  420.                   For normal EXE files relocations start at 1Ch, for
  421.                   Windows NE/PE executables - at offset 40h.
  422.  
  423.         /!      - Make PE-executable file. By default PE-header will
  424.                   be at offset 100h. Any generated PE executable has
  425.                   exactly 5 sections (CODE, .icode, DATA, .idata and
  426.                   .reloc). Option /! also sets size of the EXE header
  427.                   to 40h bytes (use /Ennnn to change if you wish).
  428.                   See also /2 switch.
  429.  
  430.  
  431.         The switches in the command line (like /E) give you the control
  432.         over the victim creation. You can place the code at the beginning
  433.         of the goat file or at the bottom. You can select the filling
  434.         byte (00, 090h or even pattern), the presence of JMP at the code
  435.         start. You can force creation of EXE file. You can even change
  436.         size of EXE header and control values loaded in SS and SP. You
  437.         can prohibit the creation of overlaid EXE files, etc. Most of
  438.         the command line switches can be applied simultaneously.
  439.  
  440.         Value, specified in the switch /Mnnnn (nnnn is 32-bit value
  441.         and you may use "k" and "h" modifiers), has the following
  442.         limitations:
  443.  
  444.                 for EXE: (header size) < nnnn < size-286 (no /S)
  445.                 for EXE: (header size) < nnnn < size-78  (with /S)
  446.                 for COM              3 < nnnn < size-2
  447.  
  448.         If some switches are conflicting (say, "GOAT 1000 /P0/P2", where
  449.         /P0 - byte pattern and /P2 - word pattern), - the last is used
  450.         (same applies to the switches in the INI file).
  451.  
  452.         Some combinations of switches are not allowed. For example, you
  453.         cannot set /J, /B and /P for any COM file simultaneously (if
  454.         code is at bottom and no JMP is present - pattern will appear
  455.         as a code at CS:100).
  456.  
  457.         Switch /Knnnn adds stack segment at the bottom of the file
  458.         (always EXE). Size of the stack segment is limited:
  459.  
  460.                 16 < nnnn < 65536
  461.  
  462.         Please avoid small and odd values in /K, because when the goat
  463.         file created with such an odd stack is run it could easily hang
  464.         a computer or cause "Exception #13" (QEMM frequent warning),
  465.         when SP goes through the stack segment boundary (i.e., half
  466.         of word is written at SS:0000 and other half - at SS:FFFF).
  467.  
  468.         Note, that the size specified in /Knnnn is added to the main
  469.         size of the file (i.e., GOAT 1k /k1k will produce 2048 bytes
  470.         EXE file). If the main size of the file does not end on the
  471.         paragraph boundary (i.e., main size is not divisible with 16) -
  472.         stack segment will start on the first paragraph after the end
  473.         of the main file size.
  474.  
  475.         Switches /Fnnn and /Dnnn given in the command line automatically
  476.         turns the program into a "zillions-of-files" mode (or use '+').
  477.         You can specify the desired number of files and subdirectories
  478.         to create. By default, 10 subdirectories with 500 files in each
  479.         are created. Note, that if any directory already exists (say,
  480.         DIR004), it will be simply skipped and no new files will be
  481.         created inside.
  482.  
  483.         If you specify just /D switch this will allow creation of
  484.         zillions-of-files in the current directory (same as /D0).
  485.  
  486.  
  487.   ┌────────┐
  488.   │INI FILE│
  489. ──┴────────┴──────────────────────────────────────────────────────────────────
  490.  
  491.         You may like to put your preferences (signature, switches,
  492.         filename templates, etc.) into a separate file - GOAT.INI
  493.         Use any text editor to create or modify INI file.
  494.  
  495.         Note that not all switches are suitable for placing in the
  496.         INI file as some of them are "direct-action". They immediately
  497.         force certain mode of operation: say, if you place /E in the
  498.         INI file you will no longer be able to create goats of COM
  499.         type. Here is the list of switches suitable for INI file
  500.         (although, the last five are not very useful in the INI):
  501.  
  502.                 # 2 7 9 A C D F G I K L N O P Q S X  and  J R T U V
  503.  
  504.         The following are not suitable for the INI file (not
  505.         mentioning /? or /H switches):
  506.  
  507.                 ! B E M W Y Z
  508.  
  509.         The sample INI file is given below:
  510.     ┌─────────────────────────────────────────────────────────────────────
  511.     │;
  512.     │; sample INI file
  513.     │;
  514.     │Motto="Antivirus test file."       ;all output bait files will carry
  515.     │                                   ;this string.
  516.     │files=BAIT             ;files will be BAIT000.COM, BAIT001.COM, ...
  517.     │dirs=HEAP              ;directories created - HEAP000, HEAP001, HEAP002
  518.     │STACKfill="*MYSTACK"   ;fill stack with '*MYSTACK*MYSTACK*MYSTACK'
  519.     │SYSnames="DRIVERXX"    ;this string is inserted into SYS header.
  520.     │Switches=/F800/D15     ;make 15 dirs, 800 files in each. 12000 in total.
  521.     │Switches=/L            ;always put previous year in a goat timestamp
  522.     │Switches=/iF6h         ;always fill free file space with 0F6h byte
  523.     │Switches=/g40h         ;use INC AX instead of NOP
  524.     │Switches=/q65          ;use GOATAAA..GOATJJJ instead of GOAT000..GOAT999
  525.     │Switches=/O            ;never make overlaid EXE files
  526.     │Switches=/K200h        ;if EXE - always add 512 bytes stack at eof
  527.     │
  528.  
  529.         GOAT.INI may be located in the current directory or in the path
  530.         of started GOAT.COM. The first location has priority over the
  531.         second. GOAT.INI may not exist. In that case program uses
  532.         built-in defaults.
  533.  
  534.         The following statements are allowed in the INI file:
  535.  
  536.         Motto=             ;defines signature for all created goat files
  537.                            ;(not present on default)
  538.         files=             ;filename template for GOAT.COM (default=GOAT)
  539.                            ;it can be empty (ex., files=)
  540.         dirs=              ;directories template for zillions-of-file mode
  541.                            ;it can be empty (ex., dirs=)
  542.         STACKfill=         ;stack fill string (default=STACK)
  543.         SYSname=           ;driver name (default=GOATXXXX)
  544.         Switches=          ;any switches you like (multiple lines allowed)
  545.  
  546.         Any comments may be added after a semicolon.
  547.  
  548.         Filename template (files=) and dir template (dir=) can be
  549.         empty (this will make all letters of the name variable:
  550.         000-999 or whatever was defined by /Qnn).
  551.  
  552.         Motto string, defined in the INI file appears in the created
  553.         goat COM file immediately after JMP (if any) or after the goat
  554.         code (if no JMP). In the EXE file it appears after the goat
  555.         code, if code is at the start. If space at the beginning is
  556.         free (ex., /B or /Mnnnn switch moved goat code away from the
  557.         beginning) - motto will appear at the EXE file start (after
  558.         the EXE header). Motto string is limited to 64 symbols. To
  559.         include spaces in the motto string use quotes. Note, that
  560.         /J/B and /J/Mnnnn switch combinations supress motto in the
  561.         goat file.
  562.  
  563.         Switches /F and /D given in the INI file just modify the
  564.         built-in default values for the number of files and directories,
  565.         created in "zillions-of-file" mode. This does not turn on
  566.         this mode. To do so you will need to specify '+' (plus)
  567.         in a command line explicitely.
  568.  
  569.         Filename and subdirectory templates are limited to 5 symbols,
  570.         because programs always add '000' and then start incrementing
  571.         this number until it becomes '999' (or 'AAA' ...'JJJ' if you,
  572.         say, redefined the naming with /Q65 switch). Dot is not
  573.         allowed in the template. Any string exceeding the limit
  574.         of 5 symbols will give the error message:
  575.  
  576.                 "Error in the INI file line #xxx"
  577.  
  578.         The processing will be aborted. The same error will appear if
  579.         you give any wrong switch (say, /@) or parameter value (say,
  580.         /T68 or /i500).
  581.  
  582.         Stack fill string is limited to 32 symbols (you can use
  583.         even unprintable characters, like ASCII 01, etc.).
  584.  
  585.         The strings may be quoted. To enter a quote itself - duplicate
  586.         it inside the quoted string - ex. "File is ""readonly"""
  587.         will be converted to a string: 'File is "readonly"'.
  588.  
  589.         Driver name, defined using "SYSname=", is limited to 8 symbols.
  590.         This name is right-padded with 'X' symbols, if name has less
  591.         than eight symbols.
  592.  
  593.         Note that any INI file switch settings is overridden by
  594.         command line switches.
  595.  
  596.  
  597.   ┌────────────────┐
  598.   │SIZE LIMITATIONS│
  599. ──┴────────────────┴──────────────────────────────────────────────────────────
  600.  
  601.         By default GOAT.COM produces sacrificial file of COM type.
  602.         This applies to any given size, which meet the following
  603.         criterion:
  604.  
  605.                2 < Size_of_COM < 65280
  606.  
  607.         The magic number 65280 is a maximum size of COM file, which
  608.         should fit in a segment size (64k) taking off PSP size (256):
  609.         65536 - 256 = 65280.
  610.  
  611.         When placing the code at the bottom of the COM file having
  612.         size about 64K, code may lay too close to SS:SP (for COM
  613.         files: SS=CS, SP=FFFE) and the program may hang your system
  614.         when run, because stack might overwrite the code.
  615.         Therefore, if the spacing between IP and SP is less than
  616.         64 bytes, the goat generation is aborted and the goat file
  617.         is not created (You will see a warning - "Goat IP will be
  618.         too close to SP. Abort!"). If you absolutely need such a
  619.         file - use switch /Mnnnn to place code at the very bottom
  620.         of your file. With /M switch the test is not performed,
  621.         because if you specify some value in /M switch you probably
  622.         understand what you are doing!
  623.  
  624.         When the size specified in the command line is greater than
  625.         65280 (or equal to), EXE file is generated automatically (you
  626.         do not need to write /E switch explicitly). Such a file will
  627.         have an EXE header in the beginning. Because of the presence
  628.         of EXE header, the size limitations are the following:
  629.  
  630.               513 < Size_of_EXE < free_disk_space (with /E switch)
  631.                33 < Size_of_EXE < free_disk_space (with /E2 switch)
  632.  
  633.         When you need to create EXE file shorter than 65280 bytes,
  634.         use /E (or /Z) command line switch explicitely.
  635.  
  636.         When creating a series of bait files in a "series" mode,
  637.         the size can exceed 65280 bytes limit at some point. All
  638.         files longer than 65280 will be automatically turned to
  639.         default EXE files (i.e., with a standard 512 bytes 'MZ'
  640.         header) and file extension will change to .EXE.
  641.  
  642.  
  643.   ┌─────────────────────────────────┐
  644.   │BAIT FILES INTERNALS AND PRINTOUT│
  645. ──┴─────────────────────────────────┴─────────────────────────────────────────
  646.  
  647.         The sacrificial goat file itself contains a small program,
  648.         which displays its type (COM, EXE or SYS), size in hexadecimal
  649.         and in decimal (only when goat file is of enough size, i.e.,
  650.         space for code itself is at least 74 bytes).
  651.  
  652.         Sacrificial goat file consists of the two parts: the small
  653.         portion of code (of fixed size, always being 2 bytes or 74
  654.         bytes) and a block of zeroes, NOPs or pattern of variable
  655.         size (00..FF, 0000...FFFE or random pattern). Zeroes (NOPs
  656.         or pattern) take all space of the file, free from the code.
  657.         EXE files have additionally an EXE-header. Non-used part of
  658.         the EXE header is always filled with zeroes. SYS files have
  659.         SYS header, strategy and interrupt routines in addition to
  660.         the code given below.
  661.  
  662.         Two types of code can be placed into the victim file (COM/EXE).
  663.         They are given in the table:
  664.         ┌───┬────────────────────────────────────┬───────────┬───────────┐
  665.         │ # │ Code                               │ Size, dec │ Size, hex │
  666.         ├───┼────────────────────────────────────┼───────────┼───────────┤
  667.         │ 1 │ int 20h                            │      2    │     2     │
  668.         ├───┼────────────────────────────────────┼───────────┼───────────┤
  669.         │ 2 │ This code just prints message      │    ~80    │   ~50h    │
  670.         │   │ with the file type/switches/size   │           │           │
  671.         ├───┼────────────────────────────────────┼───────────┼───────────┤
  672.         │ 3 │ This code apart from printing      │   ~256    │  ~100h    │
  673.         │   │ a message selfchecks the size      │           │           │
  674.         │   │ of host goat file and reports      │           │           │
  675.         │   │ the size changes (if any)          │           │           │
  676.         └───┴────────────────────────────────────┴───────────┴───────────┘
  677.  
  678.  
  679.         Dots (/....) in the message printed by the goat file are replaced
  680.         with 4 last command line switch letters. Any switches specified
  681.         in the INI file are not included. All command line switches
  682.         modify this field (namely - ABGIJKLMNOPRTUVWXZ!#279). Switches
  683.         that change the mode of GOAT.COM operation (namely - CDEFQY)
  684.         are not reflected. Switches /E,/Y are not reflected because
  685.         file extension (EXE) or printout (SYS) is itself an obvious
  686.         indication.
  687.  
  688.         The output of a sample goat file (the size of the sample was
  689.         100 bytes and command-line switch /B was given) will be
  690.         the following:
  691.  
  692.         "Goat file (COM/b..). Size=00000064h/0000000100d bytes."
  693.  
  694.         File type (COM/EXE/SYS), real numbers and switch letters
  695.         (if any) are inserted into the goat file message at the
  696.         moment of creation.
  697.  
  698.  
  699.   ┌───────────┐
  700.   │BAIT NAMING│
  701. ──┴───────────┴───────────────────────────────────────────────────────────────
  702.  
  703.         Usually GOAT.COM generator creates output sacrificial files in
  704.         the following order: GOAT000.COM, GOAT001.COM, GOAT002.COM, etc.
  705.         The same applies to EXE files, and the order is ascending:
  706.         GOAT000.EXE, GOAT001.EXE, GOAT002.EXE, etc. If some file in
  707.         a row (say GOAT050.COM or GOAT050.EXE) already exist - the
  708.         next file number is selected automatically (it will be
  709.         GOAT051.COM or GOAT051.EXE). This does not apply to SYS
  710.         files (i.e., GOAT000.COM and GOAT000.SYS are allowed).
  711.         This naming strategy is used to give some freedom to
  712.         companion viruses.
  713.  
  714.         Switch /Qnn is used to make it more difficult to virus-
  715.         writers to build viruses which avoid infecting the goat
  716.         files using the presense of digits in the filename.
  717.         If, say, you specify /Q65 in a command line (or in the
  718.         INI file) all generated goats will have 'AAA', 'AAB', 'AAC'...
  719.         instead of '000', '001', '002'... You can use any char
  720.         if its ASCII code is in the range [33; 126], but note that
  721.         some characters are not allowed by DOS (like ":\><|/.").
  722.         Such characters will be simply skipped.
  723.  
  724.         GOATSET.BAT produces 52 files of the same size. There will
  725.         be 12 COM, 34 EXE, 2 SYS and 4 SYS-EXE files. GOATSET.LOG
  726.         is created after each start of GOATSET.BAT. Inspect this
  727.         log file (GOATSET.LOG) file in order to get the report about
  728.         the internal structure of generated files, the error messages,
  729.         etc.
  730.  
  731.         Note, that definitions, given in the INI file may change
  732.         default file (and sudbirectories) naming.
  733.  
  734.  
  735.   ┌──────────┐
  736.   │EXE HEADER│
  737. ──┴──────────┴────────────────────────────────────────────────────────────────
  738.  
  739.         By default, EXE header is 512 bytes in size. You can change
  740.         EXE header size using /E switch with parameter. For example,
  741.         /E2 produces shortest possible 32-byte EXE header. Size of
  742.         EXE header is limited to about 32k.
  743.  
  744.         By default, EXE header starts with 'MZ' signature. Use /Z
  745.         switch to make 'ZM'.
  746.  
  747.         When the sacrificial file is less than 256K bytes, the
  748.         first two fields (pages and remainder in the last page)
  749.         are assigned according to the real file size. But when
  750.         code is placed at the beginning of bait file and when
  751.         the limit of 256K is exceeded, the number of pages is set
  752.         to 2 (EXE header size plus code size) and code on the last
  753.         page is set to 64 bytes. This technique makes an "overlaid"
  754.         EXE file. It is absolutely needed to enable execution of
  755.         files bigger than the amount of free conventional memory
  756.         (say, for execution of a 700K file or a 10MB file).
  757.         Switch /O does not affect the internals of EXE files
  758.         smaller than 256K.
  759.  
  760.         If you specify /B switch (or /Mnnnn or /Knnnn switches),
  761.         the overlay creation mode is automatically turned off
  762.         (same as if you write /O in the command line). Otherwise,
  763.         the code (or stack) will be unaccessible and such a file
  764.         will not run (DOS will give error message, when attempting
  765.         to start such a file).
  766.  
  767.         If you need a goat file with, say SS:SP equal to 400:1234,
  768.         use one of the following calls:
  769.  
  770.                 GOAT 4200h /K1234h
  771.                 GOAT 4020h /K1234h /E2
  772.  
  773.         Value of SP=1234h is obvious. To calculate file size take
  774.         needed SS, multiply it on 10h (to convert paragraphs into
  775.         bytes) and add 200h (bytes in standard header) or 20h (for
  776.         short EXE header).
  777.  
  778.  
  779.   ┌──────────────┐
  780.   │DEVICE DRIVERS│
  781. ──┴──────────────┴────────────────────────────────────────────────────────────
  782.  
  783.         To create device driver (SYS) file use switch /Y. Device driver
  784.         file can be in two formats - simple driver (a'la COM file) and
  785.         EXE-file driver (with EXE header, a'la SMARTDRV.EXE or SETVER.EXE).
  786.         Files of the first format can only be invoked from CONFIG.SYS and
  787.         they will print message "Goat file (SYS). Size=..." when DOS
  788.         requests an initialization of the driver. Second format (SYS&EXE)
  789.         can be placed in the CONFIG.SYS and can also be invoked from the
  790.         DOS command line as a normal EXE file. In both cases this driver
  791.         file prints the same message.
  792.  
  793.         Minimal size of the device driver is around 150 bytes (including
  794.         SYS header). For EXE drivers this limit increases (it should
  795.         include additionally the size of the EXE header).
  796.  
  797.         Note that device drivers, being simultaneously an EXE files, has
  798.         a "(SYS)" type designator inside, but are always named as .EXE
  799.         files (to enable execution from the command line as a normal
  800.         executable file). Such files can exceed 64K only if device
  801.         driver routine is placed in the first segment of the goat file
  802.         (because pointers to Strategy and Interrupt routines in the
  803.         driver header are limited to 16-bits). So, a command
  804.         "GOAT 70k /y/b" is illegal, but "GOAT 70k /y/m63k" is OK.
  805.  
  806.         Default device driver attribute is set to 0C853h (most usable
  807.         bits are set). You can vary attribyte with /Annnn switch (or
  808.         even place this witch setting into the INI file to override
  809.         default setting).
  810.  
  811.  
  812.   ┌──────────┐
  813.   │ERRORLEVEL│
  814. ──┴──────────┴────────────────────────────────────────────────────────────────
  815.  
  816.         GOAT.COM returns ERRORLEVEL=0 after the successful operation.
  817.  
  818.         GOAT.COM returns ERRORLEVEL=1, when  output victim file was
  819.         not created or if the current operation failed (say, no more
  820.         space when creating zillions-of-files). The error message
  821.         will be printed.
  822.  
  823.         GOAT.COM returns ERRORLEVEL=2 when user pressed Ctrl-Break
  824.         (this feature is used in batch file GOATSET.BAT).
  825.  
  826.         GOAT.COM returns ERRORLEVEL=3 when selfchecking has failed
  827.         (Note, that /C switch turns off selfchecking).
  828.  
  829.  
  830.   ┌───────────────────────────────┐
  831.   │SELFCHECKING OF GENERATED GOATS│
  832. ──┴───────────────────────────────┴───────────────────────────────────────────
  833.  
  834.         Generated goat files (except SYS files) check their own size
  835.         by default (this option works only under DOS 3.0 or later).
  836.         If goat file has been changed - the difference is reported
  837.         both in decimal and hexadecimal notation:
  838.  
  839.                 Goat file (COM/....). Size=00002710h/0000010000d bytes.
  840.                 Size change=0CDAh/03290d.
  841.  
  842.         If size change is more than 64k - the goat file will print
  843.         question marks instead of digits:
  844.  
  845.                 Goat file (EXE/....). Size=00002710h/0000010000d bytes.
  846.                 Size change=????h/?????d.
  847.  
  848.         If you wish size change report might be accompanied by a PC
  849.         speaker's BEEP. Use switch /7 to activate this option.
  850.  
  851.         Note that not all infections will be reported - file system
  852.         infectors (like DIR-II, Byway) will not be detected. Cavity
  853.         viruses (like BootEXE, Zerohunt) and companion viruses (like
  854.         Gold Bug, Little Brother, HLLC) will be missed too. Most
  855.         of the others are caught without problems (please let me
  856.         know if you find any).
  857.  
  858.         To suppress the selfchecking code use switch /S. For example
  859.         this may be needed to create shorter goats, as selfchecking
  860.         code is long enough.
  861.  
  862.         Goat file returns ERRORLEVEL=0 if selfcheck was OK and
  863.         non-zero if selfcheck failed.
  864.  
  865.  
  866.   ┌────────────────────────┐
  867.   │SELFCHECKING OF GOAT.COM│
  868. ──┴────────────────────────┴──────────────────────────────────────────────────
  869.  
  870.         GOAT.COM program checks its own health. Selfchecking has three
  871.         levels (selectable with /Cn switch):
  872.  
  873.                 0 - no checks
  874.                 1 - check of the file disk image
  875.                     (includes file time stamp and COM extension)
  876.                 2 - check of the file disk image and
  877.                     of the file size (default level)
  878.  
  879.         If the checksum of the file on disk is invalid you will
  880.         see a warning after program termination:
  881.  
  882.                 "GOAT.COM  altered!
  883.                  Size change=00001000h/000004096d bytes."
  884.  
  885.         If you need to turn off file contents checking - use switch
  886.         /C0 (or simply /C).
  887.  
  888.         Therefore, do not try to pack GOAT.COM with PKLITE or
  889.         similar compressors. That will result in the "GOAT.COM
  890.         altered!" report.
  891.  
  892.         If program file extension is not COM you will see (if switch
  893.         /C is not specified):
  894.  
  895.                 "GOAT.COM  altered by companion virus!"
  896.  
  897.         All selfchecking is automatically turned off (same as /C0) for
  898.         DOS versions prior to 3.00 (because the location of the original
  899.         file on disk cannot be found).
  900.  
  901.  
  902.   ┌─────────────────┐
  903.   │PATCHING GOAT.COM│
  904. ──┴─────────────────┴─────────────────────────────────────────────────────────
  905.  
  906.         This paragraph is for experienced users only! Do not try
  907.         to modify GOAT.COM if you do not 100% understand what is
  908.         written below.
  909.  
  910.         Although the core of the GOAT.COM program is protected from
  911.         modification (partial checksumming of GOAT.COM file is done),
  912.         you can patch the program to better meet your requirements
  913.         because data area near the end of the file is not checksummed.
  914.         When doing any of descibed modifications to GOAT.COM preserve
  915.         the original timestamp of the file - it is checked too. (For
  916.         example, you can use HIEW to modify the file without touching
  917.         the timestamp.)
  918.  
  919.         Near the eof you can see the code of the created GOAT files
  920.         (starting with bytes E9 00 00 E8 ...), its messages ("Goat
  921.         file (COM)" and "bytes." You see also image of the EXE header
  922.         (4D 5A ...), SYS file code (56 E8 00 00 ...) and NOPS (90 90 90)
  923.         replacing the jump (E9 00 00) when you specify /J switch.
  924.  
  925.         You can patch these areas to make GOAT more unique. That's
  926.         worth doing because some viruses may start trying to
  927.         recognize the goats produced by this package and will
  928.         refuse to infect them. For example, you can set your own
  929.         MINALLOC, MAXALLOC, CHKSUM fields in the EXE header.
  930.         You might like to change 90 90 90 to any reasonable and
  931.         appropriate processor commands (like ex., MOV/INC/ROR/etc.)
  932.         But still you will have to fit into 3 bytes only!
  933.  
  934.         You can also modify "Goat file " string to whatever you
  935.         want. This will change the message your goats are
  936.         printing when executed. And again - the size of this
  937.         string should be preserved.
  938.  
  939.  
  940.   ┌──────────────┐
  941.   │AUTHENTICATION│
  942. ──┴──────────────┴────────────────────────────────────────────────────────────
  943.  
  944.         If you have PGP program installed on your machine you can
  945.         check the authenticity of GOAT.COM file.
  946.  
  947.         I include below my PGP public key. It can be used to check
  948.         the validity of GOAT.COM (even for future versions).
  949.  
  950. -----BEGIN PGP PUBLIC KEY BLOCK-----
  951. Version: 2.6.3i
  952.  
  953. mQCNAiz3uywAAAEEAKRvzeHdrUT1tlgIbpPoVmI51qiDctKIKGlY82cLCsnKs3Mh
  954. c0d73bjprJqpgFGy/DmLARJj15FcnTjwT2lS4DCBX/+Um3PMZTUpoDDcHwV+LbC+
  955. CfUf/4vupkjdhqIt8LzFwoPYaPH0wG6Wh3WJpaqYkRsgPQMagzqaFa593YhRAAUR
  956. tCNJZ29yIEcuIE11dHRpayA8bWlnQGx0LnBoeXMubXN1LnN1PokAlQMFEDL/TBE6
  957. mhWufd2IUQEBRIUD/0hZPyvKyKn7kmyJ2k9JPyAOAzjMjM6UHGpLx3A1XaF2R0ia
  958. amkYfm1xCHYsp82wmBhyROImpE7DurU1k/KmxuMPS8UifxsE3NkwUnc1NRH7VOvc
  959. lH/Pa9nfQ/lItMQNEcr9DQOYmCl3uI+taXW4Wog43spFyCNNLWti3aHgMGBetCNJ
  960. Z29yIEcuIE11dHRpayA8TUlHQGx0LnBoeXMubXN1LnN1PokAlQMFEDLmEDdQK/tU
  961. ud7FuQEB6AYD+waV+Ji92OWh22mnZdoBsdPXEbkRCh2J0+KTCqtFtZ6GdNBSxaFi
  962. 4wpPgqkxlMIwDtRZLU/dl+NSKzhk45EDU5f6blM5OnhC32b1BlnFY99jzfsM4xAT
  963. aVDWnCn+zhnshIcU8elTgz1p/y3GJhGyxCw9lEAa26XBWtSSdmS/SpygiQCVAwUQ
  964. MW0uxDqaFa593YhRAQE/HgP/dc+nrly5FKbpEF5vLN/5WvKt2JXGoY2Y3/UdZBCT
  965. HQr5BKMGhnvwnArdagi+fgdHhzNgsrxp1n5FT5piyzwsKBSQOAw5YCgpNqpwD5XN
  966. /XiMjXgEkSJiST1didLrelHw8xmE96VjWDFvtdy/q0QAjjkLNLNWxoyvg+tYIkxa
  967. Gg2JAJUCBRAs+z1cMIAgxAYM3PEBAQbGA/9sIuNXpUhhk0j+oSc5s8+xHBVwxa9B
  968. 9Atu926CoxavNrzXjQMvSS0pKcszuH2ZkLto0FGs5X7+8DGtfMi01K/yHRxHlsFJ
  969. vrChfv/Qm8ADCUCkl12Fz5uR2Nd11LcR+iqmuS5U5kByxGnUsPAKErVdqSPpPVAW
  970. cGJiTsrONyTwNokAlQIFEC7bAyY2VpfGMt2Y2QEBjTAEAJGSlkFtC2zHN4IDKQKb
  971. g+4aFiOmBfclfTv64PgXPmkTL8IAZ10HZYKm75H6+zZ+/9j5ZgLQeUz+GEq+qJXH
  972. MigNIdHbIRwi4ny9SFMi+oyzA78GMqJtUkUAg+RXziQC4xxf9GE+8PXq7b17dsb8
  973. 5WzlX9HC4IOyYJ3cN5XnVsIFiQCVAgUQLXMOD5qVRRb01TllAQGZJwQAw0qxT4HC
  974. iGF+oYdXnwGuFj5xHCvMgk+V199LMn7kNOpIbmdOK6vLaa/pDDHkyMnaPlTOSlsG
  975. QwWqJjodnIXFs7NglYfRlN9zfKQcV9zoMxhWBmjpdkL2CJsq13Rh0ttLnHVSQZCW
  976. timEMBfN6xAFQIWFZJDSE+fgkwTK9Sk4XHW0HjxJZ29yLk11dHRpa0B1ay5kcnNv
  977. bG9tb24uY29tPokAlQMFEDL/SUI6mhWufd2IUQEBWEwD/3w60OlWajPMgqaKEue8
  978. tGB5W4jBanWamRxQvTGJDT8+e1FSOiC+flIPyHRtJxDBvnbFqjG7Ls4H7bE8NjXk
  979. fO2nL2anYefQyN+hXm5ninbWq2lRQJjJQrUn03EszwyBIfmqMMLejxfVHIiIMdcG
  980. 76datnxIhFdEOuTrDQ0dCBKTtBU8bWlnQG1pZy5waHlzLm1zdS5zdT6JAJUDBRAy
  981. 5g9mOpoVrn3diFEBAa8NA/9keCujOMshcp9JoO73X6OWBaajHoTCZfdC14SaBSkH
  982. 22zafIWtEZSF2mCoKt3TGdNHoZnNZOjQ1yfPdm9bUO4pfw43+XT5mxyo0RDnMa8d
  983. rkc4pMJ2qvorz+HR/Ed4lo5E+RhoUXfVazivLPTPUaCDzSKttEkenZ+7AWcZqOhT
  984. MbQVPGlnb3JAZGlhbC5waXBleC5jb20+iQCVAwUQMuYOozqaFa593YhRAQHYwwP8
  985. DeRVwKVaNPcgULB8Wx3Ag1gnLSV5sm6Jm59pck9+5Unbe+tFgCzeWSBK+qzHjFau
  986. yAgVvmkqOWf/7ioEnLW7XGhDA1bI0mYYkNLvXlKlXCDqIVVegyOZsjw3B6Q8IhUp
  987. 1SxwZlC9CvgodEiDZwnHC+h2GgSRnYkfHt4wJIzHBUk=
  988. =bfzJ
  989. -----END PGP PUBLIC KEY BLOCK-----
  990.  
  991.         Provided PGP key has some signatures of well-known antivirus
  992.         people but if none is recognized - feel free to contact me to
  993.         check the validity of this public key). You can also try
  994.         "finger mig@mig.phys.msu.su" to get my PGP key. First, add
  995.         my public key to your PGP keyring:
  996.  
  997.                 PGP -KA GOAT.DOC
  998.  
  999.         To check the validity of GOAT.COM use the following command:
  1000.  
  1001.                 PGP GOAT.ASC GOAT.COM
  1002.  
  1003.  
  1004.   ┌────────────────────────┐
  1005.   │VERSIONS ON THE INTERNET│
  1006. ──┴────────────────────────┴──────────────────────────────────────────────────
  1007.  
  1008.         I would be happy to send the latest version of GOAT package
  1009.         to everybody who needs it. Do not hesitate to contact me
  1010.         personally via Email. Copies of the program are available
  1011.         on Simtel, Garbo and their mirrors worldwide. You can
  1012.         usually download the latest copy from:
  1013.  
  1014.         ftp://ftp.informatik.uni-hamburg.de/pub/soft/virus/progs/tools/goat42.zip
  1015.  
  1016.  
  1017.  
  1018.   ┌───────┐
  1019.   │HISTORY│
  1020. ──┴───────┴───────────────────────────────────────────────────────────────────
  1021.  
  1022.        Version 4.2 -  A bug with /Qnn switch was fixed. The bug
  1023.                       demonstrated itself only when more than 10
  1024.                       files were created in one subdirectory.
  1025.  
  1026.        Version 4.1 -  DOC file was slightly rewritten - false alarm of
  1027.                       McAfee SCAN was found ("STRAT.486" - see below
  1028.                       "BUGS" section).
  1029.  
  1030.        Version 4.0 -  All programs were joined into one - GOAT.COM.
  1031.                       Goat file output changed - now it includes the
  1032.                       printout of switches used when created this file.
  1033.                       All limitations on the number of files (used to
  1034.                       be 1000) were removed (now, after 000...999 go
  1035.                       AAA...ZZZ, etc.). New switches introduced - /Qnn,
  1036.                       /Gnn, /L, /!, /#, /7. Redefined switches - /W, /X,
  1037.                       /S. Parameter added to switches /Enn, /Rnn.
  1038.                       Goat code is now able to selfcheck the goat file.
  1039.                       GOAT.COM now checks its own size/checksum and
  1040.                       reports the change (if any).
  1041.  
  1042.        Version 3.1 -  Some small improvements were made: programs
  1043.                       now do not report "Your PC might be infected"
  1044.                       under Novell. New switch /U introduced. Switch
  1045.                       /D behaviour was improved. And, finally, EXE header
  1046.                       now contains 1C as an offset of relocation entries
  1047.                       list (although the list itself is empty; helps to
  1048.                       handle a couple of viruses, which need non-zero
  1049.                       word in 001C).
  1050.                       No bugs were reported for more than a year since
  1051.                       release of 3.0 so no fixes were needed.
  1052.  
  1053.        Version 3.0 -  Goat file contents changed - the string,
  1054.                       indicating type of goat file, added to the
  1055.                       printed message (COM/EXE/SYS).
  1056.                       Device driver creation mode added: switches
  1057.                       /Y (make SYS file) and /Annnn (set device
  1058.                       attribute) appeared. "SYSname=" definition
  1059.                       added to the INI file processor (this name
  1060.                       appears in the SYS file header).
  1061.                       Help screen redesigned - now switches are
  1062.                       listed in the alphabetical order.
  1063.                       FLOCK.COM, when running on an almost full drive
  1064.                       entered very long loop - corrected.
  1065.                       GOATSET.BAT creates now 6 device driver files.
  1066.  
  1067.        Version 2.1 -  Motto string added to the INI file.
  1068.                       INI file processor allows quoted strings now
  1069.                       in the "Motto=" and "STACKfill=" definitions.
  1070.                       New switches /N[nnnn] (random fill with
  1071.                       possible seed definition) and /X (supress
  1072.                       Motto string defined in the INI file) added.
  1073.                       GOAT.INI was not found by FLOCK and GOATS
  1074.                       thru path, fixed.
  1075.  
  1076.        Version 2.01 - Some portion of code (common to GOAT, GOATS
  1077.                       and FLOCK, version >1.5) alerted F-Prot (it
  1078.                       reported "Probably new variant of BootEXE").
  1079.                       I rewrote it in order to avoid this false alarm.
  1080.  
  1081.         Version 2.0 - INI file processing added.
  1082.                       FLOCK.COM appeared instead of FLOCK.BAT.
  1083.                       FLOCK.COM switches /F (# of files in dir)
  1084.                       and /D (max # of subdirectories) appeared.
  1085.                       Selfchecking level added (switch /Cn).
  1086.                       Switches /O and /V do not force EXE now
  1087.                       (to allow including /O, /V into INI file).
  1088.                       Word pattern (/W) fixup corrected.
  1089.                       GOATSET operation (when GOAT.COM selfcheck
  1090.                       fails) was corrected.
  1091.  
  1092.         Version 1.6 - Switches /K, /M, /W, /C, /I added.
  1093.                       Many enhancements in the code were made.
  1094.                       Selfchecking is double now (in-memory copy
  1095.                       and file on disk), check for companion virus
  1096.                       infection added. Rare conflict of /R and /T
  1097.                       switches fixed. Removing of non-fully created
  1098.                       readonly files fixed.
  1099.  
  1100.         Version 1.5 - Switch /P (pattern fill) added.
  1101.                       Selfchecking of timestamp added.
  1102.                       /J/B/E or /J/B/S forced NOP-filling
  1103.                       for EXE files, corrected.
  1104.                       When making a series of files with GOATS.COM
  1105.                       on 5 (and 67) byte boundary, additional JMP
  1106.                       appeared even with /J switch, corrected.
  1107.  
  1108.         Version 1.4 - File numeration changed, it is common
  1109.                       for EXE and COM files now. Ex., if GOAT000.COM
  1110.                       exist, created EXE file will be GOAT001.EXE
  1111.                       (to give some freedom to companion viruses).
  1112.  
  1113.         Version 1.3 - Added switch /Tnn. Bug with attribute
  1114.                       in GOATS fixed (always set 0000, even
  1115.                       with /R switch). When modified, GOATS.COM
  1116.                       reported "GOAT.COM probably infected!",
  1117.                       corrected. Minalloc field in EXE header
  1118.                       changed to zero (ver. <1.3 always set 20h).
  1119.  
  1120.         Version 1.2 - DOC file written. BAT files FLOCK and
  1121.                       GOATSET added. Decimal printout of goat
  1122.                       file size added. Added rotating symbol
  1123.                       "|" (when creating goat files longer
  1124.                       than 64k). Selfchecking added.
  1125.  
  1126.         Version 1.1 - Many switches added (/S,/O,/B,/J,/Z,/V,/9,/R).
  1127.  
  1128.         Version 1.0 - First version, without documentation,
  1129.                       supported only switch /E. No decimal
  1130.                       size in the printout of goat files.
  1131.  
  1132.  
  1133.   ┌────┐
  1134.   │BUGS│
  1135. ──┴────┴──────────────────────────────────────────────────────────────────────
  1136.  
  1137.         All EXE files >=1024k, created with /O and /E2 switches
  1138.         (short header, not overlaid) hang old DOS versions (<5.0)
  1139.         upon execution. For a very similar file with normal 512-
  1140.         bytes header, DOS behaves normally. It reports "Program
  1141.         too big to fit in memory" or "Cannot execute GOAT000.EXE".
  1142.         This DOS bug is no longer present in DOS 5.0 and 6.0.
  1143.         Old DOS versions were obviously confused with such a strange
  1144.         goat file (the file without overlaid structure and greater
  1145.         than 640K cannot fit into DOS memory and have no real sense).
  1146.         DOS should report a load error, because a load size is
  1147.         definitely >640K. Unfortunately it hangs instead.
  1148.  
  1149.         One known bug: if EXE file generated is longer than 1MB and
  1150.         code is at bottom (ex., 1025k /e/b) - CS:IP will be assigned
  1151.         incorrectly. But I do not feel like correcting this as DOS
  1152.         cannot load/execute such files anyway.
  1153.  
  1154.         Some versions of McAfee SCAN (at least 2.5.2 dated September
  1155.         1996) produce a false alarm ("Found the STRAT.486 virus") in
  1156.         all SYS files created using GOAT package and in the GOAT.COM
  1157.         generator itself (versions 3.x and 4.x). The alarm is caused by
  1158.         the code responsible for creation of the SYS files. This has
  1159.         been reported to McAfee and fixed in November 1996 release
  1160.         2.5.2 of McAfee SCAN.
  1161.  
  1162.  
  1163.   ┌───────────────┐
  1164.   │ACNOWLEDGEMENTS│
  1165. ──┴───────────────┴───────────────────────────────────────────────────────────
  1166.  
  1167.         I am greatly acknowledged to Frans Veldman (Esass, the Netherlands).
  1168.         Discussions of some aspects of a goat file generation were very
  1169.         fruitful. I also got some useful suggestions from Igor Danilov
  1170.         (Sald, St.Petersburg) and Vesselin Bontchev (FSI, Iceland).
  1171.  
  1172.         I benefited from the usage of HIEW.EXE (Hacker's View)
  1173.         program by Eugene Suslikov. HIEW.EXE, being the viewer of
  1174.         an executable files, is very useful for the examination of
  1175.         the contents of goat files. I recommend HIEW for all users of
  1176.         GOAT package. Try the following Internet URLs to get a copy:
  1177.  
  1178.         http://palantiri.spb.su/English/Misc/GSS/toolsoft/hiew.html
  1179.         http://www.kiarchive.ru:8098/msdos/sys/hack_tools/
  1180.         ftp://ftp.cdrom.com/.2/dresden/edit/hiew524.zip
  1181.  
  1182.  
  1183.   ┌──────┐
  1184.   │FLAMES│
  1185. ──┴──────┴────────────────────────────────────────────────────────────────────
  1186.  
  1187.         Send flames, questions, etc. directly to the author
  1188.         (preferably via Email).
  1189.  
  1190.         All ideas, comments and corrections will be appreciated.
  1191.  
  1192.         Sorry for possible errors in this manual - English
  1193.         is not my native language.
  1194.  
  1195.  
  1196.   ┌──────┐
  1197.   │AUTHOR│
  1198. ──┴──────┴────────────────────────────────────────────────────────────────────
  1199.  
  1200.         Dr. Igor G. Muttik
  1201.         Virus Laboratory
  1202.         Dr Solomon's Software Ltd.
  1203.         Alton House, Gatehouse Way
  1204.         Aylesbury, Bucks, HP19 3XU
  1205.         United Kingdom
  1206.  
  1207.         Email addresses : Igor.Muttik@uk.drsolomon.com
  1208.                           MIG@uk.drsolomon.com
  1209.                           igor@dial.pipex.com
  1210.                           MIG@mig.phys.msu.su
  1211.                           MIG@lt.phys.msu.su
  1212.                           MIG@sands.co.uk
  1213.  
  1214.         Phone: +44 1296 318700 ext.2756
  1215.         Fax:   +44 1296 318734
  1216.  
  1217.