home *** CD-ROM | disk | FTP | other *** search
/ Wildcat Gold - The Optical BBS / Wildcat Gold - The Optical BBS (The Golden ROM Series)(Volume 4 Number 1)(The Digital Publishing Company)(1992).ISO / sdn / i_m102b.sdn / I-M.DOC < prev    next >
Text File  |  1991-12-18  |  186KB  |  3,717 lines

  1.  
  2.  
  3.  
  4.        
  5.  
  6.  
  7.  
  8.  
  9.                    I N T E G R I T Y     M A S T E R (tm)
  10.  
  11.  
  12.                               Version  1.02b
  13.  
  14.  
  15.        An easy to use, data integrity and anti-virus program which also
  16.         provides PC security, change control and disk error detection.
  17.  
  18.  
  19.  
  20.               Users Guide plus Data Integrity and Virus Guide
  21.  
  22.               ________________________________________________
  23.  
  24.  
  25.                  Copyright 1990, 1991 by Wolfgang Stiller
  26.                             All rights reserved
  27.                             ___________________
  28.  
  29.  
  30.  
  31.         Written by Wolfgang Stiller
  32.  
  33.                  Stiller Research
  34.                  2625 Ridgeway St.
  35.                  Tallahassee, Florida 32310
  36.                  U.S.A.
  37.  
  38.  
  39.         Electronic mail to:
  40.  
  41.                  CompuServe: 72571,3352
  42.                  InterNet, Bitnet, etc.: 72571.3352@compuserve.com
  43.                  Uunet: uunet!compuserve.com!72571.3352
  44.  
  45.     Integrity Master (tm)              -  2  -                 Version 1.02b
  46.  
  47.  
  48.  
  49.  
  50.        
  51.        Second Edition (November 1991)
  52.  
  53.        (C) Copyright Wolfgang Stiller 1990, 1991.  All Rights  reserved.
  54.  
  55.        The following paragraph does not apply where such provisions are 
  56.        inconsistent with law:
  57.  
  58.        Stiller Research provides this document "AS IS" without warranty 
  59.        of any kind, either express or implied, including, but not limited to 
  60.        the  warranties of merchantability or fitness for a particular pur-
  61.        pose.
  62.  
  63.        This document may include technical inaccuracies or typographical 
  64.        errors. We continually update and correct this document with the 
  65.        latest available information.
  66.  
  67.  
  68.        Note to U.S. Government users:  Use, duplication, or disclosure by 
  69.        the U.S. Government of the computer software and documentation 
  70.        in this package shall be subject to the restricted rights applicable to 
  71.        commercial computer software as set forth in subdivision (b)(3)(ii) 
  72.        of  Rights in Technical Data and Computer Software clause at 
  73.        252.227-7013 (DFARS 52.227-7013).  The manufacturer is  Stiller 
  74.        Research, 2625 Ridgeway St., Tallahassee, Florida 32310-5169.
  75.  
  76.  
  77.     Integrity Master (tm)              -  3  -                 Version 1.02b
  78.  
  79.  
  80.  
  81.        Use of Integrity Master (also known as IM) requires acceptance of 
  82.        the following license terms and warranty disclaimer.
  83.  
  84.        L I C E N S E    T E R M S
  85.              
  86.        TO USE INTEGRITY MASTER, YOU MUST AGREE TO AND 
  87.        UNDERSTAND THE FOLLOWING LICENSE TERMS AND WARRANTY 
  88.        DISCLAIMER, OTHERWISE DO NOT USE THIS PROGRAM.
  89.  
  90.        Each PC must have its own licensed copy.  THIS COPY MAY 
  91.        ONLY BE USED ON ONE PC.  It may be removed from that PC 
  92.        and installed on another PC but IT MAY NOT BE INSTALLED 
  93.        ON MORE THAN ONE PC AT A TIME.  To use  Integrity 
  94.        Master on more than one PC, you must license extra copies.
  95.  
  96.  
  97.              W A R R A N T Y    D I S C L A I M E R:
  98.  
  99.        INTEGRITY MASTER AND ALL ASSOCIATED PROGRAMS ARE 
  100.        LICENSED "AS-IS".  STILLER RESEARCH AND WOLFGANG STILLER 
  101.        MAKE NO WARRANTIES, EITHER EXPRESSED OR IMPLIED, WITH 
  102.        RESPECT TO THESE PROGRAMS, THEIR QUALITY, PERFORMANCE, 
  103.        MERCHANTABILITY, OR FITNESS FOR ANY PARTICULAR 
  104.        PURPOSE.  IN PARTICULAR,  INTEGRITY MASTER IS NOT 
  105.        GUARANTEED TO PREVENT OR DETECT DAMAGE TO YOUR DATA 
  106.        OR PROGRAMS. IN NO EVENT SHALL STILLER RESEARCH OR 
  107.        WOLFGANG STILLER BE LIABLE  FOR ANY CLAIMS FOR LOST 
  108.        PROFITS OR ANY DAMAGE, INCLUDING BUT NOT LIMITED TO 
  109.        SPECIAL, INCIDENTAL, CONSEQUENTIAL OR OTHER DAMAGE.  
  110.        SOME STATES DO NOT ALLOW THE  EXCLUSION OR LIMITATION 
  111.        OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO THE ABOVE 
  112.        LIMITATION OR EXCLUSION MAY NOT APPLY TO YOU.
  113.  
  114.        IF YOU USE INTEGRITY MASTER (IM), YOU ASSUME EXCLUSIVE 
  115.        RESPONSIBILITY AND LIABILITY FOR ANY LOSS OR DAMAGE 
  116.        DIRECTLY OR INDIRECTLY ARISING OUT OF  THE USE OF THE 
  117.        PROGRAM. 
  118.  
  119.        IN NO CASE SHALL STILLER RESEARCH'S OR WOLFGANG 
  120.        STILLER'S LIABILITY EXCEED THE LICENSE FEES PAID FOR THE 
  121.        RIGHT TO USE THE LICENSED SOFTWARE. 
  122.  
  123.        THE LICENSE AGREEMENT AND WARRANTY DISCLAIMER SHALL 
  124.        BE CONSTRUED, INTERPRETED AND GOVERNED BY THE LAWS OF 
  125.        THE STATE OF FLORIDA.
  126.  
  127.  
  128.     Integrity Master (tm)              -  4  -                 Version 1.02b
  129.                                                
  130.        T A B L E    O F    C O N T E N T S
  131.        -----------------------------------
  132.  
  133.        PART ONE - Integrity Master(tm) User Guide
  134.  
  135.  
  136.           License and Warranty Terms ..................... 3
  137.  
  138.           CHAPTER ONE - Why Integrity Master?
  139.              Welcome! .................................... 7
  140.              Don't read this ............................. 7
  141.              Why the user guide .......................... 7
  142.              What can Integrity Master do? ............... 8
  143.              How does it do these things? ................ 8
  144.              What Makes Integrity Master Special?......... 9
  145.              Requirements and Limitations ............... 10
  146.  
  147.  
  148.           CHAPTER TWO - Installing Integrity Master
  149.              Special Quick Install....................... 11
  150.              Full Installation........................... 11
  151.              Vital files ................................ 12
  152.              Screen Colors .............................. 13
  153.              Using Integrity Master Menus................ 14
  154.  
  155.           CHAPTER THREE - Running Integrity Master
  156.              Integrity Master Screen Contents ........... 15
  157.              Initializing Integrity data................. 15
  158.              What is Integrity Data? .................... 16
  159.              The Check Menu ............................. 16
  160.              The Report File ............................ 18
  161.              System Sectors ............................. 19
  162.                 Reloading ............................... 19
  163.              The Commands Menu .......................... 20
  164.              Ending (Quitting) .......................... 20
  165.              Fighting viruses with Integrity Master ..... 20
  166.                 Viruses - What Are They? ................ 20
  167.                 Virus Check Procedure ................... 21
  168.                 Scanning for Viruses .................... 22
  169.                 Detecting Viruses ....................... 22
  170.                 Detecting Unknown (new) viruses ......... 23 
  171.                 The Integrity Master virus report ....... 24
  172.                 False Alarms ............................ 25
  173.                 Destroying Viruses ...................... 26
  174.                 Data Corruption ......................... 26
  175.              Integrity Master and Disk Problems  ........ 27
  176.              Integrity Master for PC Security ........... 28
  177.              Integrity Master for Change Control ........ 29
  178.              Command Line (BATCH) Execution ............. 30
  179.                 Syntax .................................. 30
  180.                 Error Levels  ........................... 31
  181.              Using IMCHECK .............................. 32
  182.  
  183.  
  184.     Integrity Master (tm)              -  5  -                 Version 1.02b
  185.  
  186.  
  187.        CHAPTER FOUR - Customizing
  188.               The Parameter (Options) File ............... 33
  189.               Options Menu ............................... 34
  190.               Options in SETUPIM ......................... 37
  191.               Location of Integrity Data.................. 38
  192.               Updating your hardware configuration ....... 38
  193.               The Advanced Option Menu.................... 39 
  194.  
  195.        CHAPTER FIVE -  Errors
  196.              Error Recovery .............................. 42
  197.              Solving problems ............................ 42
  198.              Answers to Common Questions ................. 42
  199.  
  200.  
  201.        PART TWO - Data Integrity and Viruses
  202.  
  203.        CHAPTER ONE - Threats to your data
  204.              Introduction - Viruses get all the glory .... 45
  205.              Hardware problems............................ 45
  206.              Finger checks ... ........................... 46
  207.              Malicious or Careless Damage................. 46
  208.              Software Problems ........................... 46
  209.              Software attacks ............................ 47
  210.                  Logic Bombs ............................. 47
  211.                  Trojans ................................. 47
  212.                  Worms ................................... 48   
  213.                  Viruses ................................. 48
  214.                     General Virus Behavior................ 48
  215.                     System Sector Viruses................. 50
  216.                        Boot Sectors ...................... 50
  217.                        Partition Sectors ................. 50
  218.                     File viruses ......................... 51
  219.                        Miracle Infections ................ 52
  220.              How many viruses are there?.................. 52
  221.              How serious are viruses?..................... 53
  222.  
  223.  
  224.           CHAPTER TWO - Protection for your PC
  225.              Hardware Protection ......................... 55
  226.              "Fixing" your disk .......................... 55
  227.              Goof Protection  ............................ 56
  228.              Intrusion Protection......................... 56
  229.              Virus Defenses  ............................. 57
  230.                 Scanners ................................. 58
  231.                 Disinfectors ............................. 58
  232.                 Interceptors ............................. 58
  233.                 Inoculators .............................. 58
  234.                 ROM and Encryption ....................... 59
  235.                 Integrity Checkers ....................... 59
  236.                 Gadgets .................................. 60
  237.                 Prevention................................ 60
  238.  
  239.  
  240.     Integrity Master (tm)              -  6  -                 Version 1.02b
  241.  
  242.  
  243.           CHAPTER THREE - Virus Myths
  244.              Mythical Sources ............................ 62
  245.              Quick and Easy Cures ........................ 62
  246.              Silly Tricks ................................ 63
  247.              Certified Software? ......................... 63
  248.              Retail Software Only? ....................... 64
  249.              Write Protecting Your Hard Disk ............. 64
  250.              Safe Computing (Safe Hex?)................... 65
  251.              Software is useless against viruses.......... 65
  252.  
  253.  
  254.           CHAPTER FOUR - Virus Realities
  255.              The ONLY Real Source of Viruses ............. 66
  256.              Shareware is as Safe or Safer ............... 66
  257.              Few Virus Free Programs ..................... 66
  258.              Write Protecting Floppies ................... 66
  259.              Beware the CE and the Demo! ................. 67
  260.              Viruses are going to get worse .............. 67
  261.  
  262.  
  263.           CHAPTER FIVE - What to do - Some Suggestions
  264.              Action is Vital - Now! ...................... 68
  265.              Backup Policy ............................... 68
  266.              Integrity Checking Policy ................... 69
  267.              Run CHKDSK .................................. 69
  268.              Determining Causes of Corruption ............ 70
  269.              Education ................................... 71
  270.                 Signs of software problems ............... 71
  271.                 Signs of viruses ......................... 71
  272.              Responsibility .............................. 72
  273.              Policy and routine .......................... 72
  274.              Networks and Viruses ........................ 72
  275.  
  276.  
  277.           CHAPTER SIX - Handling a virus attack
  278.              Don't panic and don't believe the virus ..... 73
  279.              Report the attack ........................... 73
  280.              Play Detective............................... 73
  281.              Clean House (steps to remove the virus)...... 74
  282.              Guard the house ............................. 74
  283.  
  284.  
  285.           INDEX .......................................... 75
  286.  
  287.  
  288.     Integrity Master (tm)              -  7  -                 Version 1.02b
  289.  
  290.  
  291.     PART ONE - INTEGRITY MASTER(tm) USERS GUIDE
  292.     -------------------------------------------
  293.  
  294.     ___________________________________________________________________________
  295.     C h a p t e r   1   -   I n t r o d u c t i o n
  296.  
  297.     Welcome!
  298.     --------
  299.     Welcome to the family of Integrity Master(tm) users!  Integrity
  300.     Master (also known as IM) is the fastest, most powerful data
  301.     integrity and anti-virus software available for any price.  We hope
  302.     that you'll find Integrity Master an indispensable part of your PC
  303.     toolkit.  From now on, you'll be back in control of all the data on
  304.     your PC.
  305.  
  306.  
  307.     Don't read this!
  308.     ----------------
  309.     Most people should never need to read the Integrity Master Users
  310.     Guide.  If you're reading this to learn how to use Integrity Master,
  311.     you're here for the wrong reason.  Just copy your files onto your
  312.     hard disk and execute SetupIM.  The tutorial should tell you all you
  313.     need to know to get started.  For additional help when using
  314.     Integrity Master (IM), just hit F1 and select the index.  The odds
  315.     are what you need to know is there.
  316.  
  317.     While we think most people won't need to read Part One -
  318.     Integrity Master Users Guide  (This part), we think everyone
  319.     needs to read  Part 2 - Data Integrity and Viruses. This will help
  320.     you understand the different threats to your PC, and what you can
  321.     do about them.  You'll be able to understand more clearly how
  322.     viruses work, how dangerous they are, and how Integrity Master
  323.     and other products can protect you.
  324.  
  325.  
  326.     Why read the Users Guide?
  327.     -------------------------
  328.     We've written this users guide for three reasons:
  329.  
  330.     1) To provide more information on how to get the most benefit out
  331.       of Integrity Master.  You'll learn how to use it to detect totally
  332.       new viruses, how to tell if damage to a file is likely due to a
  333.       hardware problem or maybe a virus or a trojan, how to use it to
  334.       protect your PC from unauthorized tampering, etc.
  335.  
  336.     2) To explain certain aspects of Integrity Master in more detail and
  337.       in different terms than available from IM's internal help
  338.       screens.
  339.  
  340.     Integrity Master (tm)              -  8  -                 Version 1.02b
  341.  
  342.     3) To satisfy people who prefer to read things on paper.  If you
  343.        prefer to read things on paper, then you're here for the right
  344.        reason, although we'll bet the tutorial in SetupIM will surprise
  345.        you.  (Give it a try!)
  346.  
  347.     What can Integrity Master do?
  348.     -----------------------------
  349.     1) Detect and remove viruses.  IM will even detect viruses which
  350.        are not known to exist at this point.  For known viruses, IM will
  351.        recognize them by name and describe what they do.
  352.  
  353.     2) Detect possible file corruption due to hardware or software
  354.        problems.   This type of file damage is apparently at least 100
  355.        times more likely than virus infection, yet it usually goes
  356.        undetected.
  357.  
  358.     3) Supplement or replace any PC security programs you have.  IM
  359.        will inform you if anyone changes something on your PC's disk
  360.        while you were gone.
  361.  
  362.     4) You just compressed your disk or you restored your files from a
  363.        backup. Are all the files really OK?   IM will tell you.
  364.  
  365.     5) You wanted to delete all your .BAK files, but you entered:
  366.        "DEL   *.BAT" by mistake.  Oops!  IM will tell you exactly
  367.        which files you need to restore.
  368.  
  369.     6) You need a change management system to keep track of growth
  370.        on your hard disk.  Where is all that disk space going?  IM will
  371.        tell you.
  372.  
  373.     7) You're having problems with your disk drive.  Your diagnostic
  374.        programs say all is OK... now.  But were some files damaged
  375.        last night?  IM tells you!
  376.  
  377.     8) Your hard disk is having problems.  DOS will not even
  378.        recognize it as a disk.  IM can reload your partition and boot
  379.        sectors to "fix" your disk!
  380.  
  381.  
  382.     How does Integrity Master do all these things?
  383.     ----------------------------------------------
  384.     1) It reads files as well as parts of the operating system on your
  385.        disk known as system sectors.  The first time you use IM, you
  386.        will run an "initialize", which will read your disk and calculate
  387.        cryptographic signatures for each file and system sector.  While
  388.        it's doing this, IM is also checking for signs of known viruses.
  389.  
  390.     Integrity Master (tm)              -  9  -                 Version 1.02b
  391.  
  392.     2) This signature data along with other information such as the file
  393.        size is encrypted and recorded in the "integrity data" file.  One
  394.        such file is created for each directory on your disk.
  395.  
  396.     3) On subsequent checks, the files and system sectors are read
  397.        again and the computed integrity data is compared with the prior
  398.        values. This allows IM to determine if anything has changed,
  399.        even if the time and date stamps indicate no change.
  400.  
  401.     4) IM detects changes that a virus may make to associate itself
  402.        (companion and cluster viruses) with a an existing program.
  403.  
  404.     A virus can only infect your PC by associating itself with your
  405.     programs or system sectors.  Each of these actions results in
  406.     changes to data on your disk.  IM will detect these changes if a
  407.     virus tries to infect your system.
  408.  
  409.     What makes Integrity Master Special?
  410.     ------------------------------------
  411.     1) Integrity Master is not just an anti-virus product but a complete
  412.        data integrity system.  Viruses are but one threat to the integrity
  413.        of your PC. With Integrity Master you have a complete
  414.        solution.
  415.  
  416.     2) Unlike other integrity check programs, Integrity Master contains
  417.        extensive information regarding known viruses.  If a portion of
  418.        a known virus is recognized, that virus will be identified and
  419.        specific instructions will given to remove it and check for
  420.        possible damage.  If other file changes are detected which are
  421.        characteristic  of a virus, you will be alerted to that fact and
  422.        given appropriate instructions.
  423.  
  424.     3) Integrity Master is fast!  It's written in 100% highly optimized
  425.        assembler language.
  426.  
  427.     Integrity Master (tm)             -  10  -                 Version 1.02b
  428.  
  429.     4) Integrity Master checks and protects areas on your disk known
  430.        as system sectors (the DOS boot and partition sectors), not just
  431.        the files.  If these sectors become infected or damaged, Integrity
  432.        Master can quickly repair them.
  433.  
  434.     5) Integrity Master utilizes easy to use menus with lots of help.
  435.        You don't have to fully understand some of the more complex
  436.        areas of data integrity such as system sectors, yet you can be
  437.        fully protected.
  438.  
  439.     6) The Integrity Advisor(tm) component of Integrity Master
  440.        understands special files important to DOS and will give you
  441.        special advice with step by step instructions if these files have
  442.        changed.
  443.  
  444.  
  445.      Integrity Master Requirements and Limitations:
  446.      ----------------------------------------------
  447.  
  448.     o IM requires a PC with 195K of available memory and DOS 2 or
  449.       later.  (At least 315K is needed for maximum speed.)
  450.  
  451.     o IM supports super large disks and files.
  452.  
  453.     o IM supports a maximum of 2621 files in a single directory.
  454.  
  455.     o Do not use the DOS APPEND, SUBST or ASSIGN commands in
  456.       conjunction with IM. These can cause misleading results if not
  457.       carefully considered.
  458.  
  459.  
  460.     Integrity Master (tm)             -  11  -                 Version 1.02b
  461.     ___________________________________________________________________________
  462.     CHAPTER TWO  - INSTALLING INTEGRITY MASTER
  463.  
  464.     Special Quick install procedure
  465.     -------------------------------
  466.     Master to see how it meets your needs, we offer this short-cut
  467.     install procedure.  In contrast, the full install procedure is intended
  468.     to guard against unknown viruses already infecting your system or
  469.     an attack by a sophisticated user and is not necessary for an
  470.     evaluation under normal circumstances.
  471.  
  472.     Quick install:
  473.     --------------
  474.       Type "SETUPIM" and hit enter.  Answer all the questions
  475.       that SetupIM will ask.  SetupIM will prepare a customized full
  476.       install procedure for you and save it on a file.   Rather than
  477.       follow the full procedure just continue with this quick install.
  478.  
  479.     2) Simply copy your IM files, IM.EXE and IM.PRM, to a
  480.        convenient location.   ("COPY IM.* A:" would copy them to a
  481.        floppy)
  482.  
  483.     3) Enter the command: "IM /IE /Dc"  Substitute for "c", in the
  484.        "/Dc" parameter, the disk you wish to check.  That's it!
  485.  
  486.     To execute IM, just enter "IM".  The menus will guide you from there.
  487.  
  488.     Full Installation
  489.     -----------------
  490.     1) Make sure your Integrity Master files are located somewhere
  491.       other than drive A.  If they are on drive A, simply copy them to
  492.       your hard drive or a diskette which you can insert in one of the
  493.       other drives.  Here's an example of how to copy the IM files to
  494.       your hard drive from the diskette in drive A:
  495.  
  496.            C:           <ENTER>
  497.            CD \         <ENTER>
  498.            MD IMASTER   <ENTER>
  499.            CD IMASTER   <ENTER>
  500.            COPY A:*.*   <ENTER>
  501.  
  502.     2) Now begin the actual install process, type:
  503.  
  504.            SetupIM      <ENTER>
  505.  
  506.         Or, if you have an LCD display you may want to enter:
  507.  
  508.            SETUPIM /L    <ENTER>
  509.  
  510.     Integrity Master (tm)             -  12  -                 Version 1.02b
  511.  
  512.        If you have a two color display on a color adapter you may wish to try:
  513.  
  514.            SETUPIM /M
  515.  
  516.        for a more readable display. SetupIM automatically senses the
  517.        type of video adapter you are using but these two combinations
  518.        can fool it in some cases.
  519.  
  520.     3) SetupIM will guide your from there. SetupIM will provide you a
  521.        full tutorial on using Integrity Master menus and give you an
  522.        overview of how Integrity Master works.  SetupIM will then
  523.        analyze your needs and check out your hardware configuration.
  524.        SetupIM's Integrity Advisor(tm) component will customize IM's
  525.        options so that it will work best to meet your needs.  The
  526.        Integrity Advisor(tm) will also prepare a custom designed
  527.        procedure to finish the install and a plan for day to day use of
  528.        IM.  This is written to file IMPROC.TXT as well as being
  529.        displayed.  You can use your favorite utility to read
  530.        IMPROC.TXT or you can enter the command
  531.  
  532.            IMVIEW IMPROC.TXT
  533.  
  534.        to read it or the command
  535.  
  536.            IMPRINT IMPROC.TXT
  537.  
  538.        to print the file.
  539.  
  540.     Vital Files
  541.     -----------
  542.     Please check file README.DOC for a full list of files that come
  543.     with Integrity Master and what's important about each file.  To
  544.     read README.DOC, type: "IMVIEW README.DOC" and hit
  545.     ENTER.  If you don't have this file, then you have a bad copy of
  546.     Integrity Master.
  547.  
  548.     After you install Integrity Master, there will be only two files you
  549.     absolutely need to use Integrity Master:
  550.  
  551.     IM.EXE - Integrity Master itself
  552.     IM.PRM - The parameter file which controls how IM works
  553.            - This file is created by SETUPIM.EXE
  554.  
  555.     If you want to reinstall IM, or change advanced features of IM,
  556.     you will need:
  557.  
  558.     SETUPIM.EXE     The setup and install program (creates and updates IM.PRM)
  559.  
  560.     Integrity Master (tm)             -  13  -                 Version 1.02b
  561.  
  562.     When you install IM, SetupIM will create file:
  563.  
  564.     IMPROC.TXT Complete instructions to finish install and run IM
  565.     IM.PRM     The parameter file (all option settings are stored
  566.                here)
  567.  
  568.     SCREEN COLORS
  569.     -------------
  570.     IM normally automatically detects the type of video  adapter you
  571.     have and uses appropriate colors for your equipment.  There are
  572.     two things which can confuse IM:
  573.  
  574.     1) Some programs change the DOS video mode from color to
  575.        monochrome or vice-versa.  To correct this, just enter the
  576.        appropriate mode command (eg. "MODE CO80")
  577.  
  578.     2) Some equipment appears to have a different display than it
  579.        actually has, such as an LCD display on a laptop.
  580.  
  581.     If you find your display hard to read, you may want to override
  582.     IM's choice of video mode (colors).  The best way to do this is to
  583.     experiment by using the command line parameters to specify an
  584.     alternate set of colors.  Try each option and choose what looks the
  585.     most pleasing.
  586.  
  587.     Both IM and SetupIM accept these command line parameters:
  588.  
  589.     /L  - For liquid crystal displays (laptops)
  590.     /M  - Forces monochrome mode
  591.     /C  - Forces color mode
  592.     /A  - Forces automatic video detection mode (default).
  593.  
  594.     Example: "IM /M" will use colors appropriate for a monochrome
  595.     display even if the display appears to be of a color display.
  596.  
  597.     Once you've found the colors that work the best, it's usually best to
  598.     use SetupIM to select that video mode so that you don't have to
  599.     remember to enter the command line parameter.
  600.  
  601.  
  602.     Integrity Master (tm)             -  14  -                 Version 1.02b
  603.  
  604.  
  605.     Using Integrity Master Menus
  606.     ----------------------------
  607.  
  608.     Integrity Master (IM) and SetupIM both utilize an advanced menu
  609.     system.  When you first install using SetupIM, it will offer you  an
  610.     extensive guided tour of how these menus work.  This is the best
  611.     way to learn how to use the menus.  Within Integrity Master, just
  612.     hit F1 and select "Help using the menus" from the help menu for
  613.     assistance with using the menus.
  614.  
  615.  
  616.     On most menus you will see one option shown in a different color
  617.     (or underlined) than the other options.  The different color
  618.     (highlight) indicates that this is the selected line. You can use the
  619.     arrow (cursor) keys to select  the other options on the menu.  You
  620.     can also type a single capitalized letter in each menu option to
  621.     select that option.  On many menus an extended explanation
  622.     automatically appears as you select each option.  (To actually take
  623.     an action you must hit the enter key after selecting the option you
  624.     like).
  625.  
  626.  
  627.     Integrity Master (tm)             -  15  -                 Version 1.02b
  628.  
  629.     _________________________________________________________________________
  630.     Chapter Three - Running Integrity Master(TM)
  631.  
  632.     Integrity Master Screen Contents
  633.     --------------------------------
  634.     The top part of the Integrity Master screen tells you what options
  635.     are in effect and what IM is currently doing.  The menus appear
  636.     below this.  Be sure to go through the tutorial in SetupIM to learn
  637.     how to use the menus.  When IM is busy checking your files, the
  638.     report screen pops up and replaces the lower half of the screen
  639.     including the menu area.
  640.  
  641.     The best way to get familiar with the information presented to you
  642.     on the IM screen is by hitting the F1 (help) key and selecting the
  643.     "Explanation of the display".  This will give you a step by step
  644.     guided tour of IM's display.
  645.  
  646.     INITIALIZING INTEGRITY DATA
  647.     ---------------------------
  648.     Before you can check your disk, you must initialize the integrity
  649.     data which describes the disk.  You can use either the command
  650.     line parameter (/IE) or the initialize menu within IM.
  651.  
  652.      _|Initialize|__________________
  653.     | Entire disk integrity         |
  654.     | Files on current Disk         |
  655.     | Current and Lower directories |
  656.     | Current diRectory only        |
  657.     | Boot sector                   |
  658.     | Partition sector              |
  659.     |_______________________________|
  660.  
  661.  
  662.     From this menu, you create (initialize) the integrity data which
  663.     describes your files and system sectors.  While IM is initializing the
  664.     integrity data, it will (unless you turned virus checking off) check
  665.     for known viruses, and check for other indications of viruses or
  666.     system problems.  For the system (boot and partition) sectors, IM will
  667.     save reload information.  This enables you to restore your system
  668.     sectors (using the reLoad menu) if anything should ever infect or
  669.     damage them.  This reload data is written to files BOOT.SRL and
  670.     PART.SRL for the DOS boot and partition sectors respectively.  Be sure
  671.     to read the section in Part Two, Chapter One, which explains why system
  672.     sectors are important.
  673.  
  674.     When you first use IM, please select "Entire disk integrity"
  675.     initialize the integrity data for all files and system sectors (the boot
  676.     or partition sectors) which exist on the current disk.  IM will also
  677.  
  678.     Integrity Master (tm)             -  16  -                 Version 1.02b
  679.  
  680.     create the system sector reload files (BOOT.SRL and PART.SRL).
  681.     Be sure to save a copy of these files on diskette to help you recover
  682.     when your hard disk fails.  (Not all disks have both boot and
  683.     partition sectors).
  684.  
  685.  
  686.     The other options on this menu correspond to matching options on
  687.     the check menu.
  688.  
  689.     What is Integrity Data?
  690.     -----------------------
  691.     When IM checks a file, it uses each byte of the file in a calculation
  692.     to compute cryptographic signatures for that file.  A change to any
  693.     part of a file will result in a different signature.  These signatures
  694.     along with other significant information such as file size are what
  695.     we call integrity data.  There is one integrity data file built for each
  696.     directory on your disk.  These files are named ")(.ID"  and can be
  697.     stored with the files that they identify or stored on separate
  698.     diskettes.
  699.  
  700.     When you first install, SetupIM chooses, at random, one of over
  701.     two billion different algorithms to compute the cryptographic
  702.     signatures and also chooses a unique algorithm to encrypt your
  703.     integrity data files.
  704.  
  705.  
  706.     WHAT ARE CRYPTOGRAPHIC SIGNATURES?
  707.     ----------------------------------
  708.     Just as your signature uniquely identifies you, the cryptographic
  709.     signatures serve to identify the contents of each file.  If a virus or a
  710.     hardware problem changes a file, the signature computed for that
  711.     file will be different, although the file size and time and date
  712.     stamps may be the same. A change or the rearrangement of data in
  713.     a file will result in a different signature.  When you execute
  714.     SetupIM, it will randomly select one of over 2 billion different
  715.     algorithms for computing the cryptographic signatures.
  716.  
  717.  
  718.     The Check Menu
  719.     --------------
  720.     From the check menu, you can check files or system sectors for
  721.     changes.  Use the up and down arrow keys to select the type of
  722.     checking you'd like to do. You may choose to check only specific
  723.     things on your disk, such as the system sectors or individual files,
  724.     or you could check everything on the entire disk.  Any added,
  725.     deleted or changed files will be reported, as well as any signs of
  726.     viruses or other known problems.  If integrity checking is on, IM
  727.     will read the files and check for any changes.  Use the options
  728.     menu to control whether full integrity checking is on and the type
  729.     of files to check.  The fourth line at the top of the screen shows the
  730.  
  731.     Integrity Master (tm)             -  17  -                 Version 1.02b
  732.     current status of integrity checking including the type of files to be
  733.     checked.  If you see: "Integrity check: On", this indicates that full
  734.     checking will be done on all files.
  735.  
  736.     The check menu looks like this:
  737.  
  738.      ___________|Check|_____________
  739.     | Entire disk integrity         |
  740.     | Files on current Disk         |
  741.     | Current and Lower directories |
  742.     | Current diRectory only        |
  743.     | Specific file(s)              |
  744.     | Boot sector                   |
  745.     | Partition sector              |
  746.     | Disk for known Viruses        |
  747.     |_______________________________|
  748.  
  749.  
  750.     Entire disk integrity
  751.     ---------------------
  752.       Selecting this option and hitting the ENTER key will check any
  753.       system sectors (the boot or partition sectors) which exist on the
  754.       current disk for changes and then check all files in all
  755.       directories.
  756.  
  757.     Files on current Disk
  758.     ---------------------
  759.       Selecting this option and hitting the ENTER key will check only
  760.       files on the current disk.  System sectors will not be checked.
  761.  
  762.     Current and Lower directories
  763.     -----------------------------
  764.       Selecting this option and hitting the ENTER key will check
  765.       files in the current directory and any files in any directories
  766.       which are defined descendant from the current directory.  If the
  767.       current directory happens to be the root directory (eg. C:\) then
  768.       all files on that disk will be checked since all other directories
  769.       are descendent from the root directory.  Another example: if
  770.       you're in directory \DOS, directories such as \DOS\A,
  771.       \DOS\UTILS or \DOS\A\B  would be checked in addition to
  772.       \DOS.
  773.  
  774.     Current diRectory only
  775.     ----------------------
  776.       Selecting this option and hitting the ENTER key will check only
  777.       files in the current directory.
  778.  
  779.     Specific file(s)
  780.     ----------------
  781.       Selecting this option and hitting the ENTER key allows you to
  782.       enter the name of a specific file to check.
  783.  
  784.  
  785.     Integrity Master (tm)             -  18  -                 Version 1.02b
  786.  
  787.     Boot sector
  788.     -----------
  789.       Selecting this option and hitting the ENTER key will read the
  790.       DOS boot sector and check it for any changes.  Please see the
  791.       explanation of system sectors later in this guide.
  792.  
  793.     Partition sector
  794.     ----------------
  795.       Selecting this option and hitting the ENTER key will read the
  796.       partition sector (also known as the master boot record) and
  797.       check it for any changes.  Please see the explanation of system
  798.       sectors later in this guide.
  799.  
  800.     Disk for known Viruses
  801.     ----------------------
  802.       The option to check "Disk for known Viruses" is intended only
  803.       for one time quick scans of a disk or to do checks of all files (not
  804.       just those identified as executable files) for known viruses.
  805.       Checking all types of files acts as a double check if IM detects
  806.       an existing virus.  This is suggested since it's possible that you
  807.       may have a program somewhere which uses a file with a
  808.       nonstandard extension to store executable code (eg. overlays).  If
  809.       you are aware of a program which uses extensions which IM
  810.       does not recognize as executable, then you may wish to use the
  811.       advanced menu in SetupIM to add this extension to the list which
  812.       IM recognizes. The virus scanning option is NOT needed other
  813.       than these special cases, since IM automatically checks for
  814.       viruses during its normal processing.
  815.  
  816.  
  817.     IMPORTANT REMINDERS BEFORE CHECKING:
  818.     ------------------------------------
  819.     o Before using IM, be sure you've run SetupIM (new install) and
  820.       followed the directions provided for you in file IMPROC.TXT.
  821.  
  822.     o Before checking your files run an "Entire disk integrity"
  823.       initialize.
  824.  
  825.     o For protection against previously unknown viruses, be sure you
  826.       cold boot from a write protected floppy before checking.
  827.  
  828.  
  829.     The Report File
  830.     ---------------
  831.     In addition to seeing a report of IM's findings on screen, you may
  832.     wish to save a report on disk or on paper.  The options menu, in
  833.     both IM and SetupIM, allows you to set the type of report (if any)
  834.     IM will create.  We recommend you allow IM to write its findings
  835.     to an "auto-named" disk file.  By saving these report files, you can
  836.     determine what changed last April 1st or when you last changed a
  837.     particular file.  Each time you use IM, IM's findings will be
  838.     written to the end of the report file for that day.  For example, on
  839.     June 1st, 1992 the report would be on file ")(060192.REP".  By
  840.     saving the report files you have a complete change history for your
  841.     PC.  If you ever want to find out what happened to a file, the full
  842.     history will be available.  If you wish to keep more than one year
  843.     of history on-line, try copying all the report files (COPY *.REP) to
  844.     another disk or subdirectory.
  845.  
  846.     Integrity Master (tm)             -  19  -                 Version 1.02b
  847.  
  848.     If you choose an "auto-named" report file, you can specify that the
  849.     file be placed in the root directory of whatever disk is being
  850.     checked or you may choose to place it on a specific disk of your
  851.     choice.  You can also give the report file absolutely any name you
  852.     wish.  If you choose a specific filename, you may include the disk
  853.     and directory as part of the filename.  If you do not specify a disk
  854.     or directory for the filename, then this file will be created in the
  855.     current directory at the time you execute IM.
  856.  
  857.     If you elect printed output, IM will ask you to choose LPT1, 2,  or
  858.     3.  If this does not work with your printer, you may also print by
  859.     asking IM to write the report to a specific file name such as "PRN"
  860.     (the printer).  If you use "PRN", you will get less sophisticated
  861.     error handling and messages since DOS drives the printer rather
  862.     than IM.
  863.  
  864.  
  865.     System Sectors
  866.     --------------
  867.     System sectors are special areas on your disk containing programs
  868.     that are executed when you boot your computer.  These sectors are
  869.     invisible to normal programs but are vital for correct operation of
  870.     your PC.  They are a common target for viruses.  Please read the
  871.     detailed description of Boot and Partition sectors in Chapter one of
  872.     PART TWO Data Integrity and Viruses.
  873.  
  874.  
  875.     Reloading
  876.     ---------
  877.     From the ReLoad menu, you may reload your DOS boot sector or
  878.     your partition sector (master boot record), in the event that they
  879.     have become damaged or infected with a virus.  The "reload
  880.     Missing partition" option must be used if you have a disk so badly
  881.     damaged that DOS will not recognize that the disk exists. You will
  882.     then be prompted to identify the disk on which to reload. You can
  883.     identify it either by the logical disk letter (A-Z) or by the physical
  884.     device number (0 for the first physical hard drive, 1 for the second
  885.     and so on).  If the disk you are about to reload is not the same disk
  886.     from which the reload data was saved, you will be warned, but
  887.     allowed to go ahead with the reload of the partition sector if you
  888.     wish.
  889.  
  890.     Integrity Master (tm)             -  20  -                 Version 1.02b
  891.  
  892.     The Commands Menu
  893.     -----------------
  894.     You can reach the "coMmands menu" by hitting "M" or ALT/M
  895.     from any of the other primary IM menus.
  896.  
  897.                              |CoMmands|
  898.       _______________________|        |__
  899.      |  Temporarily Shell out to DOS     |
  900.      |  Quit - exit the Integrity Master |
  901.      |  Disk change                      |
  902.      |  DiRectory change                 |
  903.      |___________________________________|
  904.  
  905.  
  906.     You'll mostly use this menu to change the current disk or
  907.     directory.  (You can also use the "/D" command line option to
  908.     change to one or more other disks.)  "Shell out to DOS" allows you
  909.     to exit IM to the DOS prompt, but leaves Integrity Master loaded
  910.     in memory so you can quickly return by using the Exit command.
  911.     Shelling allows you to exit IM, and execute most other programs at
  912.     the DOS prompt (such as copying files or formatting disks).
  913.     Although you can use this menu to exit IM, it's usually easier just
  914.     to hit the ESCape key or use ALT/X to quit.
  915.  
  916.     Ending (Quitting)
  917.     -----------------
  918.     In addition to using the "Quit - exit the Integrity Master" option on
  919.     the coMmands menu, you can use the ESCape and Alt/X keys to
  920.     terminate IM from any point.  The ESCape key allows you to
  921.     terminate most IM menus without taking any action and return to
  922.     the prior menu.  The only exceptions to this are menus which
  923.     require a response one way or the other.  These are usually the
  924.     result of a detected error of some type.  If you hit ESCape enough
  925.     times you will be asked if you really want to quit.  You must select
  926.     "Yes" and hit enter, to exit.  The fastest way to exit IM, is by hit-
  927.     ting ALT/X (hold the ALTernate key down and hit the "X" key).
  928.     This allows you to quickly exit without the final "Do you really
  929.     want to quit?" prompt.
  930.  
  931.     Viruses - What Are They?
  932.     ------------------------
  933.     Viruses are but one of many threats to your data.  You are far less
  934.     likely to be hurt by a virus than the other causes of data damage
  935.     such as software conflicts, and general glitches of various types.
  936.  
  937.     Viruses are programs which attach themselves to other programs
  938.     in such a way that when the other program is executed, the virus
  939.     code will also execute.  The infected program usually appears to
  940.     execute normally but the virus may be attaching itself to additional
  941.     programs each time the infected program runs.  Many viruses are
  942.  
  943.     Integrity Master (tm)             -  21  -                 Version 1.02b
  944.     triggered by some event (such as a particular time or date) into an
  945.     attack phase, resulting in anything from music to serious file
  946.     damage.  Viruses often wait a long time before attacking; their goal
  947.     is to spread as far as possible before revealing their presence.
  948.     Some viruses go resident in your PC's memory, taking over your
  949.     PC.  This enables them to infect at will and elude detection at-
  950.     tempts.
  951.  
  952.     A virus may attach itself to programs in two ways that many people
  953.     are not aware of.  The first way is to infect the programs which are
  954.     in the system (boot and partition) sectors of your PC.  The second
  955.     way is by changing system information on your PC in such a way
  956.     that the virus code is executed before the intended program. The
  957.     most obvious way this is done depends on the fact that if both
  958.     a .COM and .EXE file have the same name, DOS will execute
  959.     the .COM file instead of the .EXE file.  These viruses locate .EXE
  960.     files and then plant themselves as .COM files of the same name.
  961.     The virus (the .COM file) can execute, spread further, and then
  962.     run the .EXE program so that everything appears normal. (Don't
  963.     worry; IM detects all types of viruses!)  Please read PART TWO
  964.     Data Integrity and Viruses to learn more about viruses.
  965.  
  966.  
  967.     Virus Checking Procedure
  968.     ------------------------
  969.     When you install Integrity Master using SETUPIM, the Integrity
  970.     Advisor will prepare a complete procedure for running IM.  If you
  971.     indicated that you wanted to detect viruses, then this procedure
  972.     would include the steps you need to check for viruses.  This step
  973.     by step procedure is customized to your own preferences, so look
  974.     there first (file IMPROC.TXT).
  975.  
  976.     To be certain of detecting even unknown viruses it is vital to cold
  977.     boot from your write protected floppy containing IM, before
  978.     checking for viruses.  Do NOT use Ctrl/Alt/Del to boot, but turn
  979.     your PC off and then on.  Some PCs have a reset button which will
  980.     force a cold boot.
  981.  
  982.     Whenever you engage in any activity which changes or rearranges
  983.     a lot of files, run at least a "Quick integrity update", so that your
  984.     integrity data accurately reflects the status of your PC.  Use the
  985.     options menu to change the type of integrity checking.
  986.  
  987.     o With Integrity "CHECK ON", do a full integrity check (rather
  988.       than a "quick update") of all files at least once a month to detect
  989.       any unexpected changes.
  990.  
  991.     Integrity Master (tm)             -  22  -                 Version 1.02b
  992.  
  993.     o If your work exposes you to programs which may be infected
  994.       with viruses, do a daily full check of your disk for any
  995.       unauthorized changes.  To save time, use the options menu to
  996.       limit checking to executable programs.  Check at least the current
  997.       directory if you have executed any new or "strange" programs.
  998.  
  999.     o After installing any new software, IMMEDIATELY run IM to
  1000.       initialize the integrity data for the new files you have created.  Be
  1001.       sure that you save a write protected disk containing a copy of the
  1002.       software.  It is vital, that you do this before you start to use the
  1003.       software.
  1004.  
  1005.     o It is critical to do extra checking any time you copy programs
  1006.       (eg. *.EXE or *.COM files).  When you copy programs, be sure
  1007.       to copy your integrity data also.  For example, if you are doing
  1008.       something like a "COPY *.EXE  D:\DOS", then also enter a
  1009.       "COPY *.ID  D:\DOS" command.  This copies the integrity
  1010.       data along with the programs.  If you simply copy all files
  1011.       (COPY *.*), then you won't have to worry; the integrity data
  1012.       will automatically be copied along with the programs.
  1013.       Afterwards, run IM to check that the files were copied without
  1014.       damage or virus infection.  Naturally, any files that weren't
  1015.       copied will be reported as deleted when you run this check.
  1016.  
  1017.  
  1018.     Scanning for viruses
  1019.     --------------------
  1020.     If you wish to quickly scan a disk for known viruses:
  1021.  
  1022.     o Use the options menu and set the "Files to iNitialize" option  to
  1023.       "Executable programs."
  1024.  
  1025.     o Use the initialize menu to initialize "Entire disk integrity".
  1026.       Remember that virus scanning is a limited technology and  will
  1027.       detect only viruses known at the time this program was written.
  1028.       As with any scan program, you should have the latest version if
  1029.       you intend to rely upon scanning for serious protection.
  1030.  
  1031.     The option to check "Disk for known Viruses" on the check menu
  1032.     will  allow you to do a one time quick scan (check) for viruses.  If
  1033.     you intend to check this disk more than once, it's far better to do
  1034.     an initialize we as we just suggested above.
  1035.  
  1036.  
  1037.     Detecting Viruses
  1038.     -----------------
  1039.     o Make sure that you specified that you wanted virus protection
  1040.       when you installed IM.  If you didn't, then run SetupIM and
  1041.       select "Reinstall".
  1042.  
  1043.     o Make sure you carefully followed SetupIM's instructions in
  1044.       IMPROC.TXT.
  1045.  
  1046.  
  1047.     Integrity Master (tm)             -  23  -                 Version 1.02b
  1048.  
  1049.     o If a virus is found on your PC, IM will almost always recognize
  1050.       it by name and explain how to remove it.  IM will also advise if
  1051.       viral signs are present on changes that don't match known
  1052.       viruses.
  1053.  
  1054.     o Whenever IM reports a change to an executable program, it's
  1055.       important to determine the cause.  Some programs modify
  1056.       themselves when you change their options; some programs
  1057.       change themselves every time they run.  Changes to executable
  1058.       programs are indicated in red on the report screen and are
  1059.       bracketed by "...." to make these changes obvious.
  1060.  
  1061.     o If only a single program has changed and IM does not indicate
  1062.       this to be corruption, then you probably do NOT have a virus.  If
  1063.       you have any doubt that a program change may be a virus, be
  1064.       very careful and run full checks with IM after executing this
  1065.       program. (Cold boot (power off and on) from a floppy before
  1066.       running IM)  Any program changes detected at this point indicate
  1067.       a virus.  Please report this (see file VIRREP.DOC for complete
  1068.       details).
  1069.  
  1070.     o For speed, use the options menu to limit checking to executable
  1071.       files.
  1072.  
  1073.     Detecting Unknown (new) viruses
  1074.     -------------------------------
  1075.     IM has the capability to detect infection by an unknown (new) virus
  1076.     as well as the ability to identify known viruses and their
  1077.     characteristics.  If IM detects an unknown virus, it clearly can't
  1078.     provide the detailed information that it provides when it detects a
  1079.     known virus.  Because of some of the generic detection techniques
  1080.     used in IM, there's actually a good chance that it will in fact
  1081.     identify and describe a new virus.  How is this possible?  This is
  1082.     only possible if the virus is not totally new but a modification of an
  1083.     existing virus.  In this case IM may identify the "new" virus as a
  1084.     virus it knows about because the new virus was created by
  1085.     someone who modified the old virus to create a new one.  IM
  1086.     notices the code from the old virus still present in the new virus
  1087.     and identifies it in this way.
  1088.  
  1089.     What about totally new viruses?   These are a little more work to
  1090.     identify.  In this case, IM will inform you that it has detected a
  1091.     change in a file or a system sector, but won't announce that a virus
  1092.     is present (unless it's similar to a known virus).
  1093.     How do we determine whether a virus is responsible for the
  1094.     detected change?  Consider the following factors:
  1095.  
  1096.     Integrity Master (tm)             -  24  -                 Version 1.02b
  1097.  
  1098.     o Has IM identified virus like symptoms with this change?  Such
  1099.       symptoms include an unusual value in the DOS time or date
  1100.       stamp, and file corruption detected (no change to the time and
  1101.       date stamp but a change to the file).
  1102.  
  1103.     o Are numerous unrelated executable files changed?
  1104.  
  1105.     If the answer to one or both of these questions is "yes" then it's
  1106.     time to do some more checking to see if it's really a virus.  Please
  1107.     read the section on Virus Signs and Playing Detective in  Part two
  1108.     Data Integrity and Viruses.  Following these procedures will let
  1109.     you determine if you have encountered a brand new virus (lucky
  1110.     you!).  If you have encountered a virus, or you are not sure, please
  1111.     contact us; see file VIRREP.DOC for details on reporting viruses.
  1112.  
  1113.     The Integrity Master Virus Report
  1114.     ---------------------------------
  1115.     When IM detects a known virus it will present at least one full
  1116.     screen of information.  IM stops and waits for you to hit a key.
  1117.     We consider viruses so serious that we don't offer any way for IM
  1118.     to go on checking after it has detected a virus without you
  1119.     acknowledging that you've seen the screen.  The virus report
  1120.     screen gives you the following information:
  1121.  
  1122.     o The name of the virus.  This is usually the name that virus
  1123.       researchers in the United States use most often.  This name
  1124.       corresponds to an entry in file VTEXT.DOC.  Many viruses
  1125.       have been built as modifications to existing viruses. By
  1126.       identifying common (hard to change) code elements in the base
  1127.       virus, IM can identify multiple viruses by spotting their common
  1128.       characteristic.  This means for example that if IM reports the
  1129.       Jerusalem virus, it could also be the Anarkia, Anarkia-B or the
  1130.       Payday virus. Since viruses go by many names, alternate names
  1131.       for the same virus are listed in this table too.
  1132.  
  1133.     o The type of files or system sectors infected by this virus is listed.
  1134.  
  1135.     o If the virus is known to seriously interfere with normal operation
  1136.       of your PC, this is mentioned.  Displaying messages, bouncing
  1137.       balls and playing music is not considered to be serious
  1138.       interference.  Slowing execution of your PC or halting the system
  1139.       ARE considered serious.
  1140.  
  1141.     o If the virus is known to either deliberately or inadvertently
  1142.       damage data on your disk, this is mentioned.  Beware, though,
  1143.       harmless viruses are all too often being modified to become
  1144.       dangerous. An example of this is the Cascade virus (letters
  1145.  
  1146.     Integrity Master (tm)             -  25  -                 Version 1.02b
  1147.  
  1148.       cascade down on your screen when this virus activates).  The first
  1149.       version of this virus was harmless but someone created a variant
  1150.       which will format your disk.  In this case, IM makes a special
  1151.       check for the dangerous variant of the virus and warns you if it's
  1152.       detected.  In spite of this, please, NEVER assume that a virus is
  1153.       harmless.  If we don't mention that a virus is known to damage
  1154.       files, it means only that no one has reported damage from this
  1155.       virus.  Be careful; you may have a variant of the virus that might
  1156.       very well be dangerous!
  1157.  
  1158.     o Step by step removal instructions are presented for the virus.
  1159.  
  1160.     Sometimes IM presents additional screens describing necessary or
  1161.     suggested actions.  This is true if the virus is detected in memory.
  1162.     When IM first starts, it checks the memory of the PC for presence
  1163.     of known viruses (unless you deactivate this check using SetupIM
  1164.     or the "/B" (bypass) command line parameter); if a virus is
  1165.     detected you are asked to immediately cold boot your PC.
  1166.     Checking further at this point could be very dangerous since it
  1167.     might spread the virus.  Other special viruses such as companion
  1168.     or cluster viruses (see PART TWO for details) will generate an
  1169.     extra screen identifying that specific virus and mentioning alternate
  1170.     ways to remove the virus.
  1171.  
  1172.     False Alarms
  1173.     ------------
  1174.     If IM announces detection of a known virus, could this be a false
  1175.     alarm (Not really a virus)?  If IM has checked this file before or if
  1176.     more than one file was found infected, then it is almost certainly a
  1177.     REAL VIRUS!  If this is the first time IM has checked this file and
  1178.     if only one file is found infected after checking your entire disk,
  1179.     then it may be a false alarm.  Although it is very unlikely, it IS
  1180.     possible that a legitimate program could contain code that matches
  1181.     a virus.  IF YOU THINK YOU HAVE A FALSE ALARM, PLEASE NOTIFY STILLER
  1182.     RESEARCH.   WE WILL DETERMINE IF A VIRUS IS PRESENT; IF IT IS A FALSE
  1183.     ALARM, WE WILL, IF POSSIBLE, SEND A CORRECTED VERSION OF IM.
  1184.  
  1185.     Some anti-virus programs contain unencrypted virus fragments
  1186.     which IM may detect.  It's usually safe to assume these programs
  1187.     are not infected.  Some of these programs also leave virus
  1188.     fragments in memory which IM may then detect and announce as a
  1189.     memory resident virus.  Please do not take any chances in such a
  1190.     case and follow IM's instructions to cold boot even though it's
  1191.     likely to be a false alarm.
  1192.  
  1193.     If you have just read an infected disk or a file, there is a chance
  1194.     that IM may detect a piece of this file in memory and announce a
  1195.     resident virus when one really isn't resident.  In such cases it's best
  1196.     to play it safe and cold boot from a write-protect diskette.
  1197.  
  1198.     Integrity Master (tm)             -  26  -                 Version 1.02b
  1199.  
  1200.     Destroying Viruses
  1201.     ------------------
  1202.     If IM detects a known virus, it will display the steps to remove the
  1203.     virus.
  1204.  
  1205.     If IM detects program or system sector changes which may be due
  1206.     to a virus, please follow these steps:
  1207.  
  1208.     o Save at least one infected diskette or file and report this to us so
  1209.       that we can update IM to recognize this virus and hopefully track
  1210.       down its source!  See file VIRREP.DOC for complete details.
  1211.  
  1212.     o Cold boot your PC (power off and on) from a write protected
  1213.       floppy disk.
  1214.  
  1215.     o Run an "Entire disk integrity" check, noting any changed
  1216.       programs or other possible damage by the virus.
  1217.  
  1218.     o Delete any infected programs.
  1219.  
  1220.     o Reload your system sectors if they were damaged.
  1221.  
  1222.     o Restore any damaged files or programs from the original
  1223.       diskettes if possible.
  1224.  
  1225.     o Very carefully, check any floppies you've used.
  1226.  
  1227.     o Run an "Entire disk integrity" check daily for a while.
  1228.  
  1229.  
  1230.     Data Corruption
  1231.     ---------------
  1232.     If a program changes a file by normal means, the file's time and
  1233.     date stamp will be updated to reflect this change.  On the other
  1234.     hand, if a virus or a hardware or software problem causes a file to
  1235.     be changed, there is often no change to file's time and date stamps.
  1236.     IM calls this file corruption and raises a special alarm if it detects
  1237.     this.  If you find, a corrupted file, the odds are it's NOT a virus.
  1238.     The most likely cause of corrupted files are software conflicts.
  1239.     The next most common cause is hardware problems.  In any case,
  1240.     if you have a corrupted file, it's absolutely vital you determine
  1241.     what the likely cause is.  In Part Two - Data Integrity and
  1242.     Viruses", we have a chapter titled Determining the Cause of Data
  1243.     Corruption.  Please read that chapter very carefully when (not if!)
  1244.     you detect a corrupted file. The next section describes using IM
  1245.     when you are having suspected disk hardware problems.
  1246.  
  1247.     Integrity Master (tm)             -  27  -                 Version 1.02b
  1248.  
  1249.     Integrity Master and Disk Problems
  1250.     ----------------------------------
  1251.     It's an unfortunate fact of life that all disk drives will eventually
  1252.     fail; sometimes at the worst possible moment!  Before disk drives
  1253.     totally fail, they usually start exhibiting signs of problems, such as
  1254.     inability to reliably read and write certain areas on the disk.
  1255.     Unfortunately, these failures tend to be intermittent. The result may
  1256.     be that you have damaged files, but when you run your disk
  1257.     diagnostic software, no problems are found.  By using IM to do
  1258.     periodic full checks, you can detect these problems when they first
  1259.     begin and prevent more major disk problems, such as total failure,
  1260.     from taking you by surprise.  If you have an MFM, RLL, or ESDI
  1261.     type of disk drive you may be able to extend it's life slightly by
  1262.     doing a low level format, or using a product such as Steve
  1263.     Gibson's SpinRite(R) which can do a non-destructive low level
  1264.     format.  The key here is to detect disk problems early before any
  1265.     serious damage is done.
  1266.  
  1267.     IM replaces the DOS critical error handler with its own more
  1268.     advanced routine.  If a disk error occurs, you will see a warning
  1269.     screen explaining what has happened, rather than the dreaded
  1270.     "Abort retry or fail" message that DOS provides.  IM may also
  1271.     present a menu offering you additional options (depending upon the
  1272.     type of error and the circumstances) such as repeating (retrying)
  1273.     the operation.
  1274.  
  1275.     If an error occurs while IM is checking files, it will report either
  1276.     "Read fail" or "Open fail" in place of the normal signature data on
  1277.     its report:
  1278.                       Name and    Signature     File     Update   Update
  1279.     Status: Type:     Extension:  Val1: Val2:   Size:    Date:    Time:
  1280.     ------- --------  ----------   ---- ---- ---------- -------- --------
  1281.     Added   File      NORMAL   EXE 0D83 4E93       2048 11/05/91 14:00:56
  1282.     Added   File      DISKERR  EXE Read fail     140792 11/05/91 14:01:02
  1283.     Added   File      CANTOPN  FIL Open fail        123 10/05/90 10:11:20
  1284.  
  1285.  
  1286.     In addition to "Read fail" or "Open fail" appearing in the IM
  1287.     report, additional information regarding the type of error will also
  1288.     appear and be recorded in the report file (or printout) as well in the
  1289.     on screen report.
  1290.  
  1291.     Whenever IM encounters an error reading a file, it  will NOT
  1292.     replace the original integrity data with the current (in error) data.
  1293.     This means that if you have a read error on a file, and you either
  1294.     "fix" the file using some utility or restore the file from a backup,
  1295.     you can then run a check on that file and know whether or not your
  1296.     file is correctly restored.
  1297.  
  1298.     Integrity Master (tm)             -  28  -                 Version 1.02b
  1299.  
  1300.     If you run IM in an environment where more than one program can
  1301.     have a file open, you may get an "Open fail" due to another
  1302.     program having this file open.  This can happen on networks, with
  1303.     OS/2, or with windows.
  1304.  
  1305.     Integrity Master for PC Security
  1306.     --------------------------------
  1307.     Although there are no 100 percent reliable techniques to prevent
  1308.     someone from making unauthorized changes to your data while you
  1309.     are away, IM does offer a 100 percent reliable way of detecting
  1310.     these changes.
  1311.  
  1312.     If you indicate security is important, when you first execute
  1313.     SetupIM, its Integrity Advisor will make recommendations on how
  1314.     to use IM to get the level of protection you need.  It saves these
  1315.     recommendations on file IMPROC.TXT.  By storing your integrity
  1316.     data on diskettes and keeping these diskettes in a safe location, you
  1317.     can detect any changes which were made on your PC. This should
  1318.     provide you protection even against a user who understands how
  1319.     IM works and is technically adept. For most situations this is
  1320.     probably overkill!
  1321.  
  1322.     Keeping the integrity data on diskette may provide more protection
  1323.     than you need.  Simply keeping your parameter file (IM.PRM) on a
  1324.     diskette will provide a very high level of protection.  Since a user
  1325.     breaking into your PC will not be able to tell how the integrity data
  1326.     is computed, this user will not be able to change a file and then
  1327.     adjust the integrity data to hide the changes, even if they have a
  1328.     copy of the IM program.  This provides almost as much protection
  1329.     as keeping the integrity data on diskettes.
  1330.  
  1331.     If you keep the parameter file on the same disk with the files you
  1332.     check, it's possible that someone could modify your files and then
  1333.     run IM to update the integrity data, in this way covering their
  1334.     tracks. This person would obviously have to have enough
  1335.     knowledge about your PC to know that you use IM.  If you'd like
  1336.     to keep your parameter file on the diskette with your files you can
  1337.     still achieve a high degree of security by renaming IM.PRM to
  1338.     some other name and locating it in an unlikely directory.  When
  1339.     you invoke IM you will have to specify the name of the directory
  1340.     and the new name for the parameter file.  For example, the
  1341.     command: "IM D:\DOS\UTILS\BORING.DAT" will read file
  1342.     BORING.DAT from directory \DOS\UTILS on disk D.
  1343.  
  1344.  
  1345.     Integrity Master (tm)             -  29  -                 Version 1.02b
  1346.  
  1347.     Integrity Master for Change Control
  1348.     -----------------------------------
  1349.     To use IM for change management, you really don't  need to use
  1350.     integrity checking.  Simply running IM, in "Quick Update" mode,
  1351.     (which does not actually read files unless the DOS time/date stamp
  1352.     or file size have changed), is adequate to provide change
  1353.     management.  "Quick update" mode only requires about 10
  1354.     seconds to check about 270 megabytes (8000 files).  To keep a full
  1355.     record of what has changed on your PC, we recommend you use
  1356.     "auto-named" report files and that you keep all your report files.
  1357.     At the end of the year, you may wish to copy all the old report files
  1358.     into a directory for that year.  For example, on January 1st, 1993:
  1359.  
  1360.     CD \
  1361.     MD REP93
  1362.     COPY *.REP \REP93
  1363.     DEL *.REP
  1364.  
  1365.     This creates a directory called "\REP93", copies all report files to
  1366.     that directory and then deletes the old report files.
  1367.  
  1368.     By following this procedure you have a complete record of all
  1369.     changes on your PC.  If you want to know when a particular file
  1370.     last changed, it's easy to search through the report files for that
  1371.     filename.  If you want to know where all your disk space is going,
  1372.     you can easily see what is being added.
  1373.  
  1374.  
  1375.     Integrity Master (tm)             -  30  -                 Version 1.02b
  1376.  
  1377.     C o m m a n d   L i n e   E x e c u t i o n
  1378.     -------------------------------------------
  1379.     Integrity Master is really designed to work by use of its menus.
  1380.     However most functions can be automatically invoked from the
  1381.     command line to allow you to start IM from batch files.
  1382.  
  1383.    Syntax:  IM [Filespec] [/A] [/B] [/C] [/Cx] [/Dx] [/H] [/Ix] [/L] [/N] [/M]
  1384.  
  1385.    =============================================================================
  1386.    FileSpec specifies the name of the parameter file to be used. If not in the
  1387.            the current directory, then include the complete directory path.
  1388.    -----------------------------------------------------------------------------
  1389.    "/Dx" change to disk "x".     "/N"  run nonstop.     "/B" bypass memory check
  1390.    -----------------------------------------------------------------------------
  1391.    /Cx values: do type "x" integrity check and then quit:
  1392.     "/CE"  Check Entire disk integrity.      "/CB"  Check boot sector.
  1393.     "/CD"  Check all files on DOS disk.      "/CP"  Check partition sector.
  1394.     "/CR"  Check files in this diRectory.    "/CF=filespec" Check this one file.
  1395.    -----------------------------------------------------------------------------
  1396.    /Ix values: do type "x" integrity initialize and then quit:
  1397.     "/IE"  Init Entire disk integrity.       "/IB"  Init Boot sector.
  1398.     "/ID"  Init all files on DOS Disk.       "/IP"  Init Partition sector.
  1399.     "/IR"  Init files in this diRectory.
  1400.    -----------------------------------------------------------------------------
  1401.    /Rx values will reload one of the system sectors on the current disk and quit
  1402.     "/RP"  Reload Partition sector           "/RB"  Reload DOS Boot sector
  1403.    -----------------------------------------------------------------------------
  1404.    The following may be used to override video mode selected during install:
  1405.     "/A"   Auto adjust of video mode.        "/L"   Use colors for LCD displays.
  1406.     "/C"   Force use of full color mode.     "/M"   Use monochrome colors.
  1407.  
  1408.     Ordinarily, you don't need ANY parameters. Just enter: "IM".  IM
  1409.     is menu driven with lots of on-line help.  The command line
  1410.     parameters are intended for automatic unattended integrity
  1411.     checking.  If you don't have "HALT" set to "None" (on the options
  1412.     menu), use "/N" to avoid pausing for input.  If you wish to have
  1413.     IM automatically locate your parameter file, DO NOT specify it on
  1414.     the command line.  If you specify it on the command line,you must
  1415.     include the drive and directory where it is located, if it is not in the
  1416.     current directory.
  1417.  
  1418.     Examples:
  1419.     ---------
  1420.       "IM /L /CE"  Uses colors appropriate for an LCD display and
  1421.       checks the system sectors as well as all files on the current disk.
  1422.  
  1423.       "IM /IR"  Creates new integrity data for files in this diRectory.
  1424.  
  1425.       "IM /CF=A:\X\IO.SYS"  Checks the file IO.SYS in directory \X
  1426.       on disk A:.
  1427.  
  1428.       "IM D:\IO\X.PRM /CD"  Checks all files in the current disk using
  1429.       options saved in the parameter file "X.PRM" located in "D:\IO".
  1430.  
  1431.       "IM /RB /DA"  Reloads the DOS boot sector on disk A.
  1432.  
  1433.     Integrity Master (tm)             -  31  -                 Version 1.02b
  1434.  
  1435.     To execute IM automatically in unattended (batch) mode, do the
  1436.     following:
  1437.  
  1438.      o Use the options menu to activate the report file.  Save this
  1439.      change by selecting the first option on the options menu, "Write
  1440.      option changes to disk."
  1441.  
  1442.      o Either use the "/N" (nonstop) parameter  ("IM /N") or set halt
  1443.      options to "None" (options menu).  Be aware that you can use
  1444.      multiple parameter files if you don't want your options always set
  1445.      to nonstop.
  1446.  
  1447.      o Set up the IM control card.  For example: "IM /N /DG /CE"
  1448.      will run nonstop on disk G: and check the entire disk (/CE)
  1449.      including system sectors.
  1450.  
  1451.      o If you have a timed execution program such as the one available
  1452.      with PCtools, you may want to have it invoke IM or add IM to
  1453.      any batch file which you run regularly such as nightly backup
  1454.      batch file.
  1455.  
  1456.     Error Levels
  1457.     Integrity Master returns the following DOS error levels.  You can
  1458.      check for these error levels in a batch file and execute your own
  1459.      special procedures depending upon IM's findings.  One of our
  1460.      beta testers has their PCs automatically phone their help desk if
  1461.      an error level 24 or greater is encountered.
  1462.  
  1463.     00   Processing complete with no changes detected
  1464.     08   Checking complete with added or deleted files detected
  1465.     12   Checking complete with changed files detected
  1466.     16   Checking complete with changed programs detected
  1467.     24   Checking complete with suspicious file changes detected
  1468.     32   Checking complete but a file or system sector showed signs of
  1469.        corruption or an I/O error.  This will be in addition to any of
  1470.        the lower valued indicators such as change to a program.  So
  1471.        if a program changed, the error level would = 16 + 32 = 48.
  1472.     64   One or more viruses were detected. Any of the lower status
  1473.        indicators will be included with this one.
  1474.     128  If a vital IM file is determined to be missing or damaged
  1475.     192  A fatal error occurred during execution such as not enough
  1476.        memory or a disk error in internal processing such as a failed
  1477.        drive change.
  1478.     200  control card error (an error in IM's "/" parameters).
  1479.  
  1480.     Integrity Master (tm)             -  32  -                 Version 1.02b
  1481.  
  1482.     Using IMCHECK
  1483.     -------------
  1484.     IMCHECK.EXE is a fast stand-alone file checker.  It will read
  1485.     whatever files you specify and compute signature data similar to
  1486.     what Integrity Master uses as part of its integrity data.
  1487.  
  1488.     If you print the IMPROC.TXT file created by SetupIM, you will see
  1489.     the check values which IMCHECK should report for IM.EXE and IMCHECK
  1490.     itself.
  1491.  
  1492.     The syntax is: IMCHECK [d:] [path] filename [/D] [/1] [/2]
  1493.     "filename" specifies the files to check. Wild card characters
  1494.     such as * or ? may be used.
  1495.        "/D"  Display directory entries as well as files.
  1496.        "/1"  Utilize an alternate check value1 algorithm.
  1497.        "/2"  Utilize an alternate check value2 algorithm.
  1498.     Entering IMCHECK with no parameters will produce a explanation
  1499.     of how to use IMCHECK.
  1500.  
  1501.     For example: IMCHECK D:\DOS\TEST.* would check all files in
  1502.     the DOS directory on disk D: which begin with TEST but with any
  1503.     file extension.
  1504.     IMCHECK can be very handy when you send files to others and
  1505.     you  want to make sure that they got a good copy of your files.
  1506.     Simply run IMCHECK on your files.  You will see a report like:
  1507.  
  1508.     IMCHECK 1.2 - Integrity Master (TM) standalone file checker.
  1509.     Copyright 1990-1991 by Wolfgang Stiller - all rights reserved.
  1510.     Checking: MYFILE.*
  1511.  
  1512.     File Name + Check Check    File    Update   Update
  1513.     Extension:  Val1: Val2:    Size:   Date:    Time:
  1514.     ----------   ---- ----    -------  ------   ------
  1515.     MYFILE.001   AC57 C1C4       1551 11/05/91 22:38:40
  1516.     MYFILE.DAT   2D53 B1D6       8666 11/07/91 18:57:30
  1517.     Total======> F5AA 66A7
  1518.  
  1519.     Simply record the check values and make sure the other person
  1520.     runs IMCHECK and compares the values.  Note, that the
  1521.     "Total=====>" value will match only if the files are checked
  1522.     in the same order.
  1523.  
  1524.     Special license terms for IMcheck:
  1525.     ----------------------------------
  1526.     Registered users of Integrity Master are granted permission to
  1527.     distribute copies of IMcheck to anyone who needs to verify the
  1528.     integrity of files sent by the registered user.  This other user may
  1529.     use and keep IMcheck but may not further distribute it.
  1530.  
  1531.      ONLY registered (licensed) IM users may distribute IMcheck.
  1532.      -----------------------------------------------------------
  1533.  
  1534.  
  1535.     Integrity Master (tm)             -  33  -                 Version 1.02b
  1536.  
  1537.     _________________________________________________________________________
  1538.     CHAPTER FOUR - Customizing
  1539.  
  1540.  
  1541.     Customizing Integrity Master
  1542.     ----------------------------
  1543.     When you first install Integrity Master, SetupIM does an initial
  1544.     customization for you based upon how you intend to use it.  There
  1545.     are quite a few options available to you to make it work just the
  1546.     way you want.
  1547.  
  1548.     From the Integrity Master options menu, you can control almost all
  1549.     options which determine how IM works.  Your option changes may
  1550.     be either temporary or permanent.  To make your changes perma-
  1551.     nent, select "Write option changes to disk" from the options menu.
  1552.     This will save your option changes on the parameter file. These
  1553.     options will be in effect the next time you execute IM.
  1554.  
  1555.     In addition to initially installing IM, SetupIM allows you to change
  1556.     all possible options.  The more advanced options (which you may
  1557.     never need to change) are available only within SetupIM.  These
  1558.     options include turning off virus checking, setting which files are
  1559.     considered to be programs and deciding where integrity data will
  1560.     be stored.  SetupIM also allows you to permanently change the
  1561.     colors that IM uses on the display.
  1562.  
  1563.     These options are stored on the parameter file (IM.PRM).  You
  1564.     may, if you wish, keep multiple versions of this file around to
  1565.     represent different sets of options.  You can specify a different
  1566.     name for this file on IM's command line.
  1567.  
  1568.     The Parameter (options) file
  1569.     ----------------------------
  1570.     The parameter file (IM.PRM) contains all the options which
  1571.     control how IM works.  IM and SetupIM look for this file in either
  1572.     the current directory, the directory where IM.EXE is located, or
  1573.     the root directory on any disk.
  1574.  
  1575.     Whenever you change any options and save the changes, the
  1576.     parameter file is rewritten.  The option "Write option changes to
  1577.     disk" in IM's options menu does this as well as SetupIM.
  1578.  
  1579.     Integrity Master (tm)             -  34  -                 Version 1.02b
  1580.  
  1581.     The Options Menu
  1582.     ----------------
  1583.     You can reach the options menu from any primary IM menu by
  1584.     hitting the "O" or ALT/O keys.   The options menu is also avail-
  1585.     able from within SetupIM.  From the options menu, you can con-
  1586.     trol almost all options which determine how IM works.  These
  1587.     options include all normal day to day choices.
  1588.  
  1589.       _____________|Options|______________________
  1590.      | Write option changes to disk             |
  1591.      | Integrity:  CHECKING ON/off=quick update |
  1592.      | Files to Check:      Executable programs |
  1593.      | Files to iNitialize: Executable programs |
  1594.      | Halt on: ALL changes, adds or deletes    |
  1595.      | Sound -------------------------> ON/off  |
  1596.      | Report: (xxxxxxxxxxxxx)--------> on/OFF  |
  1597.      | Video (screen) report ---------> ON/off  |
  1598.      | Ignore Time/date changes ------> on/OFF  |
  1599.      | Only changes reported ---------> on/OFF  |
  1600.      |------------------------------------------|
  1601.  
  1602.     In addition to allowing you to set all the above options, the Options
  1603.     menu displays the current settings of these options.  The options
  1604.     which have "on/off" settings, are toggled between their on and off
  1605.     states by hitting the ENTER key.  The current setting of the option
  1606.     is displayed in capital letters, as well as in a distinctive color.
  1607.  
  1608.     Write option changes to disk
  1609.     ----------------------------
  1610.       This allows you to write any option changes to the parameter
  1611.       file, making your option changes effective the next time you
  1612.       execute IM also.  This option does not exist on the SetupIM
  1613.       version of the options menu.
  1614.  
  1615.     Integrity:  CHECKING ON/off=quick update
  1616.     ----------------------------------------
  1617.       This is the most crucial item on the Options menu.  Hitting the
  1618.       ENTER key toggles whether integrity checking is on, or only a
  1619.       quick integrity data update will be done.  When you hit ENTER,
  1620.       either "Checking ON" or "OFF=Quick update" will be in all
  1621.       capital letters and in a different color (on most displays).  This
  1622.       indicates whether full integrity checking is on or off.  The status
  1623.       of integrity checking is always visible on the fourth line at the
  1624.       top of the screen.
  1625.  
  1626.       Quick update mode provides a very fast way to bring all your
  1627.       integrity data up to date.  Only files whose size, time stamp or
  1628.       date stamp have changed will be read and undergo a full
  1629.       integrity check.  To detect file corruption and viruses, it's
  1630.       essential to regularly turn "Checking on" to do full integrity
  1631.       checks.
  1632.  
  1633.     Integrity Master (tm)             -  35  -                 Version 1.02b
  1634.  
  1635.     Files to Check:
  1636.     ---------------
  1637.       You can use this option to limit IM's checking to only executable
  1638.       or source programs.  Even if you are interested only in virus
  1639.       detection, we strongly recommend that you also periodically set
  1640.       this option to check all files, so that you can be alerted to the
  1641.       other (more common) causes of file damage.  The advanced
  1642.       menu in SetupIM allows you to change which files IM considers
  1643.       to be executable or source programs.
  1644.  
  1645.     Files to iNitialize:
  1646.     --------------------
  1647.       Use this option to limit IM's initializing of integrity data to only
  1648.       executable or source programs.  Even if your primary interest is
  1649.       viruses only, we strongly recommend that you set this option to
  1650.       read all files, so that you can be alerted to the other (more
  1651.       common) causes of file damage.  The advanced menu in
  1652.       SetupIM allows you to change which files IM considers to be
  1653.       executable or source programs.
  1654.  
  1655.     Halt on: ALL changes
  1656.     --------------------
  1657.       When IM is checking your files for changes, it lists each new
  1658.       change that it detects at the top of the report screen.  The other
  1659.       changes on the screen shift downward (scroll) as each new line
  1660.       is added at the top of the screen.  By setting the halt options, you
  1661.       control when this scrolling will pause and wait for you to hit a
  1662.       key.  This prevents a change from scrolling off the screen
  1663.       without you having seen it.  The halt options appear on this
  1664.       menu:
  1665.         __________________________________
  1666.         | Halt on:                       |
  1667.         |                                |
  1668.         | All detected differences       |
  1669.         | Changed files only             |
  1670.         | Changes to Executable programs |
  1671.         | Changes to any Program         |
  1672.         | Signs of file corruption       |
  1673.         | None - Pause on request only   |
  1674.         |________________________________|
  1675.  
  1676.       If you halt scrolling on "All detected differences", anytime a line
  1677.       written to the report screen is about to disappear off the bottom
  1678.       of the screen, the display will pause and wait for you to hit a key
  1679.       to acknowledge that you've seen all the lines on the display.
  1680.       After you hit a key, the display will not pause until all the lines
  1681.       currently on the screen have scrolled off and a new unseen line
  1682.       is about to scroll off the screen.
  1683.  
  1684.       If you halt scrolling on executable or source programs, the
  1685.       scrolling will pause only when a program is about to disappear
  1686.       off the bottom of the screen.  After you hit ENTER, the display
  1687.       will not pause scrolling until a program which was not on the
  1688.       previous display is about to scroll off the bottom.
  1689.  
  1690.     Integrity Master (tm)             -  36  -                 Version 1.02b
  1691.  
  1692.       If you halt scrolling on "Signs of file corruption", only signs of
  1693.       viruses, corrupted files, or possible hardware errors will pause
  1694.       the display.
  1695.  
  1696.       If you tell IM to halt on "None", then the display will pause only
  1697.       on hardware errors or signs of viruses.  This affects scrolling in
  1698.       the same way as using the "/N" parameter on the command line.
  1699.       If you set halt to "none", be sure that IM is writing a report to a
  1700.       file or to the printer, otherwise you may miss some important
  1701.       warnings.
  1702.  
  1703.       You can always halt scrolling by hitting the "P" key.
  1704.  
  1705.     Sound -------------------------> ON/off
  1706.     ---------------------------------------
  1707.       IM will provide beeps and tones to alert you that something
  1708.       important has happened (or that you've hit an unsupported key).
  1709.       Hitting ENTER toggles whether you will hear these sounds.
  1710.  
  1711.     Report: (xxxxxxxxxxxxx)--------> on/OFF
  1712.     ---------------------------------------
  1713.       This allows you to turn the report file off or to ask IM to write a
  1714.       report of its activities to either the printer or a disk file.  The
  1715.       "xxxxxxxxx" on the option line represents the name of the
  1716.       current report file or printer.  The disk file can be automatically
  1717.       named by IM or can be any file of your choice.  Please see "The
  1718.       Report File" in Chapter three for more details on these options.
  1719.       This option line, as well as the third line from top of IM's
  1720.       screen, display the status of the report file.
  1721.  
  1722.     Video (screen) report ---------> ON/off
  1723.     ---------------------------------------
  1724.       If you have a very slow video board (such as some very old
  1725.       CGA adapters), IM will run a little faster if you turn the screen
  1726.       report off. (Be sure to turn the report file on!)
  1727.  
  1728.     Ignore Time/date changes ------> on/OFF
  1729.     ---------------------------------------
  1730.       Sometimes the DOS time or date stamp on a file will change, but
  1731.       the file itself won't change.  If you do not want to have such files
  1732.       reported as changed, set this option to "ON".
  1733.  
  1734.     Only changes reported ---------> on/OFF
  1735.     ---------------------------------------
  1736.       If you do not want reports of added or deleted files, turn this
  1737.       option "on".  If "Only changes reported" is set to "on", then you
  1738.       will see only reports of file changes; no added or deleted files
  1739.       will be reported.  The integrity data will still be updated to reflect
  1740.       the added or deleted files, but no report of these files will appear
  1741.       on the screen.  All other processing also continues normally
  1742.       including the detection of companion viruses (viruses which
  1743.       appear only as added files).
  1744.  
  1745.  
  1746.     Integrity Master (tm)             -  37  -                 Version 1.02b
  1747.  
  1748.     O p t i o n s   i n   S e t u p I M
  1749.     -----------------------------------
  1750.     When you execute SetupIM for the first time, the Integrity
  1751.     Advisor(tm) will set your options in a way most likely to meet your
  1752.     needs and interests.  You can later go back and change any of the
  1753.     options which were set for you.  If you specify that it's not your
  1754.     first install of IM, you will see this menu:
  1755.  
  1756.           +------------------------------------------+
  1757.           |   Select an option and hit ENTER:        |
  1758.           |                                          |
  1759.           |   Overview of IM setup and operation     |
  1760.           |   Change how Integrity Master operates   |
  1761.           |   Repeat the install on this PC          |
  1762.           |   Install IM on an other PC              |
  1763.           |   Quit                                   |
  1764.           +------------------------------------------+
  1765.  
  1766.     From this menu, you can select "Change how Integrity Master
  1767.     operates" and hit ENTER.  This brings you to the change menu:
  1768.  
  1769.           +---------------------------------------+
  1770.           |  Select an option and hit ENTER:      |
  1771.           |                                       |
  1772.           |  Screen display mode                  |
  1773.           |  Location of integrity data           |
  1774.           |  Primary options                      |
  1775.           |  Advanced Options                     |
  1776.           |  Exit  - save any changes and end     |
  1777.           +---------------------------------------+
  1778.  
  1779.  
  1780.     Options available only in SetupIM
  1781.     ---------------------------------
  1782.     On this menu all options except for "Primary Options" are avail-
  1783.     able only in SetupIM.  Selecting "Primary options" brings up a
  1784.     menu similar to the options menu in IM.  The following options
  1785.     can only be changed from the change Menu in SetupIM:
  1786.  
  1787.     Screen Display Mode
  1788.     -------------------
  1789.     This allows you to set the screen colors as explained in the Chapter
  1790.     Two section titled "Screen Colors".
  1791.  
  1792.     Integrity Master (tm)             -  38  -                 Version 1.02b
  1793.  
  1794.     Location of Integrity Data
  1795.     --------------------------
  1796.     As IM checks your files, it must store the integrity data which
  1797.     describes these files.  Using SetupIM you can change where IM
  1798.     stores these files.  There are two options:
  1799.  
  1800.     1) It can store the integrity data in the same directory along with
  1801.        the files being checked or
  1802.  
  1803.     2) It can store the integrity data on a separate disk (usually a
  1804.        floppy).
  1805.  
  1806.     Storing the integrity data on a floppy gives you total protection
  1807.     against a virus or a person changing a file and then modifying the
  1808.     integrity data to cover up the change.  For viruses, this threat is
  1809.     fairly remote since the virus would have to be written specifically
  1810.     to attack files created by IM.  This would be very difficult since
  1811.     these files are encrypted differently on each PC.   Storing the
  1812.     integrity data with the files being checked is usually easier and
  1813.     more flexible since the integrity data can be copied along with the
  1814.     files.  Any time you copy the files, it's then easy to use IM to
  1815.     verify that you made a good copy.  If you want to restore an old
  1816.     copy of a file from a backup, you can restore the integrity data
  1817.     along with the file and then ask IM to check that the file restored
  1818.     correctly.  If you move your files, it's easier to move the integrity
  1819.     data along with the files if it's stored in the same directory as the
  1820.     files.
  1821.  
  1822.     The Advanced Option Menu
  1823.     ------------------------
  1824.     If you select this option on the SetupIM change menu, the advanced
  1825.     option menu will appear.  This menu is intended only for more
  1826.     experienced users.  The details of this menu are covered in the next
  1827.     section.
  1828.  
  1829.     Update hardware configuration
  1830.     -----------------------------
  1831.     Please run this option anytime you change the configuration of disk
  1832.     drives on your computer, or if you use software which changes the
  1833.     assignment of DOS logical disk letters (A to Z) to your physical
  1834.     disk drives.  SetupIM will check the capabilities of each of your
  1835.     installed disk drives.  This will produce a display showing the
  1836.     drives that SetupIM recognizes.  It will also list any drives which
  1837.     do not contain DOS boot sectors and any which do not have
  1838.     partition sectors (master boot records).
  1839.  
  1840.     Exit - save any changes and end
  1841.     -------------------------------
  1842.     Updates the parameter file (IM.PRM) with any option changes
  1843.     you've selected, and exits SetupIM.
  1844.  
  1845.     Integrity Master (tm)             -  39  -                 Version 1.02b
  1846.  
  1847.     Abort - Quit and abandon any changes
  1848.     ------------------------------------
  1849.     Allows you to exit SetupIM without writing any of your changes.
  1850.     All option changes will be as they were before you entered
  1851.     SetupIM.
  1852.  
  1853.     The Advanced Option Menu:
  1854.     -------------------------
  1855.  
  1856.            +-------------------------------------------------+
  1857.            |  Select an option and hit ENTER:                |
  1858.            |  (Hit ESCape when you're done)                  |
  1859.            |                                                 |
  1860.            |  Specify Names of hidden system files           |
  1861.            |  Define which files are Executable programs     |
  1862.            |  Define which files are Source programs         |
  1863.            |  Check for virus in memory is ON; turn it off   |
  1864.            |  General virus checking is ON; turn it off      |
  1865.            +-------------------------------------------------+
  1866.  
  1867.     This menu is intended for more technically advanced users only.
  1868.     Most IM users should never need to use this menu.  When you're
  1869.     finished making changes on this menu, just hit ESCape to go back
  1870.     to the previous menu.
  1871.  
  1872.  
  1873.     Specify Names of hidden system files
  1874.     ------------------------------------
  1875.       Selecting this option will allow you to change the names of the
  1876.       files that IM recognizes as the hidden system files.  This option
  1877.       is only needed on nonstandard PCs which don't use the standard
  1878.       Microsoft or the IBM names for the hidden system files.  The
  1879.       files SetupIM recognizes by default are: IBMBIO.COM,
  1880.       IBMDOS.COM, IO.SYS and MSDOS.SYS.  If you execute
  1881.       "IMCHECK *.*", in your root directory and you don't see two
  1882.       of the above files, but instead see two other similarly named
  1883.       files, you may wish to use this option so IM recognizes those
  1884.       files.  If you don't understand what this is all about, don't
  1885.       worry.  IM's ability to recognize your hidden system files is
  1886.       NOT that important.  It simply allows IM to provide more
  1887.       specific information in two warning messages.
  1888.  
  1889.     Define which files are Executable programs
  1890.     ------------------------------------------
  1891.       This option allows you to specify which file extensions (the
  1892.       letters after the "." in the file name) IM should consider to
  1893.       represent executable programs.  This is important for three
  1894.       reasons:
  1895.  
  1896.       1) Non-executable files are not normally checked for known
  1897.          viruses.
  1898.  
  1899.     Integrity Master (tm)             -  40  -                 Version 1.02b
  1900.  
  1901.       2) IM provides special warning when executable programs
  1902.          change.
  1903.  
  1904.       3) If you use the options menu to limit checking to executable
  1905.          programs, only these files will be checked.
  1906.  
  1907.       Initially, IM will consider files ending in the following
  1908.       extensions to be executable programs:
  1909.  
  1910.          Numeric extensions such as .123
  1911.          .OV?  (where ? can be any character)     .DRV
  1912.          .BAT                                     .EXE
  1913.          .BIN                                     .PIF
  1914.          .COM                                     .SYS
  1915.          .DLL                                     .SWP
  1916.  
  1917.       Note, that not all these files can actually be affected by viruses
  1918.       but  all these files in one way or another contain instructions that
  1919.       are executed by your PC.
  1920.  
  1921.     Define which files are Source programs
  1922.     --------------------------------------
  1923.       This option allows you to specify which file extensions (the
  1924.       letters  after the "." in the file name) IM should consider to be
  1925.       source programs.  Source programs are the programs a
  1926.       programmer would use to create executable programs.  If you
  1927.       are not a programmer then you probably don't care about this
  1928.       option.  This option is intended mostly to provide programmers
  1929.       with extra warning if something has changed their source code.
  1930.  
  1931.     Check for virus in Memory
  1932.     -------------------------
  1933.       Selecting this option will toggle the checking of memory for
  1934.       known viruses on or off.  If you toggle memory checking on, the
  1935.       option line will be changed to read:
  1936.  
  1937.          Check for virus in memory is ON; turn it off.
  1938.  
  1939.       This indicates that memory checking is now "ON".  If you hit
  1940.       ENTER at this point, you will turn it "off", and the option will
  1941.       read:
  1942.  
  1943.          Check for virus in memory is OFF; turn it on.
  1944.  
  1945.     Integrity Master (tm)             -  41  -                 Version 1.02b
  1946.  
  1947.       Having this option "ON" allows IM to detect known viruses
  1948.       which  are resident in memory.  If you ALWAYS, cold boot
  1949.       from a known good copy of DOS on a write protected diskette,
  1950.       you could safely turn this option off, since there would be no
  1951.       way for a virus to be resident in memory.  Since, it's hard to
  1952.       guarantee that you always cold boot, please leave resident
  1953.       memory checking turned on. If you execute IM multiple times
  1954.       and you don't want to wait for the memory check to complete,
  1955.       you can use the"/B" (Bypass) command line parameter to bypass
  1956.       the resident memory check.
  1957.  
  1958.     General virus checking
  1959.     ----------------------
  1960.       Selecting this option and hitting enter will toggle checking of
  1961.       files for known viruses on or off.  If you have absolutely no
  1962.       interest in viruses, you can speed up IM's initialize processing
  1963.       and its check processing (only when it encounters changed files)
  1964.       by 10 to 20 percent.  Since this option imposes so little overhead
  1965.       in normal file checking, we suggest everyone leave it turned on.
  1966.  
  1967.  
  1968.     Integrity Master (tm)             -  42  -                 Version 1.02b
  1969.     _________________________________________________________________________
  1970.     CHAPTER FIVE - Errors
  1971.  
  1972.     Error recovery:
  1973.     ---------------
  1974.     IM replaces the normal DOS error recovery routines with its own
  1975.     more sophisticated routines.  If you encounter hardware errors,
  1976.     you'll generally see a message announcing what happened followed
  1977.     by a screen which will give you the option of retrying the failed
  1978.     operation, aborting (allowing whatever IM was trying to do, to fail)
  1979.     or other options depending upon the circumstances.  These other
  1980.     options include "Shelling to DOS".  Shelling allows you to
  1981.     temporarily exit IM and execute any DOS command (such as
  1982.     formatting a disk) you wish.  You then return to IM by typing the
  1983.     EXIT command.  This returns you to the same point in IM, just as
  1984.     if you had never left.
  1985.  
  1986.     Solving problems:
  1987.     -----------------
  1988.     If you encounter a problem with IM, please read file
  1989.     QUESTION.DOC (for a list of common questions and answers)
  1990.     and file SUPPORT.DOC (for the complete procedure on how to
  1991.     quickly get technical support).  File DISKHELP.TXT contains
  1992.     specific information on how to handle problems if IM won't
  1993.     recognize your disk drive.  You can use IMPRINT or IMVIEW to
  1994.     read any of these files. Example:  "IMVIEW SUPPORT.DOC"
  1995.  
  1996.     Answers to Common Questions:
  1997.     ----------------------------
  1998.     File QUESTION.TXT contains common questions and answers
  1999.     regarding IM.  You can read these by entering the command
  2000.     "IMVIEW QUESTION.TXT" at the DOS prompt or print with the
  2001.     command "IMPRINT QUESTION.TXT".  Hopefully, any
  2002.     questions you may have will be answered there.  Here are some
  2003.     examples of common questions:
  2004.  
  2005.     Q: Sometimes IM comes up with different colors on the screen than
  2006.        before. What's going on?
  2007.  
  2008.     A: IM checks the DOS video mode indictor on your PC to see if
  2009.        you are in color or monochrome mode, as well as directly
  2010.        checking your video adapter.  This allows you to use the DOS
  2011.        "MODE BW80" to indicate that a two color display is present
  2012.        on a color adapter card.  Some programs change this value to an
  2013.        incorrect value.  If this happens to you, use the DOS mode
  2014.        command to set the video mode back to the correct state.  For
  2015.        example, enter "MODE CO80" to restore normal color mode.
  2016.        You can also use the command line override (or SetupIM) so
  2017.        IM comes up using whatever colors you prefer.  "IM /C" would
  2018.        force IM to run in color mode.
  2019.  
  2020.  
  2021.     Integrity Master (tm)             -  43  -                 Version 1.02b
  2022.  
  2023.     Q: IM detected a virus on my PC.  I reloaded my system sectors
  2024.        and either deleted or reloaded all infected files, yet the virus
  2025.        keeps coming back!  What should I do?
  2026.  
  2027.     A: Somewhere a virus is eluding your checks.  Please check the
  2028.        following:
  2029.  
  2030.       o Did you install IM after cold booting from a clean floppy?
  2031.         It's absolutely vital to do a cold boot before checking.
  2032.  
  2033.       o Are you using a task switcher (or multi-tasker) such as
  2034.         windows?  If so, then this program may be saving some of
  2035.         your infected programs in its "swap" file.  This file often ends
  2036.         in the letters ".SWP".   Delete this file if it exists.
  2037.  
  2038.       o Be sure you check ALL files and floppies which come into
  2039.         contact with your computer.  You may have missed a file or
  2040.         diskette somewhere.  Please take the extra time and check
  2041.         them all.
  2042.  
  2043.       o It's possible that viral code is hidden somewhere other than an
  2044.         executable file.  IM normally checks only executable files
  2045.         (programs and overlays) for known viruses.  Try selecting
  2046.         "Disk for known Viruses" on the check menu and selecting
  2047.         "Check All files" on that menu.  This will check all files as
  2048.         well as system sectors on your disk.  Also, check any other
  2049.         disks that you've been using.
  2050.  
  2051.     Q: I was just checking a diskette for viruses and IM detected the
  2052.        DataCrime 2 virus in a file.  When I restarted IM, it detected the
  2053.        DataCrime virus resident in memory!  I never executed the
  2054.        program which was infected, so how did the virus get control of
  2055.        my PC?
  2056.  
  2057.     A: The virus wasn't really resident or in control of your PC. What
  2058.        happened was that a piece of the viral code was left somewhere
  2059.        in memory - probably in one of DOS's file buffers.  Although
  2060.        IM takes great pains to clear its own buffers and areas of
  2061.        memory, it's not that unusual to get a false indication of the
  2062.        virus being active in memory after detecting a virus in a file or
  2063.        system sector.
  2064.  
  2065.  
  2066.     Integrity Master (tm)             -  44  -                 Version 1.02b
  2067.  
  2068.  
  2069.                                   PART TWO
  2070.  
  2071.                          Data Integrity and Viruses
  2072.  
  2073.                 ___________________________________________
  2074.  
  2075.  
  2076.                How do I make sure that my programs and files
  2077.                               really are safe?
  2078.  
  2079.  
  2080.                What threats are even more likely to damage my
  2081.                              data than viruses?
  2082.  
  2083.                      What really works against viruses?
  2084.  
  2085.  
  2086.                      What doesn't work against viruses?
  2087.  
  2088.  
  2089.                        Why are viruses so dangerous?
  2090.  
  2091.  
  2092.                            How do I kill a virus?
  2093.  
  2094.                 ___________________________________________
  2095.  
  2096.  
  2097.            Copyright 1991, Wolfgang Stiller, All rights reserved.
  2098.  
  2099.  
  2100.     Integrity Master (tm)             -  45  -                 Version 1.02b
  2101.     ___________________________________________________________________________
  2102.     CHAPTER ONE - Threats to Your Data
  2103.  
  2104.     Introduction - Viruses get all the Glory
  2105.     ----------------------------------------
  2106.     In order to protect the integrity of your data, it's important to first
  2107.     understand the nature of the threats against it.  The most publicized
  2108.     threats to your computer are software based attacks often lumped
  2109.     together as "viruses" by the media.  These threats have often been
  2110.     sensationalized by media coverage, but can pose a serious threat to
  2111.     PCs anyway.  See the section in this chapter titled "How serious
  2112.     are viruses?".  Although a virus may never attack your PC, it is
  2113.     almost inevitable that system glitches will someday corrupt data or
  2114.     programs on your PC.  Considering that viruses are but one threat
  2115.     to your data and not the most likely threat by far, it's ironic that so
  2116.     many people have anti-virus software and so few people take steps
  2117.     to protect the integrity of their programs and data from other
  2118.     causes.  Can anyone afford NOT to know that each and every byte
  2119.     on their disk is intact?
  2120.  
  2121.     So what's the explanation?  Why do so few people take steps to
  2122.     assure the integrity of the data on their PC?  The main reason is
  2123.     that data integrity gets almost no media coverage, (even in the
  2124.     trade journals), while a virus story may make the local evening
  2125.     news.  The result is that people just don't give data integrity a
  2126.     second thought.  It's all too easy to take the reliability of our
  2127.     modern PCs for granted -- and, as you'll see, all too dangerous!
  2128.  
  2129.     There's a good chance that you are reading this purely because
  2130.     you're interested in viruses, so in your case the media attention to
  2131.     viruses will have had a very beneficial effect!  You are about to
  2132.     learn how to protect your PC against much more than just viruses!
  2133.     Data integrity is not a very glamorous subject, yet it's both crucial
  2134.     and fundamental to using any computer.  Without positive assur-
  2135.     ance of data integrity, computers can not be depended upon to
  2136.     process any type of important data.  How would you respond if
  2137.     someone were going to change a byte of data somewhere at random
  2138.     on your disk?  You'd be pretty upset; right?  Well, the odds are,
  2139.     it's already happened but you were not aware of it.  Perhaps the
  2140.     result was that a program quit working or CHKDSK found lost or
  2141.     cross linked clusters.  Or perhaps (hopefully), the damage was to
  2142.     some inconsequential part of your disk.
  2143.  
  2144.  
  2145.     Integrity Master (tm)             -  46  -                 Version 1.02b
  2146.     Let's take a look at the different threats to your files
  2147.     and programs.
  2148.  
  2149.     HARDWARE AND POWER FAULTS
  2150.     -------------------------
  2151.     These are well known and also all too common.  We all know that
  2152.     when your PC or disk are getting old, they might start acting errat-
  2153.     ically and damage some data before they totally die.  But hardware
  2154.     problems are actually more prevalent than you may think.
  2155.  
  2156.     Your PC is busy writing data to  disk and the lights go out!
  2157.     "Arghhhh!"  Is everything OK?  Maybe not, but it'd certainly be
  2158.     nice to know for sure if anything was changed.  If your disk drive
  2159.     is starting to fail, you can have the same problem.  Unfortunately,
  2160.     it's not a question of "if", but a question of "when" in regards to
  2161.     disk failure.  There are tools (NORTON, MACE,  PCtools etc) to
  2162.     assist in recovery from disk problems, but how do you know all the
  2163.     data is OK?  These tools do not always recover good copies of the
  2164.     original files.  It's vital to have some way to check that these tools
  2165.     really do their job correctly.
  2166.  
  2167.     You can have hardware problems on a perfectly healthy PC if you
  2168.     have devices installed which do not properly share interrupts.  This
  2169.     problem is getting more and more frequent as we see multiple
  2170.     adapters installed in a PC which use the same interrupt (IRQ).
  2171.     Sometimes problems are immediately obvious, other times they are
  2172.     subtle, and depend upon certain events to happen at just the wrong
  2173.     time, then suddenly strange things happen!
  2174.  
  2175.     FINGER CHECKS (Typos and "Oops! I didn't mean to do that".)
  2176.     -------------
  2177.     These are an all too frequent cause of data corruption.  This
  2178.     commonly happens when you are intending to delete or replace one
  2179.     file but actually get another.  By using wild cards, you may experi-
  2180.     ence a really "wild" time.  "Hmmm I thought I deleted all the
  2181.     *.BAK files...but they're still here....something was
  2182.     deleted ...what was it?... or was I in the other directory?"  Of
  2183.     course if you're a programmer or if you use sophisticated tools like
  2184.     Norton's sector editor (NU), then your fingers can really get you
  2185.     into trouble!
  2186.  
  2187.     MALICIOUS OR CARELESS DAMAGE
  2188.     ----------------------------
  2189.     Someone may accidentally or deliberately delete or change a file on
  2190.     your PC when you're not around.  If your PC is not kept locked in
  2191.     a safe, this is a risk.  Who knows what was changed or deleted?
  2192.     Wouldn't it be nice to know if anything changed over the weekend?
  2193.  
  2194.  
  2195.     Integrity Master (tm)             -  47  -                 Version 1.02b
  2196.  
  2197.     SOFTWARE PROBLEMS
  2198.     -----------------
  2199.     This category accounts for more damage to programs and data than
  2200.     any other.  We're talking about non-malicious software problems
  2201.     here, not viruses.  Software conflicts by themselves are a more
  2202.     likely threat to your PC than virus attack.
  2203.  
  2204.     We run our PCs today in a complex environment.  There are many
  2205.     resident programs (TSRs such as sidekick) running at the same
  2206.     time along with various versions of DOS, BIOS and device drivers.
  2207.     All these programs execute simultaneously, share data and are
  2208.     vulnerable to unforeseen interactions between each other.   Natural-
  2209.     ly, this means that there may be some subtle bugs waiting to "byte"
  2210.     us.  Anytime a program goes haywire, there's the risk it may
  2211.     damage information on disk.
  2212.  
  2213.     There's the further problem that not all programs do what we hope
  2214.     they will.  If you have just undeleted a file, did you really get all
  2215.     the correct clusters back in the right order?   When CHKDSK
  2216.     "fixes" your disk for you, wouldn't it be nice to know exactly what
  2217.     it did?  This is one more reason why everyone must have the
  2218.     capability to verify data integrity.
  2219.  
  2220.     Software Attacks
  2221.     ----------------
  2222.     These are programs written deliberately to cause harm to some-
  2223.     one's computer or to use that computer in an unauthorized way.
  2224.     Even though some viruses do not intentionally damage your data,
  2225.     we consider all viruses to be malicious software since they modify
  2226.     your programs without your permission with occasional disastrous
  2227.     results.  There are many forms of malicious software; sometimes
  2228.     the media calls all malicious software viruses, but it's important to
  2229.     understand the distinction between the various types.  Let's exam-
  2230.     ine the different types of malicious software:
  2231.  
  2232.     Logic Bombs
  2233.     -----------
  2234.     Just like a real bomb, a logic bomb will lie dormant until triggered
  2235.     by some event.  The trigger can be a specific date, the number of
  2236.     times executed, a random number, or even a specific event such as
  2237.     deletion of an employee's payroll record.   When the logic bomb is
  2238.     triggered it will usually do something unpleasant. This can range
  2239.     from changing a random byte of data somewhere on your disk to
  2240.     making the entire disk unreadable.  The changing of random data
  2241.     on disk may be the most insidious attack since it would do a lot of
  2242.     damage before it would be detected.  It's vital to have some data
  2243.     integrity software in place so such changes can be detected early
  2244.     on.  Although you can detect it after the fact there is unfortunately
  2245.     no way to prevent a well written logic bomb from damaging your
  2246.     system.  On the other hand, a logic bomb which uses standard DOS
  2247.     or BIOS requests to do its dirty work can be caught by most inter-
  2248.     ceptor type programs (see Chapter two).
  2249.  
  2250.     Integrity Master (tm)             -  48  -                 Version 1.02b
  2251.  
  2252.     Trojans
  2253.     -------
  2254.     These are named after the Trojan horse which delivered soldiers
  2255.     into the city of Troy.   Likewise, a trojan program is a delivery
  2256.     vehicle for some destructive code (such as a logic bomb or a virus)
  2257.     onto a computer.  The trojan program appears to be a useful pro-
  2258.     gram of some type, but when a certain event occurs, it does some-
  2259.     thing nasty and often destructive to the system.
  2260.  
  2261.     Worms
  2262.     -----
  2263.     A worm is a self-reproducing program which does not infect other
  2264.     programs as a virus will, but instead creates copies of itself, which
  2265.     create even more copies.   These are usually seen on networks and
  2266.     on multi-processing operating systems, where the worm will create
  2267.     copies of itself which are also executed.  Each new copy will create
  2268.     more copies quickly clogging  the system.  The so called
  2269.     ARPANET/INTERNET "virus" was actually a worm. It created
  2270.     copies of itself through the ARPA network, eventually bringing the
  2271.     network to its knees.  It did not infect other programs as a virus
  2272.     would, but simply kept creating copies of itself which would then
  2273.     execute and try to spread to other machines.
  2274.  
  2275.     VIRUSES
  2276.     -------
  2277.     Viruses are a cause of much confusion and a target of considerable
  2278.     misinformation even from some so-called virus experts.  Let's
  2279.     define what we mean by virus:
  2280.  
  2281.     A virus is a program which reproduces its own code by attaching
  2282.     itself to other programs in such a way that the virus code is exe-
  2283.     cuted when the infected program is executed.
  2284.  
  2285.     You could probably also say that the virus must do this without the
  2286.     permission or knowledge of the user, but that's not a vital distinc-
  2287.     tion for purposes of our discussion here.
  2288.  
  2289.     Most viruses do their "job" by placing self-replicating code in other
  2290.     programs, so that when those other programs are executed, even
  2291.     more programs are "infected" with the self-replicating code.  This
  2292.     self-replicating code, when triggered by some event, may do a
  2293.     potentially harmful act to your computer.  Viruses are typically
  2294.     distributed in the form of a trojan.  In other words, the virus code
  2295.     has been planted in some useful program.  Since the virus infects
  2296.     other useful programs, absolutely any piece of executable code can
  2297.     suddenly become a trojan delivery vehicle for the virus.
  2298.  
  2299.     Integrity Master (tm)             -  49  -                 Version 1.02b
  2300.  
  2301.     General Virus Behavior
  2302.     ----------------------
  2303.     Viruses come in a great many different forms, but they all poten-
  2304.     tially have two phases to their execution, the infection phase and
  2305.     the attack phase:
  2306.  
  2307.     1) When the virus executes it will infect other programs.  What's
  2308.        often not clearly understood is precisely WHEN it will infect the
  2309.        other programs.  Some viruses infect other programs each time
  2310.        they are executed, other viruses infect only upon a certain trig-
  2311.        ger.  This trigger could by anything; it could be a day or time, an
  2312.        external event on your PC, a counter within the virus etc.
  2313.        Modern viruses have gotten very selective about when they infect
  2314.        programs; this is vital to the virus's survival, since if the virus
  2315.        infects too often, it is more likely to be discovered before it can
  2316.        spread far.  Virus writers want their programs to spread as far as
  2317.        possible before anyone detects them.  This brings up an impor-
  2318.        tant point which bears repeating:
  2319.  
  2320.        It is a serious mistake to execute a program a few times --
  2321.        find nothing infected and presume there are no viruses in the
  2322.        program.  You can never be sure that the virus simply hasn't
  2323.        triggered its infection phase!
  2324.  
  2325.        Many viruses go resident in the memory of your PC just as a
  2326.        terminate and stay resident (TSR) program such as Sidekick(R)
  2327.        does.  This means the virus can wait for some external event
  2328.        such as inserting a diskette, copying a file, or executing a pro-
  2329.        gram to actually infect another program.  This makes these
  2330.        viruses very dangerous since it's hard to guess what trigger
  2331.        condition they use for their infection.  Resident viruses frequent-
  2332.        ly corrupt the system software on the PC to hide their existence.
  2333.  
  2334.     2) The second phase is the attack phase.  Many viruses do unpleas-
  2335.        ant things such as deleting files or changing random data on your
  2336.        disk, simulating typos or merely slowing your PC down; some
  2337.        viruses do less harmful things such as playing music or creating
  2338.        messages or animation on your screen.  Just as the virus's infec-
  2339.        tion phase can be triggered by some event, the attack phase also
  2340.        has its own trigger.  Viruses usually delay revealing their
  2341.        presence by launching their attack only after they have had ample
  2342.        opportunity to spread.  This means that the attack may be delayed
  2343.        for years after the initial infection.  The attack phase is optional,
  2344.        many viruses simply reproduce and have no trigger for an attack
  2345.        phase.  Does this mean that these are "good" viruses?  No, unfor-
  2346.        tunately not!  Anything that writes itself to your disk without
  2347.  
  2348.     Integrity Master (tm)             -  50  -                 Version 1.02b
  2349.  
  2350.        your permission is stealing storage and CPU cycles.  This is
  2351.        made worse since viruses which "just infect", with no attack
  2352.        phase, damage the programs or disks they infect.  This is not
  2353.        intentional on the part of the virus, but simply a result of the fact
  2354.        that many viruses contain extremely poor quality code.  One of
  2355.        the most common viruses, the STONED virus is not intentionally
  2356.        harmful. Unfortunately the author did not anticipate other than
  2357.        360K floppy disks, with the result that the virus will try to hide
  2358.        its own code in an area on 1.2mb diskettes which causes corrup-
  2359.        tion of the entire diskette.
  2360.  
  2361.     Now that we've examined general virus behavior, let's take a
  2362.     closer look at the two major categories of viruses and how they
  2363.     operate.
  2364.  
  2365.     System Sector Viruses
  2366.     ---------------------
  2367.     These are viruses which plant themselves in your system sectors.
  2368.     System sectors are special areas on your disk containing programs
  2369.     that are executed when you boot your PC.  Sectors are not files but
  2370.     simply small areas on your disk that your hardware reads in single
  2371.     chunks.  Under DOS, sectors are most commonly 512 bytes in
  2372.     length.  These sectors are invisible to normal programs but are
  2373.     vital for correct operation of your PC.  They are a common target
  2374.     for viruses. There are two types of system sectors found on DOS
  2375.     PCs:
  2376.  
  2377.  
  2378.     DOS BOOT SECTORS
  2379.     ----------------
  2380.       The very first sector on disk or diskette that DOS is aware of is
  2381.       the boot  sector.  From a DOS perspective, this is the first sector
  2382.       on the disk.  This sector can contain an executable program
  2383.       whether the disk is bootable or not.  Since this program is exe-
  2384.       cuted every time you power on or boot your PC, it is very
  2385.       vulnerable to virus attack.  Damage to this sector can make your
  2386.       disk appear to be unreadable.  This sector is rewritten whenever
  2387.       you do a "SYS" or a "FORMAT /S" to a disk.
  2388.  
  2389.         Warning: EVEN A NON-BOOTABLE FLOPPY CAN CONTAIN A VIRUS IN
  2390.         THE BOOT SECTOR.  IF YOU LEAVE THE FLOPPY IN YOUR PC WHEN
  2391.         YOU POWER ON OR BOOT, YOU WILL BE INFECTED EVEN THOUGH THE
  2392.         PC WON'T SUCCESSFULLY BOOT FROM THAT FLOPPY.
  2393.  
  2394.     PARTITION SECTOR
  2395.     ----------------
  2396.       On hard (fixed) disk drives, the very first sector is the partition
  2397.       sector (also known as the master boot record or partition table).
  2398.       Each physical hard disk drive has one of these sectors.  A single
  2399.       physical disk can be partitioned into one or more logical disks.
  2400.       For example, you may have a physical drive partitioned into C:
  2401.       and D: logical disks so that your single physical disk appears (to
  2402.  
  2403.     Integrity Master (tm)             -  51  -                 Version 1.02b
  2404.  
  2405.       DOS) to be two logical disks.  The  single partition sector con-
  2406.       tains the information that describes both logical disks. If the
  2407.       partition sector is damaged, then DOS may not even recognize
  2408.       that your disk exists.
  2409.  
  2410.       The partition sector also contains a program which is executed
  2411.       every time you power up or boot your PC.  This program exe-
  2412.       cutes and reads the DOS boot sector which also contains a
  2413.       program.  Numerous viruses plant their code in the partition
  2414.       sector.
  2415.  
  2416.     System sector viruses modify the program in either the DOS boot
  2417.     sector or the partition sector.  Since there isn't much room in the
  2418.     system sector (only 512 bytes), these viruses usually have to hide
  2419.     their code somewhere else on the disk.  These viruses sometimes
  2420.     cause problems when this spot already contains data which is then
  2421.     overwritten.  Some viruses, such as the Pakistani BRAIN virus
  2422.     mark the spot where they hide their code as bad sectors.  This is
  2423.     one reason to be alarmed if CHKDSK suddenly reports additional
  2424.     bad sectors on your disk.  These viruses usually go resident in
  2425.     memory on your PC, and infect any floppy disk which you access.
  2426.     Simply doing a DIR on a floppy disk may cause it to be infected.
  2427.     Some viruses will infect your diskette as soon as you close the
  2428.     drive door.  Since they are active in memory (resident), they can
  2429.     hide their presence.  If BRAIN is active on your PC, and you use a
  2430.     sector editor such as Norton's NU to look at the boot sector of an
  2431.     infected diskette, the virus will intercept the attempt to read the
  2432.     infected boot sector and return instead a saved image of the origi-
  2433.     nal boot sector.  You will see the normal boot sector instead of the
  2434.     infected version.  Viruses which do this are known as stealth vi-
  2435.     ruses.  In addition to infecting diskettes some system sector viruses
  2436.     spread by also infecting files.
  2437.  
  2438.     File Viruses
  2439.     ------------
  2440.     In terms of sheer number of viruses, these are the most common
  2441.     kind.  The simplest file viruses work by locating a type of file that
  2442.     they know how to infect (usually a file name ending in ".COM" or
  2443.     ".EXE") and overwriting part of the program they are infecting.
  2444.     When this program is executed, the virus code executes and infects
  2445.     more files.  These overwriting viruses do not tend to be very
  2446.     successful since the overwritten program rarely continues to func-
  2447.     tion correctly and the virus is almost immediately discovered.  The
  2448.     more sophisticated file viruses modify the program so that the
  2449.     original instructions are saved and executed after the virus finishes.
  2450.     Just as system sector viruses can remain resident in memory and
  2451.     use "stealth" techniques to hide their presence, file viruses can hide
  2452.     this way also.  If you do a directory listing, you will not see any
  2453.  
  2454.     Integrity Master (tm)             -  52  -                 Version 1.02b
  2455.  
  2456.     increase in the length of the file and if you attempt to read the file,
  2457.     the virus will intercept the request and return your original unin-
  2458.     fected program to you.  This can sometimes be used to your advan-
  2459.     tage.  If you have a "stealth" virus (such as 4096 or Dir-2), you
  2460.     can copy your program files (*.EXE and *.COM files) to files with
  2461.     other extensions and allow the virus to automatically disinfect your
  2462.     files!  If you "COPY *.COM  *.CON", and then cold boot your
  2463.     PC from a known good copy of DOS and "REN *.CON  *.COM",
  2464.     this will disinfect the renamed files.
  2465.  
  2466.     Be aware that some file viruses (such as 4096) also infect overlay
  2467.     files as well as the more usual *.COM and *.EXE files. Overlay
  2468.     files have various extensions, but ".OVR" and ".OVL" are
  2469.     common examples.
  2470.  
  2471.  
  2472.     Miracle Infections
  2473.     ------------------
  2474.     Would you believe that viruses can infect your files without chang-
  2475.     ing a single byte in the file?  Well, it's true!  There are two types
  2476.     of viruses that can do this.  The more common kind is what is
  2477.     called the companion or spawning type virus.  This virus infects
  2478.     your files by locating a file name ending in ".EXE".  The virus
  2479.     then creates a matching file name ending in ".COM" which con-
  2480.     tains the viral code.  Here's what happens.  Let's say a companion
  2481.     virus is executing (resident) on your PC and decides it's time to
  2482.     infect a file.  It looks around and happens to find a file called
  2483.     "WP.EXE".  It now creates a file called "WP.COM" containing
  2484.     the virus.  If you type "WP" and hit enter, DOS will execute
  2485.     "WP.COM" instead of "WP.EXE".  The virus executes, possibly
  2486.     infecting more files and then loads and executes "WP.EXE".  The
  2487.     user probably doesn't notice anything wrong.  This type of virus is
  2488.     fortunately easy to detect by the presence of the extra ".COM"
  2489.     files.  There are some instances where it is normal to have both
  2490.     ".COM" and ".EXE" files of the same name (such as DOS 5's
  2491.     DOSSHELL) but this is relatively rare.
  2492.  
  2493.     There is a new type of virus known as a "cluster" virus which
  2494.     infects your files not by changing the file or planting extra files but
  2495.     by changing the DOS directory information so that directory entries
  2496.     point to the virus code instead of the actual program.  When you
  2497.     type the name of the program, DOS loads and executes the virus
  2498.     code, the virus then locates the actual program and executes it.
  2499.     Dir-2 is an example of this type of virus and is now spreading
  2500.     rapidly around the world.  We are deliberately keeping our descrip-
  2501.     tion of this type of virus rather vague to avoid making it easier to
  2502.     write this type of virus.
  2503.  
  2504.     Integrity Master (tm)             -  53  -                 Version 1.02b
  2505.  
  2506.     How many PC viruses are there?
  2507.     ------------------------------
  2508.     There are more PC viruses than all other viruses combined, by a
  2509.     large margin.  Estimates of exactly how many there are vary
  2510.     widely and are constantly growing.  About a year ago, estimates
  2511.     ranged from 200 to 500.  Now estimates range from 600 to 1300
  2512.     different viruses.  This confusion is partly due to the fact that it's
  2513.     difficult to agree on how to count viruses.  New viruses frequently
  2514.     arise from some idiot taking an existing virus that does something
  2515.     like put a message out on your screen saying: "YOUR PC IS
  2516.     STONED" and changing it to say something like "Donald Duck is
  2517.     a lie".  Is this a new virus?  Most "experts" say "yes."  This is a
  2518.     trivial change that probably took all of about two minutes to make
  2519.     and we have another virus?  Another problem comes from viruses
  2520.     that try to conceal themselves by mutating.  In other words, each
  2521.     copy of the virus may be different than its parent.  One example,
  2522.     the WHALE (a huge clumsy 10,000 byte virus) creates 33 different
  2523.     versions of itself when it infects files.  At least one  researcher
  2524.     counts this as 33 different viruses on their list.  Many of the large
  2525.     number of viruses known to exist have not been detected in the
  2526.     wild but exist (hopefully) only in someone's virus collection.
  2527.     Several authors of anti-virus products, including Mark Washburn
  2528.     and Ralph Burger, have written sophisticated viruses which are
  2529.     now on the loose, but other viruses that they created apparently
  2530.     exist only in virus collections.
  2531.  
  2532.     David M. Chess of IBM's High Integrity Computing Laboratory
  2533.     reports in the November Virus Bulletin that "about 30 different
  2534.     viruses and variants account for nearly all of the actual infections
  2535.     that we see in day-to-day operation."  How can there be only 30
  2536.     viruses active when some "experts" report such high numbers?
  2537.     This is probably because most viruses are poorly written and can
  2538.     not spread at all or spread without betraying their presence.
  2539.     Although the actual number of viruses will probably continue to be
  2540.     hotly debated, what is clear is that the overall number of viruses is
  2541.     increasing rapidly although perhaps not quite as rapidly as the
  2542.     numbers might indicate.
  2543.  
  2544.     How serious are viruses?
  2545.     ------------------------
  2546.     It's important to keep viruses in perspective.  There are many other
  2547.     threats to your programs and data that are MUCH more likely to
  2548.     harm you than viruses.  A well known anti-virus researcher once
  2549.     said that you have more to fear from a cup of coffee than from
  2550.     viruses.  While the growth in number of viruses now puts this
  2551.     statement into question, it's still clear that there are many more
  2552.     occurrences of data corruption from other causes than from vi-
  2553.     ruses.  So, does this mean that viruses are nothing to worry about?
  2554.     Emphatically, no!  It just means that it's foolish to spend a lot of
  2555.  
  2556.     Integrity Master (tm)             -  54  -                 Version 1.02b
  2557.     money and time on addressing the threat of viruses if you've done
  2558.     nothing about the other more likely threats to your files.  Because
  2559.     viruses have been deliberately written to invade and possibly
  2560.     damage your PC, they are the most difficult threat to guard against.
  2561.     It's pretty easy to understand the threat that disk failure represents
  2562.     and what to do about it (although surprisingly few people even
  2563.     address this threat).  The threat of viruses is much more difficult to
  2564.     deal with.  There are no "cures" for the virus problem.  Why is
  2565.     this so?  We'll explore this in the next chapter on "Protecting Your
  2566.     PC."
  2567.  
  2568.     Integrity Master (tm)             -  55  -                 Version 1.02b
  2569.     __________________________________________
  2570.     CHAPTER TWO  -  P r o t e c t i n g   Y o u r   P C
  2571.  
  2572.     Hardware Protection
  2573.     -------------------
  2574.     Hardware is the foundation upon which your whole system is built.
  2575.     If you have more than one or two PC's, you probably owe it to
  2576.     yourself to buy some diagnostic programs.  If your PC is perform-
  2577.     ing strangely or if a file is damaged, it's vital to be able to deter-
  2578.     mine whether hardware is the cause.  You probably don't want to
  2579.     call in a repair person each time something strange happens.  Even
  2580.     if you have just one or two PCs, there are some fairly low cost
  2581.     diagnostic programs which are worth having.  One problem with
  2582.     diagnostic software (and hardware too, for that matter) is that when
  2583.     you run the diagnostics, everything may work perfectly, yet some
  2584.     time earlier there definitely was a problem. Intermittent problems
  2585.     like this are all too common.  Disk problems can be the most insid-
  2586.     ious in this respect.  When you run the diagnostics everything
  2587.     works fine.  How can you find out what's happening?  Run a
  2588.     comprehensive data integrity product (surprise)!  This way you can
  2589.     determine if some data was damaged, but you don't have to spend
  2590.     days running diagnostics.  This also lets you know as soon as your
  2591.     disk is starting to have problems rather than waiting for things to
  2592.     get so bad that you notice it.
  2593.  
  2594.     This almost goes without saying, but buy whatever you can to
  2595.     protect your hardware from failing in the first place.  Buy surge
  2596.     protectors, keep your PC clean, and regularly clean the heads on
  2597.     your tape and diskette drives.  Be sure to protect your PC and
  2598.     keyboard from spilled coffee and similar threats.
  2599.  
  2600.     Your hard disk is going to fail!  It's not "if" but "when"!  It's
  2601.     absolutely vital to be able to deal with this threat.  Basic to dealing
  2602.     with this threat and most of the others is having backups.  Please
  2603.     read the section in Chapter five on Backup Policy.  Since your hard
  2604.     disk is very likely going to start performing erratically before it
  2605.     totally fails, it's vital to detect this as it's happening and to be able
  2606.     to determine what is causing the problems.  It will very likely NOT
  2607.     be obvious to you whether a hardware problem, software problem
  2608.     or a virus is damaging your files.  More on making this determina-
  2609.     tion in the section in Chapter Five  titled Determining Causes of
  2610.     Corruption.
  2611.  
  2612.     "Fixing" Your Disk
  2613.     ------------------
  2614.     Sometimes you will find you have damaged files, which could be
  2615.     caused by hardware, software or who knows what.  When you are
  2616.     having the problem, your main concern is often not what caused it,
  2617.     but how to fix the damage.  This is where the disk utility programs
  2618.  
  2619.     Integrity Master (tm)             -  56  -                 Version 1.02b
  2620.  
  2621.     offered by Gibson, Norton, Mace and Central Point are often very
  2622.     handy.  They can sometimes take unreadable data and extract some
  2623.     of it, or if you have logical damage to your disk such as cross
  2624.     linked clusters, these programs (and DOS CHKDSK) may be able
  2625.     to fix things for you.  Unfortunately, things are not always fixed
  2626.     perfectly when these programs say they are.  Using a data integrity
  2627.     product (such as Integrity Master) will allow you to determine if
  2628.     everything really was put back together again.  More importantly
  2629.     than that, a data integrity product can be used to more accurately
  2630.     diagnose what is wrong to begin with, so you don't attempt a repair
  2631.     which actually makes things worse.
  2632.  
  2633.     Goof Protection
  2634.     ---------------
  2635.     Who hasn't accidentally deleted or copied onto the wrong files at
  2636.     some time?  Very few of us!  If you have a data integrity product
  2637.     (such as Integrity Master), a  utility package (Norton, Mace,
  2638.     PCtools etc) and current backups, you're all set.  You could proba-
  2639.     bly do without the utilities, but it's rather convenient to be able to
  2640.     unerase files after you inadvertently delete the wrong ones (this is
  2641.     built into DOS 5).  Of course, a backup program or an undelete
  2642.     utility won't help you if you didn't notice the incorrect delete when
  2643.     it happened and you now don't know what to restore or undelete.
  2644.     That's why data integrity software is a vital component to handling
  2645.     this threat.
  2646.  
  2647.     Intrusion Protection
  2648.     --------------------
  2649.     This may not be an issue if your PC is kept locked in a vault when
  2650.     you're not using it, but otherwise you can never be sure that an
  2651.     intruder hasn't changed something on your PC.  Do you think
  2652.     we're exaggerating?  We're not!  The intruder may be your spouse
  2653.     or kids.  They probably have no intention of changing anything but
  2654.     may be confused on how to use one of the programs on your PC,
  2655.     with the result that they inadvertently change the wrong file.  On
  2656.     the other hand, you may work in an environment where someone
  2657.     may want to deliberately do you harm or perhaps just "play a little
  2658.     joke" on you.
  2659.  
  2660.     There are programs available which modify the partition sector on
  2661.     your PC so that the hard disk is unavailable unless someone pro-
  2662.     vides a password.  There are add-in boards that provide the same
  2663.     function.  Some PCs (eg. PS/2 PCs) come with a power-up pass-
  2664.     word.  You can lock the case to your PC to make it more difficult
  2665.     to open.  You may wish to consider any of these options depending
  2666.     upon how much risk you face, but please realize that they can all
  2667.     be bypassed in less than ten minutes by a knowledgeable user.
  2668.     Surveillance cameras are regarded as a fairly good deterrent to PC
  2669.     tampering.
  2670.  
  2671.     Integrity Master (tm)             -  57  -                 Version 1.02b
  2672.  
  2673.     While you can't totally stop someone from breaking into your PC,
  2674.     you can detect and correct the damage.  By using an integrity
  2675.     program which allows you to encrypt the integrity data or store the
  2676.     data off-line (on floppies), you can detect any illegal tampering,
  2677.     even from a technically advanced adversary.
  2678.  
  2679.  
  2680.     V I R U S   D E F E N S E S
  2681.     ---------------------------
  2682.  
  2683.     There are numerous methods in use to protect against viruses.
  2684.     What follows is a quick review of the viral defense mechanisms
  2685.     which are widely used today.
  2686.  
  2687.     Scanners
  2688.     --------
  2689.     Once a virus has been detected, it is possible to write programs
  2690.     which look for telltale code (signature strings) characteristic of the
  2691.     virus code.  The writers of the scanner have extracted identifying
  2692.     strings from each virus of which they are aware.  The scanner then
  2693.     searches memory, your files and system sectors for these signature
  2694.     strings.  This obviously detects only known, preexisting, viruses.
  2695.     If a virus "mutates", in other words, changes each copy of itself
  2696.     somewhat, then this technique may not work. The virus V2P7
  2697.     reportedly has billions of possible mutations and apparently can not
  2698.     be detected with assurance by normal scanning.   Another, simpler,
  2699.     way for a virus to effectively mutate, is for a programmer to
  2700.     modify it after its initial release to change its behavior.  It happens
  2701.     not too infrequently that a virus is changed just to avoid the scan-
  2702.     ners.
  2703.  
  2704.     A major drawback to scanners is that it's dangerous to depend
  2705.     upon an old scanner.  With the dramatic increase in the number of
  2706.     viruses appearing, it's dangerous to depend upon anything other
  2707.     than the most current scanner.  Even that scanner is necessarily a
  2708.     step behind the latest crop of viruses since it takes quite a bit of
  2709.     time before a new virus is distributed to most virus researchers,
  2710.     analyzed and the changes incorporated into the new program and
  2711.     the new program released.  Commercial retail software takes so
  2712.     long to get to the shelves, that it is almost certainly out of date.
  2713.     Yet many retail products depend upon their scanner for most of
  2714.     their effectiveness.
  2715.  
  2716.        IF YOU DEPEND UPON A SCANNER, BE SURE TO GET THE LATEST
  2717.        VERSION DIRECTLY FROM THE AUTHOR.  ALSO, BE SURE YOU BOOT
  2718.        FROM A CLEAN WRITE PROTECTED COPY OF DOS BEFORE RUNNING THE
  2719.        SCANNER; THERE'S A GOOD CHANCE THAT THE SCANNER CAN DETECT A
  2720.        RESIDENT VIRUS IN MEMORY, BUT IF IT MISSES THE VIRUS IN
  2721.        MEMORY, THE SCANNER WILL WIND UP SPREADING THE VIRUS RATHER
  2722.        THAN DETECTING IT.  EACH AND EVERY SUSCEPTIBLE PROGRAM ON
  2723.        YOUR DISK COULD BE INFECTED IN A MATTER OF MINUTES THIS WAY!
  2724.  
  2725.     Integrity Master (tm)             -  58  -                 Version 1.02b
  2726.  
  2727.     Disinfectors
  2728.     ------------
  2729.     Most vendors that sell scanners also sell a disinfector (sometimes
  2730.     it's the same program).  A disinfector has the same limitations that
  2731.     a scanner has, in that it must be current to be safe to use and it's
  2732.     always one step behind the latest crop of viruses.  The disinfector,
  2733.     however, has an even bigger disadvantage:  Many viruses simply
  2734.     can not be removed without damaging the infected file.  There have
  2735.     also been numerous reports that files are still damaged even when
  2736.     the program claims to have disinfected the file.  A disinfector like a
  2737.     scanner can be a very handy tool in your anti-virus arsenal, but it
  2738.     must be used with care.  If you use a disinfector, be sure you have
  2739.     the latest version direct from the author and use an integrity check
  2740.     to verify that all files and system sectors are correctly restored.
  2741.  
  2742.     Currently, one of the oldest and most common infector of files is
  2743.     the Jerusalem (1813) virus.  All disinfectors naturally claim to be
  2744.     able to remove this virus.  Yet the Jerusalem virus frequently
  2745.     overwrites part of the original file (due mostly to its many bugs)
  2746.     making it impossible to restore the infected program.  In spite of
  2747.     this, most (if not all) disinfectors claim to disinfect Jerusalem in-
  2748.     fected files.  A very dangerous situation!  It must be stressed that:
  2749.  
  2750.       IT IS TOTALLY UNSAFE AND IRRESPONSIBLE TO DEPEND UPON
  2751.       DISINFECTORS AS A WAY TO RECOVER FROM VIRUS INFECTIONS.
  2752.  
  2753.     Interceptors
  2754.     ------------
  2755.     This technique is particularly useful for defusing logic bombs and
  2756.     trojans.  With this method, the anti-viral code monitors operating
  2757.     system calls which write to disk or do other things that the program
  2758.     considers threatening (such as installing itself as a resident pro-
  2759.     gram).  There is, however, no reliable way to intercept direct
  2760.     branches into low level code or to intercept direct input and output
  2761.     instructions done by the virus itself.  Some viruses attempt to
  2762.     modify the interrupt 13H and 26H vectors to disable any monitor-
  2763.     ing code.  It is important to realize that monitoring is a risky tech-
  2764.     nique.  Some products which use this technique are so annoying to
  2765.     use (due  to their numerous  messages) that some users consider
  2766.     the cure worse than the disease!  An interception (monitoring)
  2767.     product would be a useful adjunct to a data integrity program, as
  2768.     protection against some the more simple minded logic bombs.
  2769.  
  2770.  
  2771.     Integrity Master (tm)             -  59  -                 Version 1.02b
  2772.  
  2773.     Inoculators
  2774.     -----------
  2775.     There are two types of inoculators or so-called immunizers.
  2776.     One modifies your files and system sectors in an attempt to fool
  2777.     viruses into thinking that you are already infected so they won't
  2778.     infect you again.  This is done by making the same changes that the
  2779.     viruses use to identify the file or sector as infected.  This works only
  2780.     for a small number of viruses and in our opinion is of questionable
  2781.     value.
  2782.  
  2783.     The second is actually a type of integrity check technique where
  2784.     the check data and the checking code are planted in the program
  2785.     itself.  When the program is executed, the check code first com-
  2786.     putes the check data and compares it with the stored data.  This
  2787.     technique can be circumvented by a virus which would modify the
  2788.     self-checking code or the check data.  Again a very questionable
  2789.     technique.  This is the way some products claim to detect unknown
  2790.     viruses.
  2791.  
  2792.     ROM and Encryption
  2793.     ------------------
  2794.     Placing executable code on a hardware write protected device, will
  2795.     protect all those programs on that device.  DOS in ROM (Read
  2796.     Only Memory) is found on some PCs.  This provides some degree
  2797.     of protection, but all the other programs are still vulnerable to
  2798.     infection.  The more programs you can isolate on a write protected
  2799.     devices the more effective this technology is.
  2800.  
  2801.     Encryption is a promising technique which so far has not been
  2802.     successfully used to protect a system.  Encrypting as many of your
  2803.     files as possible makes life harder for viruses, but does not stop
  2804.     them since there is always some unencrypted code around (boot
  2805.     sector, BIOS, DOS, device drivers etc).
  2806.  
  2807.     Integrity Checkers
  2808.     ------------------
  2809.     Integrity checkers work by reading all your files and recording
  2810.     integrity data which acts as a signature for the file.  An integrity
  2811.     check program is the only solution which can handle all the threats
  2812.     to data integrity that we've mentioned here.  In theory a well writ-
  2813.     ten integrity checker should be able to detect any virus.
  2814.  
  2815.     So, why isn't everyone using an integrity checker?  Well, until
  2816.     recently there hasn't been an integrity checker available without
  2817.     some significant drawbacks.  As a matter of fact many anti-virus
  2818.     products now incorporate integrity checking techniques.  The
  2819.     problem with them is that they don't use these techniques in a
  2820.     comprehensive way.  There are still too many things not being
  2821.     checked.
  2822.  
  2823.     Integrity Master (tm)             -  60  -                 Version 1.02b
  2824.  
  2825.     If you choose an integrity checker, be sure it has all these features:
  2826.  
  2827.     o It's easy to use with clear unambiguous reports and built-in help.
  2828.  
  2829.     o It hides complexity, so that complicated details of system file or
  2830.       system sector changes are only presented if they present informa-
  2831.       tion the user must act upon.
  2832.  
  2833.     o The product recognizes the various files on the PC so it can alert
  2834.       the user with special warnings if dangerous files have changed.
  2835.  
  2836.     o It's fast.  An integrity checker is of no use if it's too slow to run.
  2837.  
  2838.     o It recognizes known viruses, so the user doesn't have to do all
  2839.       the work to determine if a change is due to a software conflict, or
  2840.       if it's due to a virus.
  2841.  
  2842.     o It's important that the integrity computation be more sophisticat-
  2843.       ed than a mere checksum.  Two sectors may get reversed in a file
  2844.       or other damage may occur which otherwise rearranges data in a
  2845.       file.  A checksum will not detect these changes.
  2846.  
  2847.     o It's comprehensive.  Some integrity checkers, in order to im-
  2848.       prove their speed, don't read each file in its entirety.  They read
  2849.       only portions of larger files.  They just spot check.  This is
  2850.       unacceptable - it's important to know the file hasn't changed, not
  2851.       just that some of the file hasn't changed.
  2852.  
  2853.     o It checks and restores both boot and partition sectors.  Some
  2854.       programs check only files.
  2855.  
  2856.     (Naturally Integrity Master does all these things.)
  2857.  
  2858.     Gadgets
  2859.     -------
  2860.     There are currently some gadgets (hardware devices) which are
  2861.     sold as virus protection.   So far, we haven't seen anything which
  2862.     provides protection beyond what is offered by software only
  2863.     products.  Beyond putting some of the anti-virus code in read only
  2864.     memory (ROM), we've seen little that can be accomplished by
  2865.     existing hardware.  In one case, the hardware was used to store
  2866.     some integrity data; a floppy disk can do the same thing and it's
  2867.     actually more secure.
  2868.  
  2869.     Integrity Master (tm)             -  61  -                 Version 1.02b
  2870.  
  2871.     Prevention:
  2872.     -----------
  2873.     Hardware techniques, such as placing all your programs in read
  2874.     only memory (ROM), can, in theory, provide virus prevention, but
  2875.     nothing even comes close to doing this yet.  Pure software tech-
  2876.     niques can probably not prevent all viruses.  There are all  sorts of
  2877.     schemes which make it more difficult for a virus to penetrate your
  2878.     system, but none totally eliminate the threat of a virus.  For each
  2879.     software based technique, there is a way a virus could circumvent
  2880.     it.  Software helps a lot but isn't absolute protection.  While pre-
  2881.     vention of viruses may not be possible, detection is.  Detection, if
  2882.     applied carefully, can detect all viruses, no matter how tricky.  If
  2883.     viruses are detected before they spread, the most serious aspect of
  2884.     the virus threat is eliminated.  If integrity checking (detection) is
  2885.     practiced widely, the threat of a virus spreading to millions of PCs
  2886.     and then years later doing a destructive act can be eliminated.
  2887.  
  2888.  
  2889.     Integrity Master (tm)             -  62  -                 Version 1.02b
  2890.     _______________________________________________________________________
  2891.     CHAPTER THREE  -   V i r u s   M y t h s
  2892.  
  2893.     M y t h i c a l   S o u r c e s
  2894.     -------------------------------
  2895.  
  2896.     ATTACHMENT TO A NETWORK OR BBS
  2897.     ------------------------------
  2898.       Simply being attached to a network (such as CompuServe, or
  2899.       Internet), a bulletin board system (BBS), or even a local area
  2900.       network will not make you susceptible to viruses.  The only way
  2901.       you can get a virus is to execute a program on your PC which
  2902.       you obtained over the network.  The mere act of downloading
  2903.       the program is harmless; it's only by downloading and then
  2904.       executing an infected program, that your PC can become infect-
  2905.       ed.  Also, reading electronic mail can not infect you.  There is
  2906.       one thing that can happen though.  If you have the device driver
  2907.       ANSI.SYS (or an equivalent) loaded (in your CONFIG.SYS
  2908.       file), someone could send you an ANSI sequence which assigns
  2909.       a set of DOS commands to a key on your keyboard.  This "prac-
  2910.       tical joke" could potentially cause some trouble, but it certainly
  2911.       can't reproduce and isn't a virus.
  2912.  
  2913.     FROM DATA
  2914.     ---------
  2915.       Since data is not executed, you can not become infected from
  2916.       data.  If someone sent you a data file which contained a virus,
  2917.       you would have to rename the file and then execute it in order to
  2918.       become infected!  You can, however, become infected from a
  2919.       diskette that is not bootable and contains no (apparent) programs.
  2920.       The explanation for this is that all diskettes have a boot sector
  2921.       which contains a program that can become infected by a boot
  2922.       sector virus.  If leave such an infected diskette in your drive
  2923.       when you power up or boot, your PC will be infected!
  2924.  
  2925.     FROM CMOS MEMORY
  2926.     ----------------
  2927.       PC AT (80286 and 80386 based) type computers and later
  2928.       models contain a small amount of battery backed CMOS
  2929.       memory to store the configuration and to maintain the time and
  2930.       date.  This memory is never executed, so although it could be
  2931.       damaged by virus, you can never become infected from CMOS
  2932.       memory.
  2933.  
  2934.     Q u i c k   a n d   E a s y   C u r e s
  2935.     ---------------------------------------
  2936.     We've discussed the various approaches to the virus problem, and
  2937.     you've no doubt seen that there are no instant cures for viruses, yet
  2938.     many products make claims which they can't live up to.  Everyone
  2939.     would like to just buy product X, run it, and be rid of viruses
  2940.     forever.  Unfortunately there is no such easy cure.
  2941.  
  2942.  
  2943.     Integrity Master (tm)             -  63  -                 Version 1.02b
  2944.  
  2945.     S i l l y   T r i c k s
  2946.     -----------------------
  2947.     There have been many articles and books written by various virus
  2948.     "experts" which propose doing all kinds of things to virus proof
  2949.     your PC.  Here are some of these suggestions which are so ineffec-
  2950.     tive that they are not worth the trouble it takes to do them:
  2951.  
  2952.     WRITE PROTECTING YOUR FILES
  2953.     ---------------------------
  2954.       You can use the DOS ATTRIB command to set the read only bit
  2955.       on files.  This is so easy for a virus (or any program) to bypass,
  2956.       it's just not worth the trouble it causes.
  2957.  
  2958.     HIDING OR RENAMING COMMAND.COM
  2959.     ------------------------------
  2960.       COMMAND.COM is one of the programs which executes each
  2961.       time you boot your PC.  There was an early virus which only
  2962.       infected COMMAND.COM so this idea of hiding or renaming
  2963.       this file began.  Today many viruses actually go out of their way
  2964.       to avoid infecting this file, since some anti-virus products single
  2965.       out this file and a few others for special scrutiny.
  2966.  
  2967.     CHECKING TIME AND DATE STAMPS
  2968.     -----------------------------
  2969.       It's certainly OK, to check the time and date stamps of your
  2970.       executable files, but this not a reliable way to catch viruses.
  2971.       Many viruses are smart enough not to change the time and date
  2972.       stamps when they infect a file.  Some viruses even hide the
  2973.       change to file's size when they infect a file.
  2974.  
  2975.     C e r t i f i e d   S o f t w a r e ?
  2976.     -------------------------------------
  2977.     It's the policy in many companies to have a certification desk
  2978.     where all software executed on PCs must be checked out.  The
  2979.     person at the certification desk usually runs the software through an
  2980.     anti-virus product to check for known viruses and then sets the date
  2981.     ahead on the PC and checks for anything strange.  If all looks OK,
  2982.     the software is certified clean.  This is actually a reasonable idea.
  2983.     The myth comes from the "certified clean" label.  As we've seen in
  2984.     our discussion of virus triggers, simply setting the date ahead is not
  2985.     good enough to set off most virus triggers.  The danger comes
  2986.     from people taking the "Certified clean" label too seriously.  It's
  2987.     just not possible to know for sure that any piece of software doesn't
  2988.     contain a virus.  An unknown virus could be lurking which simply
  2989.     hasn't triggered yet.  If the virus screening desk should get such a
  2990.     virus and the only software they used was a scanner, they could
  2991.     easily spread the virus to all other disks that they are certifying
  2992.     clean!
  2993.  
  2994.  
  2995.     Integrity Master (tm)             -  64  -                 Version 1.02b
  2996.  
  2997.     R e t a i l   S o f t w a r e   O n l y ?
  2998.     -----------------------------------------
  2999.     Several "virus experts" have suggested that users avoid download-
  3000.     ing software and avoid shareware.  There are no facts to back this
  3001.     up.  It is, of course, wise to make sure that you download your
  3002.     software from a source that screens each program for known vi-
  3003.     ruses.  You are actually much more likely to be infected from
  3004.     software purchased at a retail outlet than from shareware.  Quite a
  3005.     few viruses have been shipped directly from the software manufac-
  3006.     turer in the shrink wrapped packages.  One major software compa-
  3007.     ny has on at least two separate occasions shipped a virus with their
  3008.     product.  Buying shrink wrapped retail software is much more
  3009.     dangerous than many people think it is, since many retailers accept
  3010.     returned software and then simply rewrap the software and sell it
  3011.     again.  This software could have easily been infected by the first
  3012.     user who tried it and then returned it.
  3013.  
  3014.     W r i t e   P r o t e c t i n g   Y o u r   H a r d   D i s k
  3015.     -------------------------------------------------------------
  3016.     There are several programs that claim to write protect your hard
  3017.     disk.  Since this is done in software, it can be bypassed by a virus.
  3018.     This technique however will stop some viruses and will protect
  3019.     your disk from someone inadvertently writing to it who shouldn't.
  3020.     These programs are generally less effective than the virus intercep-
  3021.     tion products.
  3022.  
  3023.     It IS possible to write protect a disk using hardware, but this does
  3024.     not seem to be readily available.
  3025.  
  3026.     V i r u s e s   a r e   t h e   B i g   T h r e a t ?
  3027.     -----------------------------------------------------
  3028.     As we've seen in examining the other threats to the integrity of
  3029.     your data, viruses are among the less likely threats that you face.
  3030.     Don't protect yourself against viruses and ignore the other threats!
  3031.  
  3032.     Integrity Master (tm)             -  65  -                 Version 1.02b
  3033.  
  3034.     S a f e   C o m p u t i n g   ( S a f e   H e x ? )
  3035.     ---------------------------------------------------
  3036.     You may have heard this rumor: "You don't need an anti-virus
  3037.     product, just backup your disk regularly and keep an eye on your
  3038.     programs."   Yes, indeed it is vital to have good backups, but that
  3039.     is no longer enough.  You may also have heard as long as you
  3040.     don't share programs or download (practice safe hex) you have
  3041.     nothing to worry about.  Nothing could be further from the truth;
  3042.     each time you buy a software package you are exposing yourself to
  3043.     potential virus infection.  It is not possible to be safe from viruses
  3044.     by secluding your PC!
  3045.  
  3046.     There are now some very sophisticated viruses that can do a lot of
  3047.     damage.  Although they may not be very likely to attack your
  3048.     system when compared to other threats, they do represent a very
  3049.     real and very dangerous threat.  A threat you can not ignore or
  3050.     combat merely with good backups, seclusion or common sense.
  3051.  
  3052.  
  3053.     S o f t w a r e   i s   u s e l e s s   a g a i n s t   v i r u s e s
  3054.     ---------------------------------------------------------------------
  3055.     Maybe we should just surrender to viruses and wait for a fool-
  3056.     proof hardware solution?   Software can't defeat software -- right?
  3057.     Wrong!  The viruses are playing on your turf, so you have an
  3058.     advantage.  By cold booting from a good copy of DOS on diskette,
  3059.     you can bring up a clean operating system (DOS) and then use an
  3060.     integrity checker to look for any unexpected changes.  A virus will
  3061.     betray itself in the system sectors or executable files.
  3062.  
  3063.  
  3064.  
  3065.     Integrity Master (tm)             -  66  -                 Version 1.02b
  3066.     _____________________________________________________________________
  3067.     CHAPTER FOUR - Virus Realities
  3068.  
  3069.     T h e   O N L Y   R e a l   S o u r c e   o f   V i r u s e s
  3070.     -------------------------------------------------------------
  3071.     You can't get a virus merely by being connected to a network or
  3072.     bulletin board system (BBS).
  3073.  
  3074.     There is only one way you can get a virus and that's to execute a
  3075.     program containing a virus.  Period.  End of story.  Well, almost
  3076.     the end of the story.  What some people don't know is that every
  3077.     disk and diskette has a program on it, even if it appears empty.
  3078.     This program is in the boot sector.  Most people don't think of
  3079.     boot sectors as programs or perhaps even know that boot sectors
  3080.     exist.  If you leave a data diskette in your A drive and boot your
  3081.     PC, you could be executing an infected program in the boot sector,
  3082.     thereby infecting your PC with a virus.  Make sure you NEVER
  3083.     boot from a diskette unless it's a known good copy of DOS.
  3084.  
  3085.     S h a r e w a r e   i s   a s   S a f e   o r   S a f e r
  3086.     ---------------------------------------------------------
  3087.     There is no reason to avoid shareware.  As a matter of fact, if you
  3088.     want to get the very latest anti-virus software, it's easiest to get it
  3089.     as shareware, since you are buying directly from the author, rather
  3090.     than buying something that has had to go from the author to the
  3091.     publisher, then through the distribution chain before it even gets to
  3092.     sit on the shelf.  Who knows how long it's been on that shelf?
  3093.  
  3094.     F e w   V i r u s   F r e e   P r o g r a m s
  3095.     ---------------------------------------------
  3096.     Unfortunately, there is no way to look at a program (unless you
  3097.     wrote the program yourself in assembly language) and positively
  3098.     declare there's no virus in it.  All you can say is that the program
  3099.     contains no known virus.  You never know what may be lurking
  3100.     inside of a program waiting for just the right trigger to begin infec-
  3101.     tion or perhaps an attack.
  3102.  
  3103.     As we've explained, while you can't be sure of detecting a virus
  3104.     while it's inert inside of a program, you certainly CAN detect it as
  3105.     it infects or attacks your files.
  3106.  
  3107.     O t h e r   C a u s e s   m o r e   l i k e l y
  3108.     -----------------------------------------------
  3109.     Viruses are not the greatest threat to your data, so let's not forget
  3110.     about the other threats too.
  3111.  
  3112.     W r i t e   P r o t e c t i n g   F l o p p i e s
  3113.     -------------------------------------------------
  3114.     While write protecting your files and your hard disk are of ques-
  3115.     tionable value, you definitely CAN write protect your floppy disks.
  3116.     Just cover the notch on the 5.25 inch diskettes or on 3.5 inch disk-
  3117.     ettes, slide the little tab to expose the hole.  The only risk here is
  3118.     that some diskette drives may be defective and still allow writing
  3119.     on the diskette.  If in doubt, do a test and check out your drive.
  3120.  
  3121.  
  3122.     Integrity Master (tm)             -  67  -                 Version 1.02b
  3123.  
  3124.     B e w a r e   t h e   C E   a n d   t h e   D e m o !
  3125.     -----------------------------------------------------
  3126.     According to our reports, one of the major sources for infections is
  3127.     the customer engineer (CE) or repairman.  The CEs frequently
  3128.     carry diagnostic diskettes with them when they go from PC to PC
  3129.     on service calls.  It's all to easy for these diskettes to become in-
  3130.     fected.  Salesmen doing demos on various PCs are also very sus-
  3131.     ceptible to getting their demo diskettes infected.
  3132.  
  3133.     V i r u s e s   a r e   g o i n g   t o   g e t   w o r s e
  3134.     -----------------------------------------------------------
  3135.     Not only are we seeing the number of viruses grow at an alarming
  3136.     rate, but we are seeing more sophisticated and better written vi-
  3137.     ruses.  The rate of reported infections has increased rapidly.  One
  3138.     company (Certus International, a vendor of anti-virus software)
  3139.     was quoted in Information Week (a national trade journal) that
  3140.     based on their reports, one out of four PCs was infected every
  3141.     month!  While one PC in four seems a bit hard to believe, it's clear
  3142.     that viruses are no longer something one can dismiss as very un-
  3143.     likely.  Viruses are, in fact, a threat that we must address one way
  3144.     or the other.
  3145.  
  3146.  
  3147.     Integrity Master (tm)             -  68  -                 Version 1.02b
  3148.     ____________________________________________________________________
  3149.     C H A P T E R   F I V E   -
  3150.  
  3151.     W h a t   t o   d o   -   s o m e   s u g g e s t i o n s
  3152.     ---------------------------------------------------------
  3153.  
  3154.     Action is Vital - Now!
  3155.     ----------------------
  3156.     Too many people wait for a virus to attack their PC before they
  3157.     take any action.  At this point it may be too late to recover dam-
  3158.     aged files.  There are many viruses that can not be successfully
  3159.     removed due to the way the virus infects the program.  It's abso-
  3160.     lutely vital to have protection before the virus strikes.
  3161.  
  3162.     It's also vital to protect against all threats to data integrity, not just
  3163.     viruses.  All threats to data integrity are much easier to deal with if
  3164.     they are detected as early as possible.  If you wait until you notice
  3165.     that your hard disk is losing data, you may already have hundreds
  3166.     of damaged files.
  3167.  
  3168.     Backup policy
  3169.     -------------
  3170.     It's critical that each and every PC be regularly backed up and that
  3171.     all software be carefully protected.  Do you have a single PC
  3172.     which you can afford NOT to regularly backup?  It's rare to find
  3173.     any PC which does not have some type of important data stored on
  3174.     it.
  3175.  
  3176.     Suggested Backup Policy:
  3177.     ------------------------
  3178.     1) All original software (program) diskettes should immediately be
  3179.        write protected, copied and stored in two safe, separate, loca-
  3180.        tions after installation.  If you are using an integrity check
  3181.        program, immediately record (initialize) the integrity data for
  3182.        the new programs after installing.
  3183.  
  3184.     2) Considering how frequently data changes on each PC, decide on
  3185.        a schedule for full backups.  It is an excellent idea to have at
  3186.        least three full sets of backup tapes or diskettes and to store one
  3187.        set at another location to protect against fire, theft or some other
  3188.        disaster.  If your data is critical, you may wish to have a sepa-
  3189.        rate cycle of backups (eg. quarterly or yearly) which can be
  3190.        used to recover from in situations where someone deletes a vital
  3191.        file, but the deletion isn't discovered until six months later.
  3192.  
  3193.     3) The full backups should be coordinated with daily incremental
  3194.        backups.  The incremental backup, which copies just the files
  3195.        that have changed,  normally runs very quickly and takes just a
  3196.        minute or so.
  3197.  
  3198.     4) Make sure you use reliable backup hardware and software.
  3199.        Periodically test by restoring from a backup.  Too many people
  3200.        have discovered that their backup program couldn't recover
  3201.        their files when it was too late.  If you use an integrity check
  3202.        program you can verify that the restored files are correct.
  3203.  
  3204.     Integrity Master (tm)             -  69  -                 Version 1.02b
  3205.  
  3206.     Integrity Checking Policy
  3207.     -------------------------
  3208.     Each PC which has data that you can't afford to lose or have
  3209.     corrupted should have a schedule of regular integrity checking,
  3210.     similar to the backup schedule.  By doing once a week full integrity
  3211.     checks, you can stay one step ahead of any trouble.  By doing a
  3212.     quick update of your integrity data on a daily basis, you can stay
  3213.     aware of exactly what changes on your PC and why.  This way if
  3214.     you start to encounter a software conflict, a failing hard disk, or a
  3215.     virus, you'll be able to quickly differentiate the unusual changes
  3216.     from the usual ones.
  3217.  
  3218.     Whenever you install new software, IMMEDIATELY record the integ-
  3219.     rity data for those programs, so that any future infection or damage
  3220.     can be detected.
  3221.  
  3222.     Whenever you copy programs, check that the new programs are
  3223.     exact copies of the originals.  The easiest way to do this is to
  3224.     always copy integrity data along with the programs.  You can also
  3225.     use any integrity checker, checksum program, CRC program,
  3226.     cryptographic signature program, or even the DOS COMPARE
  3227.     utility to verify that you made good copies.  Do this check only
  3228.     when you know no virus is in control of your PC; therefore, it's
  3229.     best to cold boot from a write protected floppy to verify your
  3230.     program copies are good.
  3231.  
  3232.     If you have diagnostic software, plan to run it at intervals. If you
  3233.     leave your PCs turned on at night, why not leave them running
  3234.     diagnostics.
  3235.  
  3236.     Run CHKDSK
  3237.     ----------
  3238.     Run CHKDSK (or some equivalent program) daily on each PC,
  3239.     and pay attention to the results.  If you are seeing problems, be
  3240.     sure you understand what's causing the problems.  If you are
  3241.     experiencing cross linked or lost clusters, something is being
  3242.     damaged.  Run an integrity checker to find out exactly what is
  3243.     being damaged. Also pay attention to the amount of available
  3244.     memory.  If this suddenly changes with no new resident (TSR)
  3245.     software installed, you may have a virus.
  3246.  
  3247.  
  3248.     Integrity Master (tm)             -  70  -                 Version 1.02b
  3249.  
  3250.     Determining Causes of Corruption
  3251.     --------------------------------
  3252.     It's not a question of "if" but a question of "when"; all too soon
  3253.     you are going to encounter a damaged file (a file which has
  3254.     changed for unknown reasons).  How can you determine what
  3255.     caused the damage?
  3256.  
  3257.     o First gather as much information as possible.  Did you do any-
  3258.       thing unusual?  Did you install any new software?  Did you
  3259.       execute any programs which you don't normally?  Have you seen
  3260.       any signs of hardware problems? (See the section following on
  3261.       signs of hardware problems).
  3262.  
  3263.     o Run CHKDSK to see if your directories and other areas are OK.
  3264.  
  3265.     o Run a full integrity check to see if anything else has changed.
  3266.  
  3267.     o If you suspect hardware problems as the culprit, then run any
  3268.       diagnostic programs you have.  If the diagnostics don't turn
  3269.       anything up, but you still suspect a hardware problem, then run
  3270.       your integrity check in full check mode daily for a while.  This
  3271.       should help track down exactly what's happening on your PC.
  3272.  
  3273.     o If you suspect software problems, run the software in question
  3274.       and then run your integrity check to see if anything is being
  3275.       corrupted.  When doing this, it's very helpful to duplicate the
  3276.       original situation of the problem as closely as possible. Make
  3277.       sure the hardware is the same and that you have exactly the same
  3278.       resident programs and device drivers loaded as when the problem
  3279.       first occurred.
  3280.  
  3281.     o Could the problem be a virus?  If you think so, have you seen
  3282.       any of the signs of virus activity listed in the next section?  Are
  3283.       only executable files (such as files ending
  3284.       in .EXE, .COM, .OVR, .OVL .BIN, or .SYS) affected?  If so,
  3285.       how many?  If more than one or two unrelated program files
  3286.       have mysteriously changed, it could likely be a virus.  Remember
  3287.       that some programs (such as Wordstar and SETVER) modify
  3288.       themselves as part of normal execution.  If the programs have
  3289.       changed but the DOS time and date stamps haven't, this is further
  3290.       reason to suspect either a serious problem or a virus.  If you are
  3291.       not using an advanced integrity checker  (such as Integrity
  3292.       Master) which recognizes known viruses, you may wish to get a
  3293.       virus scanner at this point to see if you have a known virus.  If
  3294.       this turns up nothing, then it's time to play detective - you may
  3295.       have discovered a brand new virus (lucky you!).  Please see the
  3296.       section in Chapter Six on Playing Detective.
  3297.  
  3298.  
  3299.     Integrity Master (tm)             -  71  -                 Version 1.02b
  3300.     Education
  3301.     ---------
  3302.     The single most important thing that you can do to assure the integ-
  3303.     rity of the data on your PCs is to educate everyone who uses a PC.
  3304.     It's vital that they understand how to backup their files and what
  3305.     files normally change on their PC and which ones don't.  If you
  3306.     can train them to understand the output of a thorough integrity
  3307.     check program, you can sleep at night knowing that all is well with
  3308.     your PCs!  Even lacking an integrity check program, it's vital that
  3309.     everyone be aware of what problem signs to look out for with
  3310.     respect to the most dangerous threats to data integrity.
  3311.  
  3312.  
  3313.     Signs of Hardware Problems
  3314.     --------------------------
  3315.       Watch out for increasing error messages that the disk is not ready
  3316.       when you try to boot the PC.  If you periodically experience any
  3317.       type of disk error message (even if it goes away eventually), or if
  3318.       disk accesses seem to be getting consistently slower, you may be
  3319.       experiencing the beginning of a serious disk problem.
  3320.  
  3321.  
  3322.     Signs of Software Problems
  3323.     --------------------------
  3324.       These indications could indicate software conflicts or bugs:
  3325.  
  3326.       o CHKDSK reporting problems.
  3327.  
  3328.       o A file which was just processed by a program (such as a spread
  3329.         sheet) is damaged or unreadable by the program but you can copy
  3330.         the file with no error messages.
  3331.  
  3332.  
  3333.     Signs Of Viruses
  3334.     ----------------
  3335.       These symptoms may betray the existence of a virus:
  3336.  
  3337.       o Disk activity when there should not be any activity.
  3338.  
  3339.       o Programs taking longer to load but the disk drive appears to be
  3340.         healthy.
  3341.  
  3342.       o Any unexplained behavior on the PC such as music, bouncing
  3343.         balls, black areas on the screen, falling letters, weird messages,
  3344.         or unexplained slowdown of the PC.
  3345.  
  3346.       o A decrease in the amount of available memory on your PC or
  3347.         unexplained bad spots on your disk or fewer total bytes (as re-
  3348.         ported by CHKDSK).
  3349.  
  3350.       o If you find extra ".COM" files showing up you may have a
  3351.         companion style virus.
  3352.  
  3353.  
  3354.     Integrity Master (tm)             -  72  -                 Version 1.02b
  3355.     Responsibility
  3356.     --------------
  3357.     If you are in a larger organization, it's crucial that someone have
  3358.     the responsibility for assuring data integrity.  The first task facing
  3359.     this person would be to assure that all important data is backed up
  3360.     and that all users are educated with respect to normal operation of
  3361.     their PC.  The next step would be to start a regular program of
  3362.     integrity checking.
  3363.  
  3364.     Policy and routine
  3365.     ------------------
  3366.     The procedures for backing up and checking the integrity of critical
  3367.     data can not be left to word of mouth, but should be set forth in a
  3368.     written set of procedures.  Data integrity is too important to leave
  3369.     to chance.  If this isn't done, guess what gets put on the back
  3370.     burner (in other words: not done), when people get busy? (Who
  3371.     isn't busy?).  Some recommended procedures:
  3372.  
  3373.     o Never leave a floppy disk inserted in a drive longer than neces-
  3374.       sary.  Remove all diskettes immediately.  This reduces the
  3375.       chance inadvertently booting from the diskette and picking up a
  3376.       boot sector virus.
  3377.  
  3378.     o Check the integrity of all files after installing new software or
  3379.       copying programs.
  3380.  
  3381.     o If a stranger (such as a repair person or salesman) runs software
  3382.       on a PC, do a full integrity check immediately afterwards.
  3383.  
  3384.     o Immediately write protect and backup all diskettes containing
  3385.       software.
  3386.  
  3387.     o Schedule regular incremental and full backups.
  3388.  
  3389.  
  3390.     Networks and Viruses
  3391.     --------------------
  3392.     If at all possible, do not have shared disks containing executable
  3393.     files which the workstations have write access to.
  3394.  
  3395.     Run regular integrity checks on the file server.  This is important
  3396.     on the workstations too, but is critical on the file server since an
  3397.     infected file here could quickly infect all the workstations on the
  3398.     network.
  3399.  
  3400.     Never access an unchecked workstation with network administrator
  3401.     authority.
  3402.  
  3403.  
  3404.     Integrity Master (tm)             -  73  -                 Version 1.02b
  3405.     _______________________________________________________________________
  3406.     CHAPTER SIX - Handling a virus attack
  3407.  
  3408.     Don't panic and don't believe the virus
  3409.     ---------------------------------------
  3410.     Do not do anything rash if you suspect a virus attack.
  3411.  
  3412.     Be skeptical, there are quite a few practical joke programs that
  3413.     behave exactly like viruses. There's even a virus simulator which
  3414.     simulates the Ping Pong (bouncing ball), Jerusalem (black hole),
  3415.     Cascade (falling letters on the screen), Yankee doodle (music) and
  3416.     a few other viruses.  It's perfectly harmless, but it has alarmed
  3417.     many people.  Don't do anything drastic until you confirm that it
  3418.     really is a virus.
  3419.  
  3420.     If the virus is busy doing something and says not to turn off the
  3421.     PC, turn it off anyway and boot from a clean write protected copy
  3422.     of DOS.  There's a good chance that the virus may be busy de-
  3423.     stroying your entire disk.  Don't blindly do what the virus tells you
  3424.     to!
  3425.  
  3426.     Report the attack
  3427.     -----------------
  3428.     Report the virus attack to the police or to a virus researcher or
  3429.     anti-virus developer.  We need to stop sweeping this under the rug.
  3430.     If we can track where viruses first get started, then maybe we can
  3431.     apprehend the culprits that are writing and distributing these things.
  3432.  
  3433.     Play Detective
  3434.     --------------
  3435.     It is very important that you track down how you got the virus.  If
  3436.     you got it from someone's software, it's vital that they be notified.
  3437.     The sooner these viruses are detected, the less damage they can do.
  3438.  
  3439.     Suppose you have indications of a virus, but your software doesn't
  3440.     identify it as a known virus.  What do you do?  First of all cold
  3441.     boot (hit the red reset button or power off and back on) from a
  3442.     known good write protected copy of DOS on a diskette.  Run a full
  3443.     integrity check.  Run CHKDSK and print the results.  Now execute
  3444.     any suspect programs.  Execute them several times.  Viruses may
  3445.     wait for some trigger event to begin infection.  Run CHKDSK
  3446.     again to see if the amount of free memory has been reduced.  This
  3447.     is a sign of a virus going resident in memory.  Now cold boot
  3448.     again and rerun an integrity check.  Repeat this cycle with the
  3449.     various suspect programs.  This should track down the guilty
  3450.     program if you've got one.  Keep in mind that if it's a virus, it will
  3451.     modify other programs and those programs should themselves
  3452.     further modify other programs.  By executing the modified pro-
  3453.     grams, it's possible to tell whether you really have a virus or you
  3454.     just have a buggy program which is accidentally writing to other
  3455.     programs.
  3456.  
  3457.  
  3458.     Integrity Master (tm)             -  74  -                 Version 1.02b
  3459.  
  3460.     Clean House
  3461.     -----------
  3462.     Follow these steps when removing a virus from your PCs:
  3463.  
  3464.     o Cold boot (Power off and on or hit the reset button) from a
  3465.       known good write protected copy of DOS.
  3466.  
  3467.     o Delete all infected files.
  3468.  
  3469.     o Reload any infected system sectors.  If you do not have a utility
  3470.       to reload the DOS boot sector, you can use the DOS SYS
  3471.       command after cold booting from a write protected diskette (eg.
  3472.       "SYS C:").
  3473.  
  3474.     o Rerun a full integrity check, or at least a scan if you don't have
  3475.       an integrity checker.
  3476.  
  3477.     o Check any floppies which may have been infected. Remember, if
  3478.       you have a system sector virus such as Stoned, Joshi or Brain,
  3479.       even empty data diskettes can be infected.  Check them all.
  3480.  
  3481.     o Notify any other PC user you have contact with to check their
  3482.       PCs.
  3483.  
  3484.     Guard the house
  3485.     ---------------
  3486.     Virus infections return in a very high number of cases.  This is
  3487.     usually because somewhere there is an infected file or diskette
  3488.     which was missed in the first cleaning.  Run your integrity checker
  3489.     or anti-virus program daily, for the next month, to catch a possible
  3490.     repeat infection.
  3491.  
  3492.  
  3493.     Integrity Master (tm)             -  75  -                 Version 1.02b
  3494.                                  I N D E X
  3495.     Abandon changes, 39                    Control card, 30, 31
  3496.     Abort, 39                              Copying IM files, 11
  3497.     Advanced Option Menu, 18, 33, 37, 38   Copying programs, 22, 69
  3498.     Algorithms, 16                         Corruption, 23, 24, 26, 31, 36
  3499.     Alternate colors, 13                   Corruption, 45, 46, 50, 70
  3500.     ALTernate key, 20                      Counting viruses, 52, 67
  3501.     Alt/X, 20                              Critical error, 27
  3502.     ANSI.SYS, 62                           Cross linked clusters, 45, 56, 69
  3503.     APPEND, 10                             Cryptographic signatures, 8, 16
  3504.     ASSIGN, 10                             Current and Lower directories, 17
  3505.     Attack phase, 21, 49                   Current diRectory only, 17
  3506.     Auto-named report file, 18, 19, 29     Current option settings, 34
  3507.                                            Customer engineer, 67
  3508.     Backups, 55, 56, 65, 68, 71, 72        Customizing, 33
  3509.     Bad sectors, 51                        Data integrity, 9, 26, 45, 47, 56,
  3510.     Badly damaged disks, 19                     68
  3511.     Batch file, 31                         Data recovery tools, 46
  3512.     Batch files, 30                        Date stamp, 9, 29, 36, 56, 63, 67,
  3513.     BBS, 62, 66                                 70
  3514.     BIOS, 47, 59                           Descendant directories, 17
  3515.     Bitnet, 1                              Destroying viruses, 26
  3516.     Boot sectors, 18, 19, 38, 50, 51,      Device number, 19
  3517.          60, 62, 66, 72                    Diagnostic programs, 8, 27, 55, ,56,
  3518.     Brain virus, 51, 74                         69, 70
  3519.     Bugs, 47                               Directory change, 20
  3520.     Bypass memory check, 25, 30, 41        Dir-2 virus, 51
  3521.                                            Disinfection, 25, 26, 58
  3522.     Cascade virus, 24, 73                  Disk change, 20
  3523.     Certified software, 63                 Disk drives, 8, 19, 20, 27, 38, 55
  3524.     CGA, 36                                Disk errors, 8, 27, 28, 31, 42, 46,
  3525.     Change history, 18                          55, 71
  3526.     Change management, 8, 29               Disk failure, 16, 19, 46, 55, 69
  3527.     Change menu, 37                        Disk letters, 38
  3528.     Changes to executable programs, 23     Downloading, 62, 64, 65
  3529.     Check disk for known viruses, 18, 22
  3530.     Check menu, 43                         Education, 71
  3531.     Check values, 32                       Electronic mail, 1, 62
  3532.     Checking specific files, 17            Encryption, 9, 16, 38, 59
  3533.     Checksum, 60                           Ending, 20
  3534.     CHKDSK, 45, 47, 51, 56, 69, 71, 73     Entire disk integrity, 17, 22, 26
  3535.     Cluster viruses, 25, 52                Entire disk integrity initialize, 15
  3536.     CMOS, 62                               Error levels, 31
  3537.     Cold booting, 21, 23, 25, 26, 41,      Error recovery, 19, 42
  3538.          43, 73, 74                        ESCape, 20, 39
  3539.     Colors, 13, 33, 42                     Evaluation, 11
  3540.     Command line, 13, 25, 30, 33, 36,      Example report, 27
  3541.          41, 42                            Executable files, 18, 22, 23, 24,
  3542.     CoMmands menu, 20                          35, 36, 39, 40, 43, 49, 51, 59,
  3543.     COMMAND.COM, 63                            62, 63, 65, 68, 70, 72
  3544.     Common Questions, 42                   Exit, 38
  3545.     Companion viruses, 21, 25, 37, 52,     Explanation of the display, 15
  3546.          71                                Extend disk life, 27
  3547.     CompuServe, 1
  3548.     Configuration, 38                      F1 (key), 14, 15
  3549.  
  3550.     Integrity Master (tm)             -  76  -                 Version 1.02b
  3551.  
  3552.     False alarms, 25, 43                   Integrity initialize, 8
  3553.     Fastest way to exit, 20                Interceptor, 47, 58
  3554.     File corruption, 8, 24, 25, 26, 31,    Intermittent problems, 27, 55
  3555.          34, 36, 45, 47, 50, 70            InterNet, 1
  3556.     Files on current Disk, 17              INTERNET "virus", 48
  3557.     Files to check, 35                     Introduction, 45
  3558.     Files to iNitialize, 22, 35            Intrusion protection, 56
  3559.     Files (vital for IM), 12
  3560.     Finger checks, 8, 46                   Jerusalem virus, 24, 58, 73
  3561.     Fixing your disk, 10, 55               Jokes, 56, 62, 73
  3562.     Full installation, 11
  3563.     Full integrity checking, 34, 69, 70,   Known viruses, 8, 9, 18, 24, 25,
  3564.          73, 74                                 26, 41, 57, 60
  3565.  
  3566.     General virus checking, 41             Laptop, 13
  3567.     Glitches, 45                           Large disks, 10
  3568.     Guided tour, 14                        LCD display, 11, 13
  3569.                                            License terms, 3, 32
  3570.     Halt menu, 35                          Limitations, 10
  3571.     Hardware configuration, 38             Location of integrity data, 37, 38
  3572.     Hardware errors, 36, 42, 45 71         Logic bombs, 47, 58
  3573.     Hardware problems, 26                  Logical disk, 19, 38, 50
  3574.     Hardware protection, 55                Low level format, 27
  3575.     Harmless viruses, 24, 49               LPT1, 19
  3576.     Help, 15
  3577.     Help index, 7                          Malicious damage, 46
  3578.     Help menu, 14                          Master boot record, 18, 38, 50
  3579.     Hidden system files, 39                Maximum number of files, 10
  3580.     Hiding IM.PRM, 28                      Media coverage, 45
  3581.     How viruses infect, 9, 20, 48          Memory check, 25, 41
  3582.                                            Menus, 10, 14, 20
  3583.     Ignore Time/date changes, 36           Minimum memory, 10
  3584.     IMCHECK, 39                            Miracle Infections, 52
  3585.     IMcheck license, 32                    Misleading results, 10
  3586.     IMCHECK.EXE, 32                        Monitoring, 58
  3587.     IMprint, 42                            Monochrome displays, 13, 42
  3588.     IMPROC.TXT, 12, 13, 21, 32             Multiple parameter files, 31
  3589.     IMview.exe, 42                         Multiple sets of options, 33
  3590.     IM.EXE, 12, 32                         Music, 21, 24
  3591.     IM.PRM, 12, 13, 33, 38                 Music, 49, 71, 73
  3592.     Infection phase, 48                    Mutating virus, 53, 57
  3593.     Initialize menu, 15, 22, 41            M.PRM, 28
  3594.     Initializing integrity data, 15
  3595.     Inoculators, 58                        Networks, 28, 48, 62, 66, 72
  3596.     Install,                               No halt mode, 36
  3597.       full, 11, 16                         Nonstop execution, 30, 31
  3598.       on an other PC, 37                   Norton utilities, 46, 51, 55, 56
  3599.       quick, 11
  3600.     Installing new software, 22, 69, 70,   Only changes reported, 36
  3601.          72                                     Open fail, 27, 28
  3602.     Instructions, 10                       Open files, 28
  3603.     Integrity Advisor, 10, 12, 21, 37      Option settings, 13
  3604.     Integrity checking, 21, 34, 59, 60,    Options menu, 18, 21, 22, 33, 34
  3605.          61, 65, 69, 72                    OS/2, 28
  3606.     Integrity data, 9, 15, 16, 21, 22,     Overlays, 43, 52
  3607.          27, 28, 38, 59, 68, 69            Overview, 37
  3608.     Integrity data off-line, 38
  3609.       Integrity Master (tm)             -  77  -                 Version 1.02b
  3610.  
  3611.     Parameter file, 12, 13, 28, 30, 33,    Screen layout, 15
  3612.          34, 38                            Screen report, 36
  3613.     Parameters, 30, 31                     Scrolling, 35, 36
  3614.     Partition sectors, 18, 19, 38, 50,     Sectors, 50
  3615.          51, 56, 60                        Security, 8, 28, 56
  3616.     Partition table, 50                    Self-check 59
  3617.     Pause (P) key, 36                      Self-modifying programs, 70
  3618.     Pausing, 35                            SetupIM, 7, 11, 13, 14, 16, 18, 21,
  3619.     Physical disk drive, 19, 38, 50             28, 33, 34, 37, 38, 39
  3620.     Plan for day to day use, 12            SETUPIM.EXE, 12
  3621.     Policy, 72                             Shareware, 64, 66
  3622.     Power faults, 45                       Shelling to DOS, 20, 42
  3623.     Primary options, 37                    Short-cut install, 11
  3624.     Printed output, 19                     Signatures, 9, 16, 27, 32, 57, 59
  3625.     PRN, 19                                Silly tricks, 63
  3626.     Probability of file damage, 8          Software Attacks, 47
  3627.     Procedure for running IM, 21           Software problems, 46, 70, 71
  3628.     Procedures, 72                         Solving problems, 42
  3629.     Program changes, 26                    Sound, 36
  3630.     Programs, 21, 22, 23, 24, 35, 36,      Source programs, 40
  3631.          39, 40, 43, 49, 50, 51, 60, 62,   Spawning virus, 52
  3632.          66, 68, 69, 70, 73                Special characteristics, 9
  3633.                                            Speed, 9, 23, 29, 41, 60
  3634.     QUESTION.TXT, 42                       Stealth, 51
  3635.     Quick evaluation, 11                   Stoned, 49, 52
  3636.     Quick install, 11                      Stoned virus, 53, 74
  3637.     Quick Update, 21, 29, 34, 69           SUBST, 10
  3638.     Quit, 39                               Suggestions, 68
  3639.     Quitting, 20                           Surge protectors, 55
  3640.                                            Syntax, 30
  3641.     Read fail, 27                          SYS command, 50
  3642.     README.DOC, 12                         System files, 39
  3643.     Reinstall, 12                          System sector, 51
  3644.     Reload data, 19                        System sector changes, 26
  3645.     Reload files, 16                       System sector viruses, 9, 19, 23,
  3646.     ReLoad menu, 19                              50, 51
  3647.     Reload Missing partition, 19           System sectors, 8, 10, 15, 17, 19,
  3648.     Reloading system sectors, 15, 74             21, 50, 57
  3649.     Reminders before checking, 18
  3650.     Removal instructions, 25               Technical support, 42
  3651.     Repair, 10, 55                         Threats, 9, 20, 45, 46, 53, 64, 65,
  3652.     Repeat the install, 37                      66, 68
  3653.     Report file, 18, 19, 27, 29, 31, 36    Trigger, 21, 47, 48, 49, 73
  3654.     Report screen, 15                      Trojans, 47, 48, 58
  3655.     Reporting viruses, 24                  TSR, 46, 49, 69, 70
  3656.     Requirements, 10                       Tutorial, 7, 15
  3657.     Resident programs, 46, 49, 69, 70      Two color display, 12
  3658.     Retail software, 57, 64, 66            Typos, 8, 46
  3659.     ROM, 59, 60
  3660.                                            Unattended processing, 30, 31
  3661.     Safe computing, 65                     Unauthorized changes, 22, 28
  3662.     Save changes, 38                       Unknown virus, 8, 11, 18, 21, 23,
  3663.     Saving option changes, 33                   59, 63, 70, 73
  3664.     Scanning for viruses, 22, 57, 63       Unreadable data, 56
  3665.     Screen colors, 13, 33, 37              Unusual video adapters, 11
  3666.     Screen display mode, 37                Update hardware configuration, 38
  3667.  
  3668.     Integrity Master (tm)             -  78  -                 Version 1.02b
  3669.  
  3670.     V2P7 virus, 57
  3671.     Video adapter, 12, 13
  3672.     Video mode, 13, 42
  3673.     Virus,
  3674.       checking, 18, 21, 33, 39, 41, 57
  3675.       cluster, 52
  3676.       collection, 53
  3677.       companion, 21, 52, 71
  3678.       damage, 15, 19, 21, 24, 26, 47, 49, 50, 53, 58,
  3679.       defenses, 57
  3680.       definition, 48
  3681.       Destroying, 26
  3682.       Detection, 22, 23, 31, 34, 57, 59, 61, 66
  3683.       experts, 48, 63, 64
  3684.       how many, 52, 67
  3685.       infection, 19, 20, 48, 51, 57, 62, 74
  3686.       known, 9, 57, 60
  3687.       mutating, 52, 57
  3688.       myths, 62
  3689.       names, 24
  3690.       new, 23, 70
  3691.       phases, 48, 49
  3692.       prevention, 60
  3693.       removal, 25, 43, 58, 68
  3694.       reporting, 24, 26
  3695.       resident, 21, 25, 40, 41, 43
  3696.       resident, 49, 57
  3697.       scanning, 18, 22, 57, 63
  3698.       signs, 23, 36, 70, 71
  3699.       stealth, 51
  3700.       symptoms, 24
  3701.       system sector, 9, 19, 23, 50, 51
  3702.       trigger, 21, 48, 49, 63, 73
  3703.       unknown, 21, 23, 59, 63, 70, 73
  3704.       variants, 24, 25, 52, 53
  3705.       what is it, 20, 48
  3706.     Virus report, 24
  3707.     Vital files, 12
  3708.  
  3709.     Warranty, 3
  3710.     Whale virus, 53
  3711.     Why read, 7
  3712.     Windows, 28, 43
  3713.     Worm, 48
  3714.     Write option changes to disk, 33, 34
  3715.     Write protection, 59, 63, 64, 66,  68, 72
  3716.  
  3717.