home *** CD-ROM | disk | FTP | other *** search

---

/ The World of Computer Software / The World of Computer Software.iso / tbav503.zip / TBFILE.DOC

< prev

next >

Wrap

Text File  |  1992-12-29  |  20KB  |  721 lines

---

1.  
2.  
3.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
4.  
5.  
6.                                Table of Contents
7.  
8.  
9.     1. INTRODUCTION...................................... 2
10.         1.1. Purpose of TbFile........................... 2
11.         1.2. A Quick start............................... 2
12.         1.3. Benefits.................................... 2
13.  
14.     2. USAGE OF THE PROGRAM.............................. 4
15.         2.1. System requirements......................... 4
16.         2.2. Program invocation.......................... 4
17.             2.2.1. Invocation in Config.Sys.............. 5
18.             2.2.2. Invocation in network environment..... 5
19.             2.2.3. Invocation when using MS-Windows...... 5
20.         2.3. Detection of suspicious activity............ 5
21.         2.4. Command line options........................ 8
22.             2.4.1. help ................................. 8
23.             2.4.2. off .................................. 8
24.             2.4.3. on ................................... 8
25.             2.4.4. remove ............................... 8
26.             2.4.5. secure ............................... 9
27.             2.4.6. allattrib ............................ 9
28.         2.5. Examples:................................... 9
29.  
30.     3. CONSIDERATIONS AND RECOMMENDATIONS............... 10
31.         3.1. Solving incompatibility problems........... 10
32.         3.2. Reducing the memory requirements........... 10
33.  
34.  
35.  
36.  
37.  
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45.  
46.  
47.  
48.  
49.  
50.  
51.  
52.  
53.  
54.  
55.  
56.  
57.  
58.  
59.  
60.  
61.                                      Page i
62.  
63.  
64.  
65.  
66.  
67.  
68.  
69.  
70.  
71.  
72.  
73.  
74.  
75.  
76.  
77.  
78.  
79.  
80.  
81.  
82.  
83.  
84.  
85.  
86.  
87.  
88.  
89.  
90.  
91.  
92.  
93.  
94.  
95.  
96.  
97.  
98.  
99.  
100.  
101.  
102.  
103.  
104.  
105.  
106.  
107.  
108.  
109.  
110.  
111.  
112.  
113.  
114.  
115.  
116.  
117.  
118.  
119.  
120.  
121.                                      Page 1
122.  
123.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
124.  
125.  
126. 1.  INTRODUCTION
127.  
128.  
129.   1.1.  Purpose of TbFile
130.  
131.     There are several categories of viruses. The two most important
132.     ones are bootsector viruses and file viruses. The file viruses have
133.     in common that they infect programs. Infecting a program is a very
134.     specific operation that does not look like any other file
135.     operation, and therefore it is possible to detect this activity.
136.  
137.     TbFile monitors the system and detects attempts of programs to
138.     infect other programs. Unlike other file guards, TbFile monitors
139.     the system only for virus specific file modifications. TbFile does
140.     not generate an alarm when a program changes itself for
141.     configuration purposes, nor does it bother you when you update a
142.     program or even create a program yourself. In normal system
143.     configurations you will never get a false alarm!
144.  
145.  
146.   1.2.  A Quick start
147.  
148.     Although we highly recommend a complete reading of this manual, here
149.     are some directions for a quick run of TbFile:
150.  
151.     Load TbDriver first if it is not yet loaded. Type "TbDriver" and
152.     press return.
153.     To load TbFile type "TbFile" and press return.
154.  
155.     The invocation syntax is:
156.             TbFile [<options>]...
157.  
158.     For fast online help type "TbFile ?" or "TbFile help".
159.  
160.  
161.   1.3.  Benefits
162.  
163.     TbFile has several advantages over other file guards:
164.  
165.     +   TbFile not only detects attempts to infect programs, it also
166.         offers you the option to abort the infection process and to
167.         continue the program.
168.  
169.     +   TbFile detects other suspicious activities - like setting the
170.         seconds to an illegal value - too.
171.  
172.     +   TbFile has a very sophisticated infection detector and it will
173.         not give a false alarm when you perform standard file
174.         operations. In normal configurations you will never get a false
175.         alarm!
176.  
177.     +   Files can be protected against unwanted modifications by means
178.  
179.  
180.  
181.                                      Page 2
182.  
183.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
184.  
185.  
186.         of the read-only attribute. Without TbFile this standard DOS
187.         protection can be circumvented easily. TbFile however makes
188.         sure any attempts to sabotage the readonly attribute will not
189.         go undetected. This gives you added security by letting you use
190.         an uncomplicated method to fully protect your files against
191.         destruction and infection.
192.  
193.     +   TbFile is fully network compatible. It does not require you to
194.         reload the checker after logging on to a network. Other
195.         resident anti-virus utilities force you to choose between
196.         protection before the network is started, or protection after
197.         the network is started, but not both.
198.  
199.     +   TbFile can display its messages in your local language.
200.  
201.     +   TbFile uses less than 2Kb of memory, and it can be loaded
202.         into upper memory.
203.  
204.  
205.  
206.  
207.  
208.  
209.  
210.  
211.  
212.  
213.  
214.  
215.  
216.  
217.  
218.  
219.  
220.  
221.  
222.  
223.  
224.  
225.  
226.  
227.  
228.  
229.  
230.  
231.  
232.  
233.  
234.  
235.  
236.  
237.  
238.  
239.  
240.  
241.                                      Page 3
242.  
243.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
244.  
245.  
246. 2.  USAGE OF THE PROGRAM
247.  
248.  
249.   2.1.  System requirements
250.  
251.     TbFile runs perfectly on standard machines, in line with our
252.     philosophy that there should be a limit to limitations.
253.  
254.     +   TbFile can be executed under DOS version 3.00 (and all later
255.         versions). However, Dos 5.0 or higher is recommended, since
256.         TbFile has been optimized and designed primarily for use with
257.         these DOS versions.
258.  
259.     +   TbFile requires about 5 Kb of free memory to be invoked.
260.         After termination it requires only 2Kb of memory.
261.  
262.  
263.   2.2.  Program invocation
264.  
265.     It is recommended to invoke TbFile automatically from within your
266.     Config.Sys or Autoexec.Bat file. It is important to invoke TbFile
267.     as early as possible after the machine has booted. For that reason
268.     it is desirable to invoke TbFile from within the Config.Sys file.
269.  
270.     TbFile requires TbDriver to be loaded first!
271.  
272.     TbFile is easy to use. The syntax is as follows:
273.             TbFile [<options>]...
274.  
275.     There are three possible ways to invoke TbFile:
276.  
277.     To invoke TbFile from the DOS prompt or within the Autoexec.Bat
278.     file:
279.             <path>TbFile
280.  
281.     To invoke TbFile from the Config.Sys as a TSR (Dos 4+):
282.             Install=<path>TbFile.Exe
283.  
284.     To invoke TbFile from the Config.Sys as a device driver:
285.             Device=<path>TbFile.Exe
286.  
287.     TbFile should always work correctly after being started from
288.     within the Autoexec.Bat. The "Install=" Config.Sys command is
289.     NOT available in DOS 3.xx.
290.  
291.     In addition to the three invocation possibilities DOS 5+ users can
292.     "highload" TbFile into an UMB (upper memory block) if it is
293.     available:
294.             LoadHigh <path>TbFile.Exe
295.     Within the Config.Sys file TbFile can also be loaded high:
296.             DeviceHigh=<path>TbFile.Exe
297.  
298.  
299.  
300.  
301.                                      Page 4
302.  
303.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
304.  
305.  
306.    2.2.1.  Invocation in Config.Sys
307.  
308.     -> Invoking TbFile as a device driver does not work in all OEM
309.        versions of DOS. You have to try it, if it doesn't work use the
310.        "Install=" command or load TbFile from within the Autoexec.Bat.
311.  
312.    2.2.2.  Invocation in network environment
313.  
314.     -> Unlike other anti-virus products, the Thunderbyte anti-virus
315.        utlities can be loaded before the network is started without
316.        losing the protection after the network has been started.
317.  
318.    2.2.3.  Invocation when using MS-Windows
319.  
320.     -> Windows users should invoke TbFile BEFORE starting Windows.
321.        If you do that there is only one copy of TbFile in memory, but
322.        every DOS-window will nevertheless have a fully functional
323.        TbFile in it.  TbFile detects if Windows is starting up, and
324.        will switch itself into multitasking mode if necessary. You can
325.        even disable TbFile in one window without affecting the
326.        functionality in another window.
327.  
328.  
329.   2.3.  Detection of suspicious activity.
330.  
331.     If TbFile detects suspicious activities it alerts your with a
332.     pop-up window with a message in your own language. You can either
333.     choose to continue, or to abort the suspicious operation.
334.  
335.     The following messages can appear:
336.  
337.     ┌────────────────────────────────────────────┐
338.     │   Attempt to modify the startup code of    │
339.     │   <filename>. This is the way a VIRUS      │
340.     │   contaminates a program!                  │
341.     │   You are strongly advised to press "Y"!   │
342.     │   Cancel program modification? (Y/N)       │
343.     └────────────────────────────────────────────┘
344.  
345.     Cause:
346.     A virus contaminating a program will always try to execute its own
347.     code ahead of the original program code. To be able to do that it
348.     must patch the victim's startup code, pointing to its own routine
349.     first, before permitting a jump back to the original start of the
350.     program. TbFile detects this and issues a stern warning you do not
351.     wat to ignore.
352.  
353.     There are no programs which store their configuration setup in the
354.     startup code! This message can only mean that a virus is about to
355.     infect a program, or that you are using a programming tool which
356.     alters the startup code of your program legitimately. One such a
357.     program is the EXEPACK utility. Compilers and linkers are not
358.  
359.  
360.  
361.                                      Page 5
362.  
363.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
364.  
365.  
366.     likely to be mistaken for viruses.
367.  
368.     ┌────────────────────────────────────────────┐
369.     │   Attempt to add some code to program      │
370.     │   file <filename>. It could be a           │
371.     │   VIRUS attaching itself to that program.  │
372.     │   It is recommended to press "Y"!          │
373.     │   Cancel program modification? (Y/N)       │
374.     └────────────────────────────────────────────┘
375.  
376.     Cause:
377.     TbFile detected a flagrant attempt to add code to a program file.
378.     You have almost certainly to do with a virus.
379.  
380.     Please note that stealth viruses will hide the added data again
381.     afterwards. TbFile however detects that data is going to be added!
382.  
383.     ┌────────────────────────────────────────────┐
384.     │   Attempt to modify <filename>, using      │
385.     │   obsolete FCB functions. It could be a    │
386.     │   VIRUS attaching itself to that program!  │
387.     │   It is recommended to press "Y"!          │
388.     │   Cancel program modification? (Y/N)       │
389.     └────────────────────────────────────────────┘
390.  
391.     Cause:
392.     This is a warning about one program trying to manipulate another.
393.     FCB functions are a heritage of early DOS versions. Viruses
394.     sometimes use them in the assumption that anti-virus products won't
395.     bother to check for rare FCB operations. That may be true for some,
396.     but NOT for TbFile.
397.  
398.     File Control Block functions are rarely needed in modern-day
399.     programming and have been totally abandoned by programming tools.
400.  
401.     As it is possible that you are dealing with a virus it is wisest to
402.     respond with YES and abort, and then try to locate the cause.
403.  
404.     ┌────────────────────────────────────────────┐
405.     │   Attempt to rename <filename> to          │
406.     │   <filename>. TbFile will only protect     │
407.     │   executables, so after this file has      │
408.     │   been renamed, it can be infected         │
409.     │   without interception! Cancel (Y/N)       │
410.     └────────────────────────────────────────────┘
411.  
412.     Cause:
413.     An attempt is made to rename an executable EXE or COM file to a
414.     name with a different extension. As TbFile only protects program
415.     files against infection, this is how a virus might try to escape
416.     attention first, then finishing the job by restoring the original
417.     extension.
418.  
419.  
420.  
421.                                      Page 6
422.  
423.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
424.  
425.  
426.     If you gave the rename command yourself, you'll know that you may
427.     safely ignore this message. If you did not use the rename command
428.     it is likely that there is a virus in your program and you should
429.     choose to cancel.
430.  
431.     ┌────────────────────────────────────────────┐
432.     │   Attempt to set the seconds part of       │
433.     │   <filename>'s timestamp to an             │
434.     │   invalid value! Normally the seconds are  │
435.     │   hidden, so some viruses use this value   │
436.     │   as a signature. Cancel (Y/N)             │
437.     └────────────────────────────────────────────┘
438.  
439.     Cause:
440.     Viruses want to avoid infecting a program a second time, which is
441.     not only useless but makes detection more likely. A number of
442.     viruses check whether a program has been infected already by
443.     reading part of the program file and comparing this with
444.     themselves. This takes a relatively long time and is therefore
445.     highly conspicuous. That is why some viruses use the seconds part
446.     of the timestamp as a mark. As the seconds do not normally appear
447.     on the screen when you call up a directory, a virus can easily
448.     change them to an unusual value, such as 62, so that it will know
449.     instantly that the program has had an earlier visit.
450.  
451.     It is highly recommended to abort the current action and to
452.     investigate the program being executed or copied.
453.  
454.     ┌────────────────────────────────────────────┐
455.     │   Attempt to remove the read-only          │
456.     │   attribute for <filename>.                │
457.     │   After this attribute has been removed,   │
458.     │   the file can be modified or deleted.     │
459.     │   Keep the readonly attribute? (Y/N)       │
460.     └────────────────────────────────────────────┘
461.  
462.     Cause:
463.     You will receive a message as soon as an attempt is made to reset a
464.     readonly attribute. A virus must remove it before it is able to
465.     infect a file. It is therefore recommended to let TbSetup set the
466.     readonly attribute of all program files. For more information about
467.     this consult the TbSetup documentation.
468.  
469.     Some utilities permit users to remove and set read-only attributes
470.     at will, in which case the operation should be allowed to continue.
471.  
472.     If you are using option 'allattrib' the following may apply to you
473.     as well:  There are also programs that 'protect' their data files
474.     by setting this attribute as a matter of course, resetting it
475.     temporarily whenever the file needs updating. This causes the
476.     message to appear each time they do.
477.  
478.  
479.  
480.  
481.                                      Page 7
482.  
483.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
484.  
485.  
486.     It is possible to allow certain programs to remove the read-only
487.     attribute by using TbSetup. Flag-value 0040 is used for this
488.     purpose. You can either set this flag by adding the name of the
489.     program to the TbSetup.Dat file or by using the command:
490.         TbSetup <filename> Set=0040
491.     Consult the documentation of TbSetup for more information.
492.  
493.     TbSetup itself has this permission flag already set, so you will
494.     not get an alarm if you use TbSetup to remove the readonly
495.     attributes.
496.  
497.  
498.   2.4.  Command line options
499.  
500.     It is possible to specify options on the command line. The upper
501.     four options are always available, the other options are only
502.     available if TbFile is not already resident in memory.
503.  
504.     optionword  parameter  short  explanation
505.     ----------  ---------  ----- ----------------------------
506.  
507.         help                ?  =display this helpscreen
508.         off                 d  =disable checking
509.         on                  e  =enable checking
510.         remove              r  =remove TbFile from memory
511.  
512.         secure              s  =all permissions denied
513.         allattrib           a  =readonly check on all files
514.  
515.    2.4.1.  help (?)
516.  
517.     If you specify this option TbFile will show you the brief help as
518.     shown above.
519.  
520.    2.4.2.  off (d)
521.  
522.     If you specify this option TbFile will be disabled, but it will
523.     remain in memory.
524.  
525.    2.4.3.  on (e)
526.  
527.     If you use this option TbFile will be activated again after you
528.     disabled it with the 'off' option.
529.  
530.    2.4.4.  remove (r)
531.  
532.     This option can be used to remove the resident part of TbFile from
533.     your system's memory.  All memory used by TbFile will be released.
534.     Unfortunately, the removal of a TSR (like TbFile) is not always
535.     possible.  TbFile checks whether it is safe to remove the resident
536.     part from memory. If it is not safe it just disables TbFile. A TSR
537.     can not be removed if another TSR has been started after it.  If
538.  
539.  
540.  
541.                                      Page 8
542.  
543.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
544.  
545.  
546.     this happens with TbFile it will completely disable itself.
547.  
548.    2.4.5.  secure (s)
549.  
550.     TbFile normally asks the user to continue or to cancel when a
551.     program tries to perform a suspicious operation. In some business
552.     environments however this choice should not be made by employees.
553.     By using option 'secure' it is no longer possible to allow
554.     suspicious operations.
555.  
556.    2.4.6.  allattrib (a)
557.  
558.     TbFile normally only protects the readonly attribute of executables
559.     (program files with the extension COM and EXE). If you want to have
560.     the readonly check on all files add option 'allattrib'. In this
561.     case you always get an alarm when an attempt is made to remove the
562.     readonly attribute of any file.
563.  
564.  
565.   2.5.  Examples:
566.  
567.         C:\utils\TbFile allattrib
568.  
569.     or:
570.         Device=C:\utils\TbFile.Exe allattrib
571.  
572.  
573.  
574.  
575.  
576.  
577.  
578.  
579.  
580.  
581.  
582.  
583.  
584.  
585.  
586.  
587.  
588.  
589.  
590.  
591.  
592.  
593.  
594.  
595.  
596.  
597.  
598.  
599.  
600.  
601.                                      Page 9
602.  
603.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
604.  
605.  
606. 3.  CONSIDERATIONS AND RECOMMENDATIONS
607.  
608.  
609.   3.1.  Solving incompatibility problems.
610.  
611.     Although TbFile has been designed to cooperate with other resident
612.     software, other software may not have been, causing system errors or
613.     worse.
614.  
615.     The problems most often incurred:
616.  
617.     Problem:
618.         If TbFile tries to display a message, the text 'message file
619.         <filename> could not be opened' appears.
620.  
621.     Solution:
622.         Specify the FULL path and filename of the file that you will
623.         use as message file after the TbDriver invocation. The default
624.         filename is TbDriver.Lng.
625.  
626.     Problem:
627.         You are running a network. TbFile is installed succesfully,
628.         but it does not detect anything anymore.
629.  
630.     Solution:
631.         Use the command 'TbDriver net' after the network has been
632.         loaded.
633.  
634.     Problem:
635.         The system sometimes hangs when you answer 'NO' (do NOT abort
636.         program) to a TbFile message.
637.  
638.     Solution:
639.         Try using StackMan. StackMan is supplied in the TBAV package.
640.  
641.  
642.   3.2.  Reducing the memory requirements.
643.  
644.     Most PC users try to maintain as much free DOS memory as possible.
645.     TbFile is designed to use a very small amount of DOS memory. To
646.     decrease the memory requirements of TbFile even further do the
647.     following:
648.  
649.     -   Load TbFile from within the Config.Sys file. If loaded as a
650.         device driver TbFile has no Program Segment Prefix (PSP),
651.         and that will save 256 bytes.
652.  
653.     -   If you invoke TbFile from within the Autoexec.Bat file do this
654.         before establishing environment variables. DOS maintains a list
655.         of environment variables for every resident program, so keep
656.         this list small while installing TSRs. Once all TSRs have been
657.         installed you can define all environment variables without
658.  
659.  
660.  
661.                                     Page 10
662.  
663.  Thunderbyte file guard. (C) Copyright 1992 Thunderbyte B.V.
664.  
665.  
666.         affecting the memory requirements of the TSRs.
667.  
668.     -   If you have DOS 5 or higher try to load TbFile into an upper
669.         memory block using the "loadhigh" or "devicehigh" commands.
670.  
671.     -   Use one of the processor specific versions of TbFile. They all
672.         consume less memory than the generic version of TbFile.
673.         Processor optimized versions are available on any Thunderbyte
674.         support BBS.
675.  
676.  
677.  
678.  
679.  
680.  
681.  
682.  
683.  
684.  
685.  
686.  
687.  
688.  
689.  
690.  
691.  
692.  
693.  
694.  
695.  
696.  
697.  
698.  
699.  
700.  
701.  
702.  
703.  
704.  
705.  
706.  
707.  
708.  
709.  
710.  
711.  
712.  
713.  
714.  
715.  
716.  
717.  
718.  
719.  
720.  
721.                                     Page 11