home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
PC Format 8 (5.25")
/
PC Format - Issue 8 May 1992 - Disk 1.ima
/
TBSCNX26.EXE
/
TBSCANX.DUT
< prev
next >
Wrap
Text File
|
1991-04-19
|
38KB
|
846 lines
DOCUMENTATIE VOOR TBSCANX V2.6
Reglementen met betrekking tot gebruik en distributie van TbScanX
-----------------------------------------------------------------
Het programma TbScanX alsmede de begeleidende documentatie is
SHARE-WARE. Dit betekent kortweg dat het programma onder de
copieerrechten van ESaSS valt, maar gebruikt en verspreid mag
worden zolang onderstaande regels in acht worden genomen:
+ Voor de distributie en verspreiding van het TBSCAN programma
mogen geen administratie en/of verzendkosten worden berekend
die het bedrag van Fl 7,50 overschrijden.
+ Het programma mag niet worden geleverd tesamen, of als deel van
een commercieel pakket.
+ Verspreiding van het programma mag alleen geschieden indien
zowel het programma als de documentatie ongewijzigd zijn, en
mits het gehele pakket wordt geleverd. Het programma mag dus
niet los van deze documentatie worden verspreid.
+ ESaSS aanvaart geen enkele verantwoordelijkheid voor het niet
of slecht functioneren van het programma.
+ ESaSS kan nimmer aansprakelijk worden gesteld voor schade,
direct of indirect voortvloeiende uit het gebruik van TbScanX.
+ Gebruik van TbScanX betekent dat u accoord gaat met deze
bepalingen.
Beschrijving TbScanX
--------------------
TbScanX is een programma dat werd gemaakt om virussen, Trojan
Horses en andere bedreigingen van uw kostbare gegevens op te sporen
en te identificeren. Het is een zogenaamde virusscanner.
Een virusscanner is een programma dat naar een vooraf bepaalde
tekenreeks in programma's kan zoeken. De meeste virussen bestaan
uit een unieke tekenreeks, zodat we aan het al dan niet voorkomen
van de tekenreeks kunnen zien of een programma is besmet.
Door alle programmabestanden op uw machine af te zoeken naar de
tekenreeksen van alle reeds geidentificeerde virussen kan op een
eenvoudige manier worden vastgesteld of uw systeem is besmet en zo
ja, met welk virus.
Er bestaan inmiddels veel virusscanners. Het probleem van deze
virusscanners is dat je ze dient uit te voeren. Stel dat u een
virusscanner automatisch laat opstarten via uw autoexec.bat
bestand. Indien er geen virussen worden aangetroffen wordt uw
systeem vrij van virussen geacht. Maar om er zeker van te zijn dat
niet alsnog virussen uw systeem kunnen binnensluipen dient u
eigenlijk iedere keer dat u een bestand naar uw vaste schijf
kopieert de virusscanner weer uit te voeren. Maar wie doet dat in
de praktijk?
TbScanX is een scanner die dit probleem voor u oplost: het blijft
permanent in het geheugen van uw PC en zal AUTOMATISCH ieder
bestand scannen dat wordt uitgevoerd, gekopieerd, gemodificeerd,
uitgepakt, gedownload, etc.
Wellicht denkt u dat een geheugenresidente virusscanner veel
geheugen kost, uw systeem traag maakt, en een bron van ellende zal
blijken. Maar indien u onze TBSCAN virusscanner reeds kent dan weet
u dat deze scanner gemiddeld tien maal sneller is dan andere
virusscanners. Ook TbScanX haalt deze snelheid, en is zelfs nog een
stuk sneller omdat hij de te scannen bestanden niet meer hoeft in
te lezen. Deze bestanden zijn namelijk al in het geheugen van uw PC
aanwezig!
Daarnaast gebruikt TbScanX slechts 8 Kb aan geheugen, en dat is
inclusief de handtekeningen (signatures) waarvoor het moet waken.
Indien er expanded memory op uw machine aanwezig is kan het
geheugengebruik zelfs worden beperkt tot nog geen 1Kb.
TbScanX heeft dezelfde eigenschappen als zijn broertje TBSCAN:
+ TbScanX is volledig programmeerbaar door middel van een
databestand.
Virussen verspreiden zich vaak snel. Er is vaak geen tijd om na
de ontdekking van een nieuw virus een virusscanner om te bouwen
zodat het ook dit nieuwste virus herkent. Daarom gebruikt
TbScanX een databestand waarin de tekenrijen van de virussen
staan. Dit bestand kan snel worden aangepast, eventueel door u
zelf naar aanleiding van een bericht via de media. TbScanX
ondersteunt onder andere het formaat dat wordt gebruikt in het
bestand "virscan.dat". Dit bestand wordt regelmatig aangepast
en is op veel databanken te verkrijgen.
+ TbScanX ondersteunt jokers in de zoekreeks.
Veel virussen versleutelen zichzelf, zodat de tekenreeks er
iedere keer anders uitziet. Er is echter een deel van het virus
dat niet kan worden versleuteld: de routine die het
versleutelde deel van het virus moet "uitpakken".
Het is echter een misvatting dat dit deel van het virus er
altijd hetzelfde uit zou moeten zien. Er zijn namelijk virussen
die de uitpak-routine doorspekken met zinloze (en geen effect
sorterende) instructies, die ze iedere keer vervangen door
andere onzinnige instructies. Hoewel de uitpak-routine
functioneel altijd hetzelfde blijft ziet het er door die
veranderende nep-instructies niet altijd hetzelfde uit!
Door in de tekenrij in het databestand op de plaatsen waar de
nep-instructies voorkomen jokers te plaatsen kan een dergelijk
virus toch worden opgespoord en geidentificeerd. Op de plaats
van de joker mag namelijk een willekeurig teken voorkomen.
Ook is het mogelijk een variabel aantal tekens over te laten
slaan in de zoekreeks.
+ TbScanX ondersteunt gewone tekst als zoekreeks.
De meeste tekenreeksen worden in ASCII-HEX ingegeven. U kunt
echter indien u dat wenst ook een gewone tekst als zoekreeks
opgeven. U plaatst de tekst dan tussen dubbele quotes: ["].
+ TbScanX biedt andere programmatuur een universele manier om
gegevens te laten doorzoeken op virussen. Indien u een
programmeur bent kunt u uw programma's zo aanpassen dat ze
gegevens die ze vanaf schijf lezen eerst laten onderzoeken op
virussen alvorens de gegevens te gebruiken.
Gebruik van het programma
-------------------------
TbScanX is eenvoudig in het gebruik: toets gewoon "TBSCANX". Het
programma kan ook vanuit de config.sys worden opgestart via het
commando "device=TBSCANX.COM". Het voordeel van de laatste methode
is dat TbScanX een gunstiger positie in het werkgeheugen krijgt en
al eerder zijn beschermende werking kan uitvoeren. Bovendien
gebruikt TbScanX minder geheugen wanneer het als device driver is
opgestart. (LET OP: Indien u TbScanX als device driver opstart
dient de uitgang .COM te worden opgegeven!)
Indien u MS-Windows gebruikt kunt u het beste TbScanX aanroepen
VOORDAT u Windows opstart. U heeft dan slechts een enkele kopie van
TbScanX nodig in het werkgeheugen, terwijl toch alle DOS-windows
van de beveiliging profiteren. TbScanX detecteert namelijk het
opstarten van Windows en schakelt indien nodig om in multi-tasking
mode.
De volgende opties zijn beschikbaar:
-? = Vertoon helpscherm
-d = Stel TbScanX buiten werking.
-e = Activeer TbScanX.
-r = Verwijder TbScanX uit het geheugen.
-f <bestand> = Gebruik dit bestand als databestand.
-o = Optimaliseer signatures.
-n = Niet scannen bij uitvoering.
-me = Gebruik EMS geheugen.
-mu = Gebruik hoog geheugen.
-mh = Gebruik Hercules-half geheugen.
-mf = Gebruik Hercules-full geheugen.
-mc = Gebruik CGA/EGA/VGA geheugen.
-u = Ongeauthorizeerde handtekeningen toegestaan.
-D Met deze optie kunt u TbScanX tijdelijk uitschakelen. TbScanX
blijft echter in het geheugen aanwezig.
-E Gebruik deze optie om TbScanX weer opnieuw te activeren nadat
het met behulp van de -D optie was uitgeschakeld.
-F Deze optie maakt TbScanX duidelijk welk bestand het als
databestand dient te gebruiken. Gebruik deze optie indien u
TbScanX aanroept als device driver, of indien het databestand
niet in de huidige of thuis-directory kan worden gevonden.
-O Indien u deze optie opgeeft zal TbScanX de handtekeningen (de
signatures) optimaliseren door sterk op elkaar lijkende
signatures (meer dan 75% overeenkomst) te vervangen door een
enkele. Bekijk de volgende twee signatures:
Signature 1: CD2145A689BF452F1E77CBCD21
Signature 2: CD2111A689BF4A3F1E77CBCD21
TbScanX vervangt de bytes die verschillen door jokers en
verwijdert de tweede signature. De resulterende handtekening is
van bovenstaand voorbeeld is:
Signature 3: CD21??A689BF????1E77CBCD21
Het zal duidelijk zijn dat deze optie geheugen bespaart en dat
de scansnelheid een beetje toeneemt. Deze optie heeft echter
nooit tot gevolg dat virussen niet worden gedetecteerd, maar in
plaats daarvan neemt de kans op vals alarm een beetje toe.
-N TbScanX controleert programma's ook vlak voor ze worden
uitgevoerd. Indien u dat niet op prijs stelt kunt u het met
deze optie uitschakelen tijdens de eerste aanroep van TbScanX.
-M TbScanX biedt een aantal mogelijkheden om het gebruik van
werkgeheugen te minimaliseren. De optie heeft een parameter
nodig die aangeeft wat voor soort geheugen kan worden gebruikt.
Alle parameters op "U" na reduceren het gebruik van
conventioneel geheugen (werkgeheugen) tot minder dan een
kilobyte. De rest wordt dan in de opgegeven geheugensoort
bewaard. Met behulp van de parameter "U" kan het gebruik van
conventioneel geheugen zelfs tot nul worden terug gebracht! De
parameter "U" is de enige die kan worden gecombineerd met
andere geheugenparameters.
X Indien u deze parameter opgeeft gebruikt TbScanX
expAnded geheugen om de signatures en een deel van
zichzelf te bewaren. Expanded geheugen kan echter
slechts worden gebruikt in stukken van 16Kb, dus de
minimale hoeveelheid expanded geheugen die u verliest
bedraagt 16Kb. Maar aangezien conventioneel
werkgeheugen van meer waarde is voor uw programma's dan
expanded geheugen is deze optie altijd aan te raden.
H Indien u deze parameter opgeeft gebruikt TbScanX een
deel van het Hercules videogeheugen om de signatures te
bewaren. Zolang de videokaart in de tekstmodus staat
wordt er namelijk slechts een deel van het
videogeheugen gebruikt. De rest kan dan worden gebruikt
voor... TbScanX. Videogeheugen is echter vrij traag,
dus TbScanX wordt dan wel iets langzamer. Indien er
toch een grafisch programma wordt uitgevoerd zet
TbScanX zichzelf gewoon buiten werking. TbScanX kan
daarna opnieuw worden geactiveerd door het opnieuw op
te starten. Gedeelten van TbScanX die nog in het
geheugen aanwezig waren worden dan automatisch eerst
verwijderd.
F Deze parameter doet hetzelfde als parameter H, alleen
wordt de Hercules videokaart eerst in de zogenaamde
full-mode gezet. TbScanX gebruikt dan videogeheugen dat
zelfs door de meeste grafische pakketten NIET wordt
gebruikt! U kunt dan dus toch grafische programma's
draaien en tegelijkertijd TbScanX het videogeheugen
laten gebruiken. Let echter op: Indien u TWEE
videokaarten in uw machine heeft zitten gebruik deze
optie dan NIET!
C Deze parameter doet hetzelfde als parameter H, alleen
wordt nu een deel van het CGA/EGA/VGA videogeheugen
gebruikt.
U Deze parameter maakt het mogelijk TbScanX te laden in
zogenaamd Upper memory. Dit is geheugen dat op veel
80386 machines wordt aangemaakt met bijvoorbeeld QEMM.
TbScanX laadt zichzelf zelfstandig in upper memory,
gebruik dus geen highload programma's. Indien deze
parameter wordt gebruikt in combinatie met een andere
dan wordt het resterende deel van TbScanX dat nog in
conventioneel geheugen staat naar upper memory
verplaatst. U kunt dus gelijktijdig Expanded en Upper
memory laten gebruiken. Voordeel is dan dat de
hoeveelheid upper memory dat gebruikt wordt eveneens
wordt geminimaliseerd.
-U TbScanX controleert het handtekeningenbestand op "echtheid".
Indien het bestand is gewijzigd geeft TbScanX een waarschuwing.
Indien u geen prijs stelt op de waarschuwing gebruik dan de
optie -u
-R Deze optie kan worden gebruikt om TbScanX weer uit het geheugen
van uw PC te verwijderen. Al het geheugen dat TbScanX in
gebruik nam wordt dan weer vrijgegeven. Helaas is het niet
altijd mogelijk een TSR als TbScanX uit het geheugen te
verwijderen. Indien een andere TSR na TbScanX is opgestart kan
TbScanX niet worden verwijderd. TbScanX controleert of dit het
geval is en zal dan TbScanX volledig inactiveren. Indien het
karakter device "SCANX" bestaat dan zal dit worden hernoemd
naar "$CANX". Indien op een later tijdstip TbScanX opnieuw
wordt aangeroepen wordt het device automatisch hernoemd en
opnieuw gebruikt.
TbScanX zoekt op de volgende wijze naar het databestand:
1) Het gebruikt het bestand dat is opgegeven met de -f optie.
2) Het kijkt of het in de actieve directory een bestand met de
naam "TBSCAN.DAT" kan vinden.
3) Het zoekt naar "TBSCAN.DAT" in de zelfde directory als waar
het programmabestand "TBSCAN.COM" zelf staat (alleen DOS 3+).
4) Het zoekt in de actieve directory naar een bestand met de naam
"VIRSCAN.DAT"
Voorbeeld:
c:\utils\tbscanx -f c:\tb\tbscan.dat -me
of:
device=c:\utils\tbscanx.com -f c:\tb\tbscan.dat -me -o
Wanneer er geprobeerd wordt om te schrijven naar een uitvoerbaar
bestand (bestanden met de uitgang .COM en .EXE) ziet u kort de
tekst "*Scanning*" in de linker bovenhoek van uw scherm
verschijnen. Zo lang als TbScanX aan het scannen is zo lang wil
deze melding blijven staan. Omdat TbScanX niet veel tijd nodig
heeft om een bestand te scannen zal de melding maar erg kort te
zien zijn.
Zodra TbScanX een virus detecteert drukt het de volgende melding af:
WARNING, <filename> is infected with <virus name>!
Abort? (Y/n)
Toets "N" om door te gaan, of druk op een andere toets om de
gevaarlijke activiteit af te breken.
Om de naam van het virus af te kunnen drukken heeft TbScanX het
signaturebestand opnieuw nodig. Het gebruikt automatisch hetzelfde
bestand dat het gebruikte toen het werdt opgestart. Indien het
signaturebestand niet meer bestaat (omdat u het heeft hernoemd of
verwijderd) of door een of andere oorzaak niet kan worden
gebruikt, detecteert TbScanX nog steeds virussen, maar kan niet
meer de naam van het virus afdrukken. Het drukt inplaats van de
naam "[name unknown]" af.
Indien TbScanX als device driver is opgestart heeft het een
zogenaamd "character device" aangemaakt met de naam "SCANX".
Wanneer u gegevens naar dit device stuurt worden deze automatisch
onderzocht op virussen. Toets bijvoorbeeld in:
copy testvir.com scanx /b
Er wordt geen bestand met de naam "scanx" aangemaakt, maar de
invoer (in dit geval afkomstig van het bestand "testvir.com") wordt
doorzocht op virussen. Op deze manier kunt u een willekeurig
bestand (ook de niet uitvoerbare bestanden) laten doorzoeken op
virussen zonder er een speciaal programma voor op te starten.
Indien het device "scanx" een signature herkend in de invoer
simuleert het een DOS "write protect error".
De "/b" optie is absoluut nodig, omdat DOS anders de tekens een
voor een naar het device stuurt. Dit kost veel tijd en bovendien
worden er geen signatures gevonden in een tekenreeks bestaande uit
slechts 1 teken.
REGISTREREN
-----------
De ongeregistreerde versie van TbScanX vraagt u om een toets in te
drukken tijdens het opstarten, behalve wanneer er een
Thunderbyte-kaart in de machine zit. Hoe u TbScanX kunt registreren
ziet u in de register.doc file.
Eenmaal geregistreerd kunnen alle toekomstige versies van TbScanX
zonder extra kosten worden gebruikt!
--> U HOEFT TBSCANX NIET TE REGISTREREN VOOR GEBRUIK IN EEN MACHINE
WAARIN EEN THUNDERBYTE-KAART IS GEINSTALLEERD!
Opmaak van het databestand
--------------------------
Het databestand (met de naam "TBSCAN.DAT" of "VIRSCAN.DAT") kan met
iedere ASCII-editor gelezen en/of gewijzigd worden.
Alle regels die beginnen met het teken ";" zijn commentaarregels.
TBSCAN negeert deze regels volkomen. Wordt het teken ";" gevolgd
door een procentteken dan wordt de rest van de regel op het scherm
afgedrukt. Er kunnen maximaal 15 regels worden afgedrukt op het
scherm. Handig for "HOT NEWS"...
Als eerste regel wordt de naam van een virus verwacht. De tweede
regel bevat dan een of meer van de volgende woorden:
BOOT SYS EXE COM HIGH LOW
Deze woorden mogen worden gescheiden door spaties, tabs, of
komma's.
TbScanX zoekt alleen naar virussen die het sleutelwoord COM of EXE
bevatten. De andere sleutelwoorden worden genegeerd en alleen
gebruikt in de niet-geheugenresidente versie: TBSCAN. TbScanX maakt
ook geen onderscheid tussen COM en EXE bestanden. Alle uitvoerbare
bestanden worden doorzocht op beide soorten virussen. Dit bespaart
geheugen.
BOOT geeft aan dat het virus een BOOT-sector virus is. SYS, EXE,
en COM geven aan dat het virus in bestanden met de genoemde
uitgangen kan voorkomen. Overlay bestanden (bestanden met de
uitgang .OV?) worden doorzocht op EXE virussen. HIGH geeft aan dat
het virus in het geheugen van de PC kan voorkomen, en wel in het
geheugen BOVEN het TBSCAN programma zelf. LOW geeft aan dat het
virus in het geheugen van de PC kan voorkomen, en wel in het
geheugen ONDER het TBSCAN programma zelf.
Als derde regel wordt de tekenreeks in ASCII-HEX verwacht. Ieder
virusteken wordt beschreven door middel van twee tekens. In plaats
van twee hex-tekens mogen ook twee vraagtekens voorkomen. Dat
laatste betekent dan dat het teken op die positie door het virus
gewijzigd kan worden en elk teken dus voldoet. Een tekenreeks kan
er dus als volgt uitzien:
A5E623CB??CD21??83FF3E
Ook kunt u het sterretje gevolgd door een byte gebruiken om een
aantal tekens in de zoekreeks over te laten slaan. De byte bestaat
uit een ASCII-HEX teken, en geeft het aantal tekens dat
overgeslagen kan worden. Een tekensreeks kan er dus als volgt
uitzien:
A5E623CB*3CD2155??83FF3E
De volgende tekenreeks wordt dan als virus herkend:
A5E623CB142434CD21554583FF3E
In plaats van een tekenreeks in ASCII-HEX kunt u ook een gewone
tekst opgeven. Deze dient dan wel tussen dubbele aanhalingstekens
geplaatst te worden. Een geldige tekenreeks is:
"Ik heb je te pakken!"
Deze opeenvolging van drie regels dient voor ieder virus te worden
herhaald. Tussen alle regels mogen commentaarregels voorkomen.
Zie verder het meegeleverde databestand.
Limieten
--------
+ 128Kb aan vrij geheugen is minimaal vereist.
+ DOS versie vanaf 3.0 is vereist.
+ De lengte van het databestand mag maximaal 64Kb bedragen.
+ De naam van een virus mag 30 tekens lang zijn.
+ De ASCII-HEX tekenreeks mag maximaal 80 tekens lang zijn.
+ Er mogen tot 500 verschillende signatures worden opgegeven.
+ Alle bestandsnamen hebben een maximale lengte van 48 tekens.
Foutmeldingen
-------------
De volgende foutmeldingen kunnen voorkomen:
+ Not enough memory
Er is niet genoeg geheugen vrij om te kunnen scannen.
+ Error in data line at line <nummer>
Er zit een fout in het databestand op de vermelde regel.
+ Limit exceeded
Het databestand was te lang, of er staan te veel
virus-signatures in.
+ Data file not found
TBSCAN kon het databestand niet vinden.
+ Processor type does not match.
De betreffende versie van TbScanX is processor-type afhankelijk
en kan niet worden uitgevoerd met de huidige processor.
SPECIALE VERSIES
----------------
TBSCANX.COM is een volledig functionerende versie. We hebben echter
twee speciale versies van TbScanX toegevoegd die gebruikt kunnen worden
in combinatie met bepaalde processor types. Indien u de 286 of 386
versie gebruikt haalt u het meeste uit het uw processor voor wat
betreft geheugengebruik en snelheid. Indien u de 286 versie wenst te
gebruiken dan moet u het bestand TBSCANX.286 hernoemen naar
TBSCANX.COM. Hetzelfde geldt voor de 386 versie.
TBSCANX.COM: Universele versie. Werkt op alle soorten machines.
Ondersteunt Windows "386-enhanced-mode".
Gebruikt wat meer geheugen dan de andere versies en is
iets minder snel.
TBSCANX.286: Werkt op machines met een NEC-V20, NEC-V30, 80286,
80386 of 80486 processor.
Ondersteunt NIET de Windows "386-enhanced-mode".
Deze versie gebruikt ongeveer 100 bytes minder geheugen
dan de andere versies en is ietwat sneller.
TBSCANX.386: Werkt op machines met een 80386 of 80486 processor.
Ondersteunt Windows "386-enhanced-mode".
Gebruikt minder geheugen dan de standaard versie, maar
meer dan de 286 versie door de Windows ondersteuning.
Het is de snelste versie.
Applicatie Interface
--------------------
Indien u een softwareontwikkelaar bent kunt u TbScanX gebruiken om
gegevens te controleren op virussen. Een programma kan bijvoorbeeld een
zelfcontrole uitvoeren nadat het is opgestart door zichzelf aan TbScanX
aan te bieden. Een programma dat uitvoerbare bestanden (of delen
daarvan) verwerkt (bijvoorbeeld scrambled of comprimeerd) zou voor het
het andere programma bewerkt even kunnen kijken of het geen virus aan
het verwerken is.
High-level aansturing
De hier beschreven methode is het meest geschikt voor de meeste
zogenaamde high-level programmeertalen en talen die geen voorzieningen
hebben om interrupts te genereren.
Open een bestand met de naam "SCANX." Indien dit bestand bestaat is
TbScanX als device driver opgestart en in het geheugen aanwezig. Open
het bestand in de binaire modus. Schrijf vervolgens de te onderzoeken
gegevens naar het bestand "SCANX". Indien de gegevens een virus
bezitten zat TbScanX een DOS "write protect error" als resultaat geven.
Gebeurt er niets (de invoer wordt geacepteerd) dan was er geen
signature herkend.
Low-level aansturing
Deze methode is ingewikkelder, doch biedt meer mogelijkheden. Indien uw
programmeertaal het genereren van interrupts toestaat kunt u deze
methode gebruiken. Deze methode werkt ook indien TbScanX niet als
device driver is opgestart.
De interface bestaat uit een serie multiplex calls (int 2Fh). In
register AH dient CAh te staan, en in register AL het sub-functie
nummer.
De volgende sub-functies zijn aanwezig:
AL=0 InstallationCheck
Return value:
AL=0 TbScanX niet geinstalleerd.
AL=FFh TbScanX geinstalleerd.
Indien BX gelijk was aan 'TB' dan is hij nu veranderd in 'tb'.
AL=1 GetStatus
Return value:
AH Versie nummer TbScanX in BCD. (CAh indien versie < 2.2)
AL=1 TbScanX actief
AL=0 TbScanX inactief
BX Segment swap-area. Nul indien niet geswapped.
CX Aantal signatures waarop wordt gezocht.
DX EMS_Handle. -1 indien geen EMS geheugen in gebruik.
AL=2 SetStatus
BL=1 Activeer TbScanX
BL=0 Zet TbScanX uit.
Return value:
geen.
AL=3 ScanBuffer
DS:DX Adres van de te doorzoeken buffer
CX Lengte van de te doorzoeken buffer
Return value:
No Carry flag set Geen signatures gevonden in buffer
Carry: Signature gevonden!
ES:BX ASCIIZ-reeks bestaande uit naam virus.
Registers gewijzigd:
AX,BX,CX,DX,ES
Buffer blijft altijd ongewijzigd.
AL=4 ScanFile
DS:DX Naam van het te doorzoeken uitvoerbare bestand
LET OP! Er dient minimaal 4Kb vrij geheugen aanwezig te zijn om
deze functie te kunnen laten uitvoeren!
Return value:
No Carry flag set Geen signature gevonden in programma
Carry: Signature gevonden!
ES:BX ASCIIZ-reeks bestaande uit naam virus.
Registers gewijzigd:
AX,BX,CX,DX,ES
Assembler voorbeeld:
mov ah,0CAh ;Multiplex nummer
mov al,0
int 02Fh ;Installatie controle
cmp al,0FFh ;Indien AL=FFh dan TbScanX aanwezig
jne notinstalled ;Anders is TbScanX niet geinstalleerd.
lea dx,buffer ;Adres van de buffer in DS:DX
mov cx,512 ;Lengte van onze buffer
mov ah,0CAh ;Multiplex nummer
mov al,3
int 02Fh ;ScanBuffer
jnc notinfected ;Geen carry? Dan geen virus gevonden!
call print ;Virus gevonden. Druk naam af ES:BX
notinfected:
Thunderbyte
-----------
Virusscanners kennen een aantal zeer grote nadelen:
+ Ze kunnen geen besmetting voorkomen.
Virusscanners kunnen slechts vertellen of uw systeem besmet is
of niet, en als uw systeem inderdaad besmet is is er al schade
ontstaan. Alleen een goede backup kan u dan nog redden.
+ Ze kunnen slechts reeds geidentificeerde virussen herkennen.
Wanneer er een nieuw virus gelanceerd wordt duurt het een
tijdje voor het door iemand wordt ontdekt. Daarna duurt het nog
even voordat er een betrouwbare tekenreeks uit het virus is
gedestilleerd, en vervolgens duurt het nog een tijd voordat u
de laatste virscan.dat in huis heeft. Al met al loopt u een
reele kans dat u systeem wordt besmet op een moment dat
virusscanners "uw" virus nog niet herkennen!
Virussen worden steeds geavanceerder. Onder andere door de aandacht
die door de media aan het verschijnsel computervirus wordt
geschonken is er een ware sport onder zieke geesten ontstaan om
computervirussen te schrijven. Er zijn nu al virussen ontdekt die
geen vaste tekenreeks meer hebben. Doordat TBSCAN jokers in het
databestand toestaat kan TBSCAN dit soort virussen vaak nog wel
opsporen. Het duurt echter niet lang meer voor er virussen
rondwaren die in het geheel geen herkenningspunt meer bieden, en
dan biedt zelfs TBSCAN geen soelaas meer.
Ook zijn er reeds virussen die op dezelfde manier als TBSCAN het
DOS entry-point opzoeken, op een effectieve manier beschermings-
programma's omzeilend.
Ook het van een checksum voorzien van programma's is geen
oplossing: Virussen kunnen zodra een bestand wordt ingelezen deze
desinfecteren, zodat ieder besmet programma er uitziet als een niet
besmet exemplaar.
Er is echter EEN oplossing voor bovengenoemde problemen:
Thunderbyte!
Thunderbyte werd ontwikkeld om Personal Computers tegen
computervirussen, Trojan Horses, en andere bedreigingen van
kostbare gegevens te beschermen. Het is een hardwarematige
beveiliging, bestaande uit een insteekkaart, een installatie- en
configuratieprogramma, en een duidelijke handleiding. De werking
van Thunderbyte is niet gebaseerd op de kennis van specifieke
virussen, zodat Thunderbyte ook tegen toekomstige virussen
beschermt.
Een hardwarematige beveiliging biedt een bescherming die vele malen
groter is dan die van een softwarematige. Thunderbyte wordt al
actief nog voordat het besturingssysteem (DOS) wordt geladen, zodat
de computer direct na het inschakelen volledig is beschermd.
Door de ruime configuratiemogelijkheden en de intelligente
algoritmen wordt het gebruik van Thunderbyte nooit een last: in een
virusvrije omgeving zal er hoogst zelden iets van de aanwezigheid
van Thunderbyte worden gemerkt.
De voordelen van een hardwarematige beveiliging zijn:
+ De beveiliging gebruikt weinig (1Kb) RAM.
+ De beveiliging is al actief tijdens het opstarten van de PC,
beschermt daarom de PC ook tegen bootsectorvirussen. Dit is met
een softwarematige beveiliging per definitie NIET mogelijk,
simpelweg omdat een softwarematige beveiliging dan nog niet is
opgestart.
+ De beveiling is gegarandeerd actief VOORDAT een virus opgestart
kan worden, een softwarematige beveiliging heeft weinig nut als
het opgestart wordt nadat een virus reeds de controle over de
machine heeft overgenomen.
+ De vaste schijf van de PC kan niet meer rechtstreeks benaderd
worden. Dit omdat de bekabeling van de vaste schijf nu via de
Thunderbyte kaart loopt. Een softwarematige blokade tegen
formatteer- en schrijfacties kan altijd softwarematig omzeild
worden.
+ Het Thunderbyte systeem kan nooit worden vergeten op te
starten, zelfs niet indien de PC met behulp van een diskette
wordt opgestart.
Thunderbyte biedt u vele soorten bescherming:
+ Bescherming tegen gegevensverlies
Thunderbyte wordt aangesloten tussen de kabel van de vaste
schijf. Het bewaakt de vaste schijf tegen ongeoorloofd
formatteren. Thunderbyte detecteert bovendien alle rechstreekse
schijfoperaties die tot doel hebben gegevens te wijzigen c.q.
te verminken en controleert welk programma de opdracht voor die
operaties geeft. Alleen het besturingssysteem (DOS) is
zondermeer gerechtigd tot het uitvoeren van modificaties.
DOS heeft standaard al de mogelijkheid om bestanden tegen
overschrijven en modificeren te beschermen door middel van het
read-only attribuut. Deze bescherming is softwarematig echter
zeer eenvoudig uit te schakelen. Thunderbyte voorkomt evenwel
dat deze beveiliging ongemerkt ongedaan gemaakt kan worden,
zodat u uw bestanden nu toch via een standaard methode
doeltreffend kan beveiligen.
+ Bescherming tegen besmetting
Thunderbyte beschermt programma's (bestanden met de uitgang
"EXE", "COM", of "SYS") tegen besmetting, door ale modificaties
te beoordelen op hun bedoeling. De functionaliteit wordt
hierdoor niet beinvloed. Compileren, linken, e.d. worden
ongemoeid gelaten, en programma's die hun configuratie intern
bewaren worden ook niet beinvloed. Bovendien kan software
beveiligd worden met het read-only attribuut.
Wijzigingen in de bootsector worden ondervangen zodat ook de
zogevreesde bootsectorvirussen geen kans meer krijgen. Let wel:
softwarematig is de bootsector niet of nauwelijks te
beschermen. Thunderbyte wordt daartegen al actief nog voordat
het systeem probeert op te starten!
+ Detectie virussen
Thunderbyte detecteert de aanwezigheid van virussen, behalve op
de reeds genoemde manieren, ook doordat deze vaak een aantal
speciale handelingen uitvoeren; handelingen waar andere
programma's zich nooit zullen wagen. Zulke handelingen, zoals
het aanbrengen van een markering om reeds besmette programma's
te herkennen, worden gedetecteerd. Ook pogingen van een virus
om zich op een verdachte manier in het geheugen achter te laten
worden herkend, evenals abnormale manipulaties met
interruptvectoren.
+ Wachtwoordbescherming
Thunderbyte geeft u de mogelijkheid een wachtwoord te
installeren. U kunt twee soorten wachtwoorden opgeven: een
wachtwoord dat altijd gevraagd wordt, of een wachtwoord dat
slechts gevraagd wordt wanneer er gepoogd wordt van een
diskette in plaats van de vaste schijf op te starten.
+ Hoge veiligheid
Aan de veiligheid van Thunderbyte is ruime aandacht geschonken.
De programmacode van Thunderbyte bevindt zich in ROM en kan op
geen enkele manier worden gewijzigd.
Thunderbyte kan op geen enkele manier softwarematig worden
uitgeschakeld. Alle belangrijke instellingen worden
gerealiseerd met behulp van schakelaartjes op de insteekkaart.
En virussen kunnen, al hun verspilde intelligentie ten spijt,
nu eenmaal geen schakelaartjes omzetten of de uitlezing ervan
beinvloeden.
De virussen die de controller van de vaste schijf rechtstreeks
benaderen komen van een koude kermis thuis: Thunderbyte geeft
schrijfoperaties slechts door indien het schrijfcommando de
normale (gecontroleerde) weg heeft bewandeld.
Van Thunderbyte bestaan vele verschillende (doch functioneel
identieke) versies, die op basis van willekeur worden geleverd.
Hierdoor is kennis van 1 Thunderbyte systeem niet toereikend om
de beveiligende werking ervan aan te tasten of teniet te doen.
Thunderbyte controleert zijn eigen variabelen met een per verie
verschillend soort controlegetal. Ook de geheugenplaatsen waar
de variabelen worden bewaard is per Thunderbyte versie
verschillend.
+ Extra mogelijkheden
Thunderbyte biedt u een aantal interressante extra's, zoals
opstarten van drive B:.
Tot slot
--------
Verbaast u uzelf over de relatief grote kracht en inventiviteit van
zo'n kleine virusscanner? Schaf Thunderbyte aan, dan blijft u
uzelf verbazen!
Wanneer u het programma TbScanX waardeert, of wanneer het u al eens
duidelijkheid heeft verschaft in een benarde situatie:
Stuur ons geen geld, maar schaf Thunderbyte aan or registreer
TbScanX.
NAMEN EN ADRESSEN
-----------------
Meer informatie over Thunderbyte kunt u aanvragen bij:
ESaSS B.V. Tel.: 080 - 787 771
P.o. box 1380 Fax.: 080 - 777 327
6501 BJ Nijmegen Data: 085 - 212 395 (2:280/200@fidonet)
TbScanX is geschreven door Frans Veldman.
TbScanX en de signature bestanden zijn beschikbaar op ESaSS /
Thunderbyte support BBS, Tel: 085-212395 (300/1200/2400 bps).
Wanneer u operator van een electronic mail systeem bent kunt u een
file-request sturen voor TBSCAN om de laatste versie van TBSCAN.COM
te krijgen, TBSCANX voor de laatste update van de
geheugen-residente automatische versie van TBSCAN, en VIRUSSIG voor
een kopie van de meest recente update van het signature-bestand.
