home *** CD-ROM | disk | FTP | other *** search
/ CD ROM Paradise Collection 4 / CD ROM Paradise Collection 4 1995 Nov.iso / filutil / sentry02.zip / SENTRY02.DOC < prev    next >
Text File  |  1991-02-04  |  14KB  |  290 lines

  1.                              SENTRY VERSION 2.0
  2.                            from McAfee Associates
  3.  
  4. Executable Program (STINSTAL.COM):
  5.      Versions 2.0 and above are packaged with a VALIDATE program
  6. the with authenticate the integrity of STINSTAL.COM.  Refer to the
  7. VALIDATE.DOC instructions for the use of the validation program.
  8.      The validation results for STINSTAL.COM should be:
  9.  
  10.                     SIZE: 6,986
  11.                     DATE: 5-10-1989
  12.      FILE AUTHENTICATION
  13.           Check Method 1: 7978
  14.           Check Method 2: 1990
  15.  
  16.      You may also call the McAfee Associates bulletin board at 408
  17. 988 4004 to obtain on-line STINSTAL.COM verification date.  The
  18. VALIDATE program distributed with SENTRY may be used to authenticate
  19. all future versions of SENTRY.
  20.  
  21. OVERVIEW:
  22.  
  23.      Sentry version 2 is an updated version of the original Sentry
  24. product.  It now runs on DOS 4.0 and above, and it has additional
  25. checks for partition table viruses.  In operation, however, it is
  26. identical to the original version.  If you currently are running
  27. Sentry, the only modification required is to re-install using the
  28. new install routine.  Everything else is identical.
  29.  
  30.      I have designed and marketed an number of antiviral products
  31. commercially through InterPath Corporation, some with more
  32. success than others.  I have also researched and tested every
  33. antiviral product available in both the commercial and public
  34. domain markets.  All of them (including my own) were less than
  35. satisfying.  They left me with a sense of unease about the
  36. security of my system, or alternately, were so difficult to
  37. install and use that I would rather suffer the virus than the
  38. product.  My answer to this problem is Sentry.  
  39.      Sentry uses a unique approach to the virus issue.  Prior
  40. products have used TSR filters to attempt to trap viruses, or
  41. checksums to detect changes in critical files.  The TSR approach
  42. has numerous weaknesses, primarily because TSRs cannot prevent
  43. viruses from directly interfacing with the system I/O
  44. controllers.  Thus, over half of existing viruses cannot be
  45. stopped or detected by such products.  The interrupt vectoring
  46. techniques of these products are easily circumvented by viruses. 
  47. The checksum approach, on the other hand is very time consuming
  48. and awkward to implement.  Both techniques are troublesome to
  49. install and execute.
  50.      Sentry relies on a characteristic of viruses that has been
  51. overlooked  by other product developers.  That characteristic is
  52. called the "Positioning Rule".  This rule relates to how viruses
  53. attach to programs.  Very simply, viruses may attach to the
  54. beginning, to the end or to the middle of a program, or any
  55. combination of the three.  They may fragment themselves and
  56. scatter virus segments throughout the program.  Or they may even
  57. keep the main body of the virus unattached to the program, hidden
  58. in a bad sector for example.  All viruses that have been
  59. discovered, however, have modified at least some small portion of
  60. the beginning instructions of the program.  This is because a
  61. virus must be executed first, that is - before the host program
  62. to which it has attached.  If the virus does not execute before
  63. its host program, then the environment in which the virus "wakes
  64. up" will be uncertain, and the probability of program failure
  65. will be high.
  66.      The exceptions to this positioning rule are viruses that
  67. replace the entire program, such as boot sector infectors, and
  68. viruses that attack only specific programs, like known operating
  69. system files or other programs that would be commonly found in
  70. large numbers of systems.  These viruses may gain control at any
  71. point, since the structure of the host program is well known and
  72. the environment can be predicted at any point in the host
  73. program's processing.
  74.      The implications of this principal are very important. 
  75. Sentry takes advantage of this characteristic to radically speed
  76. up the checking function.  If every byte of every program is
  77. processed by a checksum or other comparison technique, then
  78. scanning the entire system for a virus takes a substantial time
  79. to complete (15 minutes to an hour), and it is impractical to
  80. perform this function frequently.  As a result, previous virus
  81. products could not effectively perform this function.
  82.      Sentry, on the other hand, employs a technique that locates
  83. the initial instructions and branch addresses for each generic
  84. program in the system and logs critical information about these
  85. locations.  It is able to scan the entire system for a virus over
  86. 200 times faster than global checksum techniques.  As a result,
  87. it is now practical to check the entire system each time the
  88. system boots.  This normally takes less than 20 seconds for the
  89. average system.
  90.      Sentry is installed by simply typing the install command. 
  91. There is nothing else the user ever needs to do.  Install
  92. automatically logs ALL components of the system that can be hosts
  93. to a virus and places an automatic check function in your
  94. autoexec.  If you ever do get a virus, Sentry will list any and
  95. all components of the system that are affected.  That's all there
  96. is to it.
  97.  
  98.                              SENTRY VERSION 2.0
  99.                                USER'S  MANUAL
  100.  
  101. HOW IT WORKS:
  102.  
  103.      SENTRY is a computer virus detection system that catches
  104. viruses that have entered your system.  It uses a high
  105. reliability detection mechanism that monitors all system areas
  106. that are susceptible to viral attacks.  If a virus does enter
  107. your system, SENTRY will identify the specific system area or
  108. program files that have been infected, so that virus removal is
  109. simplified.
  110.      SENTRY executes in two phases.  The initial install phase
  111. logs the system's hardware and software parameters - including
  112. the initial interrupt vector states, boot sector instructions,
  113. hidden DOS files, device drivers and all executable code on the
  114. hard disks.  Initial load instructions, branch addresses, and
  115. other program states are also logged for each program on the hard
  116. disk.  The subsequent check phase executes each time the system
  117. is powered on or re-booted, and it checks all system parameters
  118. for traces of infection.
  119.      SENTRY is fully effective in detecting viruses, including
  120. boot sector infectors and imbedded viruses (viruses that the
  121. leave the infected program's size and external indicators
  122. unchanged).  It provides a timely and near foolproof indication
  123. of infection.
  124.  
  125. INSTALLATION:
  126.  
  127.      SENTRY must be installed on your bootable hard drive.  If
  128. your system contains multiple hard drives, they may also be
  129. included in the SENTRY logging and monitoring function.  To
  130. install SENTRY on a system with one hard drive (C:), type:
  131.  
  132.                STINSTAL C:
  133.  
  134.      SENTRY will load and then display a message that it is going
  135. to automatically re-boot the system.  At this point, you must
  136. remove diskettes from the A drive and any other floppies that are
  137. in any drives.  When the floppies have been removed, press any
  138. key to allow SENTRY to begin installation.
  139.      If you have more than one hard drive in your system, you
  140. should include them in the installation by typing the drive
  141. designations after the boot drive.  For example:
  142.  
  143.                STINSTAL C: D: E:
  144.  
  145. would install C: as the boot drive and also include D: and E: as
  146. drives to be logged and monitored for viral infections.
  147.      The SENTRY installation will re-boot your system and then
  148. begin its logging function.  It will create a log file called
  149. SENTRY.LOG and store it at the root of your boot disk.  It will
  150. then install the SENTRY check routine at the root of your boot
  151. disk and include it as the first program in your autoexec.bat
  152. routine.  SENTRY.COM MUST REMAIN THE FIRST INSTRUCTION IN YOUR
  153. AUTOEXEC IN ORDER TO OPERATE CORRECTLY.
  154.      The SENTRY installation process may take 10 minutes or more
  155. for systems with large numbers of files - the daily check
  156. function however, will execute many times faster.  After the
  157. installation has completed, the system's autoexec file will be
  158. re-executed in order to return the system to its state prior to
  159. installation.
  160.      The SENTRY.LOG file will take approximately 10K of disk
  161. space plus 100 bytes for each executable program on the disks.
  162.  
  163. RE-INSTALLATION
  164.  
  165.      SENTRY monitors the system each time the system is powered
  166. on or re-booted and checks for modifications to key system
  167. parameters.  If the system has been purposely modified, SENTRY
  168. may flag the changed areas as possibly infected.  The following
  169. system modifications will cause SENTRY to issue a warning:
  170.  
  171.           - Installing a new version of DOS
  172.           - Removing or adding a device driver to CONFIG.SYS
  173.           - Deleting a program
  174.           - Replacing a program with a different version
  175.  
  176.      If any of the above have occurred, SENTRY should be re-
  177. installed.  To re-install, follow the same instructions as for
  178. initial installation.  The original SENTRY.LOG file will be
  179. replaced with the new log file containing the new system data.
  180.  
  181. OPERATION
  182.  
  183.      The SENTRY check function compares the ongoing state of your
  184. system to the original "snapshot" state.  A copyrighted, proprietary
  185. algorithm checks ALL executable programs on your system for viral
  186. modifications.  The algorithm is able to do this in a reasonable
  187. amount of time due to a selective logging function.  This logging
  188. function logs only those segments of program code and other
  189. variables that would be affected by any virus attack.  "Inert"
  190. sections of programs are removed from the checking process. 
  191. SENTRY also checks the entire boot sector and all system
  192. interrupt routines for modifications.  Finally, system device
  193. drivers and operating system hidden files are checked.
  194.      The SENTRY check function executes each time the system is
  195. powered on or re-booted.  If a discrepancy in any area of the
  196. system is noted, the check function will pause and display a
  197. message identifying the system area and the discrepancy.  If no
  198. discrepancies are found, the check function will terminate with
  199. an OK message.  The check function will require about 10 seconds
  200. for each 100 executable programs stored on your hard disk.  
  201.  
  202.  
  203. IF A VIRUS IS FOUND
  204.  
  205. Important: If any virus is discovered by SENTRY, first note the
  206. names of the infected programs or system areas.  Then immediately
  207. power down the system.  Re-boot the system from the original DOS
  208. distribution diskette prior to attempting to remove the virus.
  209.  
  210.      There are three general classes of PC viruses:  Boot
  211. infectors, system infectors and program infectors.  Each class of
  212. virus will typically affect different areas of the system and
  213. require different approaches to removal.
  214.      Generally, viruses can be removed by deleting or overwriting
  215. the affected portion of the disk, and replacing the infected
  216. component.  For program infectors (viruses that infect general
  217. .COM or .EXE files), this is a fairly simple process.  SENTRY
  218. will identify each program that has been infected (program size,
  219. date, or internal components have changed).  Simply erase the
  220. infected programs and replace them from the original distribution
  221. diskettes.
  222.      Boot infectors replace or modify a disk's boot sector. 
  223. SENTRY will identify an infected boot sector with a "Boot Sector
  224. Infection" message.  This type of virus requires that the boot
  225. sector be replaced using the DOS "SYS" command.  See your DOS
  226. manual for instructions for the SYS command.
  227.      System infectors attach to COMMAND.COM, IBMBIO.COM,
  228. IBMDOS.COM or any installable device drivers.  SENTRY will
  229. identify such viruses by naming one of the above files or by
  230. specifying that the system interrupt vectors have changed.  To
  231. remove this type of virus, erase the affected files, then perform
  232. a SYS command as above.  Finally, replace any affected device
  233. drivers.
  234.      In all of the above cases, re-install SENTRY after virus
  235. removal.
  236.  
  237. If SENTRY detects an infection, and you have any concerns or
  238. questions, contact InterPath at the number and address at the end
  239. of this document.
  240.  
  241. EXTRA PRECAUTIONS
  242.  
  243.      To prevent any possibility of viral tampering with the
  244. SENTRY program and log file, you should copy the files SENTRY.COM
  245. and SENTRY.LOG from the root of your boot disk to a backup floppy
  246. immediately after installing SENTRY.  Periodically (each month or
  247. so) you should copy these two files from the floppy back to the
  248. root of your boot disk.
  249.  
  250.  
  251.  
  252. FOR ADVANCED USERS
  253.  
  254.      SENTRY defaults to a global scan a check of all system
  255. components.  You may however, restrict its operation in a number
  256. of areas:
  257.  
  258.  
  259. Using the /s option:
  260.  
  261.      STINSTAL c: /s d:\temp, d:\masm, c:\prod
  262.  
  263.      This command string would install SENTRY so that it ignored
  264. all activities in the three directories named.
  265.  
  266. Using the /i option:
  267.  
  268.      STINSTAL c: d: /i
  269.  
  270.      This command string would install SENTRY on drives D: and C:
  271. and would instruct SENTRY to ignore any modifications in the
  272. interrupt vectors caused by changes in the operating system
  273. environment.  If you frequently modify your config.sys files, or
  274. change out system device drivers you may want to use this option.
  275.  
  276. Using the /b option:
  277.  
  278.      STINSTAL c: /b
  279.  
  280.      This option tells SENTRY to ignore boot sector logging.  You
  281. must use this option if running on a Zenith laptop.
  282.  
  283. Using the /L option:
  284.  
  285.      STINSTALL c: /L a:frog.log
  286.  
  287.      This option creates a second log file.
  288.  
  289.  
  290.