home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: Security / Security.zip / fprot312.zip / SCAN.TXT < prev    next >
Text File  |  1998-04-23  |  7KB  |  138 lines
  1.                                Virus scanning
  2.  
  3. The primary scanner in the F-PROT shareware package is a the F-PROT.EXE
  4. DOS program.  We know that many people would prefer a Windows application,
  5. finding it easier to use than an "old-fashioned" DOS program.
  6.  
  7. However, there is one reason why a DOS application is necessary: Consider
  8. what happens if Windows itself gets infected.  In order to run a Windows
  9. anti-virus program, you have to run Windows itself, which means that the
  10. virus would be active in the system, possibly interfering with the scanning
  11. or removal.  If you boot from a clean diskette, the virus will not be
  12. active, but then you have no Windows, so you can only use a DOS application
  13. in that case.
  14.  
  15.                       Scanning with the F-PROT program
  16.  
  17. When you select "Scan" from the main screen, you go to the menu on the
  18. right where you can select where to scan and what to do if a virus is
  19. found.
  20.  
  21. At the top is a large "START" button.  When it is selected, a scan will
  22. start, using the current setup.
  23.  
  24. To change the setup you simply use the arrow keys to move to the option you
  25. want to change and press <ENTER>.  A window will then appear showing the
  26. available possibilities, and you select one of them.
  27.  
  28. The first option, "Search" is used to select where F-PROT should search for
  29. viruses.  The default is "Hard disk", meaning that the entire hard disk(s)
  30. will be scanned for viruses.  The other choice is "User-specified".  You
  31. need to use that if you only want to scan a single directory, or perhaps
  32. just a single file - in that case, just type in the path of what you want
  33. to scan.
  34.  
  35. The second option, "Action" is used to specify what action should be taken
  36. when a virus is found.  The default operation is just to list the names of
  37. any infected files, but F-PROT can also disinfect almost all viruses.  If
  38. you want disinfection, it can either be fully automatic, or F-PROT can
  39. prompt you before it attempts to disinfect any given file. Sometimes
  40. an infection cannot be removed, for example if the virus just overwrites
  41. and destroys any file it infects, or in the case of a "first-generation"
  42. sample.
  43.  
  44. A "first-generation" sample is the author's original copy of the virus,
  45. and can only exist if the file has been obtained directly or indirectly
  46. from him.  Such samples are generally not found in the "real world", only
  47. in large virus collections.
  48.  
  49. In those cases the only effective disinfection is to delete the file.  It
  50. is always safer to delete infected programs than to disinfect, so F-PROT
  51. offers deletion as well - any infected file will first be overwritten
  52. several times (just to make sure) and then deleted.  You can select
  53. automatic deletion or have F-PROT prompt you before it deletes a file. 
  54. Finally, an infected COM/EXE file can be renamed, and given the extension
  55. .VOM or .VXE, so it will not be executed by accident, but you will still have
  56. it around to study.  Infected Word or Excel documents are not renamed as
  57. doing so would not make the viruses any less infectious.
  58.  
  59. The third option, "Files" is used to select which files F-PROT should
  60. scan for viruses. The default is to scan only files with certain
  61. "executable" extensions, such as EXE, COM, SYS, 386, SCR and so on.  In
  62. addition, Word and Excel files having extensions that match DO? and XL?
  63. are scanned as well.
  64.  
  65. If you use Word/Excel and your documents have non-standard extensions, you
  66. need to select "Ignore document extensions".  This will slow the scan
  67. significantly, as every file now has to be checked to see whether it is a
  68. Word/Excel file.
  69.  
  70. Finally, you can select "dumb" scan of all files.  We do not recommend
  71. this except under very special circumstances, such as when scanning a
  72. virus collection where .COM files have been renamed to .VOM.  In general,
  73. selecting this choice will do nothing but waste significant amount of
  74. time.
  75.  
  76. If any of the options are changed from their default values, F-PROT will
  77. ask if the changed values should be saved when you exit from the program.
  78. If so, a file named F-PROT.INI will be created.
  79.  
  80.  
  81.                          Starting the virus scan
  82.  
  83. When you have selected the correct options, you may start the scanning by
  84. selecting "Start" at the top of the menu.
  85.  
  86. The scanning can be aborted at any time simply by pressing the ESC key.
  87.  
  88. When the scanning is finished, a summary is displayed.  If no viruses or
  89. suspicious programs were found, it simply says so, but otherwise a
  90. detailed listing is produced when ENTER is pressed.  This listing can be
  91. saved to a disk or sent to the printer.
  92.  
  93.  
  94.                           A note on disinfection
  95.  
  96. When a file has been disinfected it has usually been restored to its
  97. original state before infection.  In many cases the disinfected program
  98. will have 1-16 additional garbage bytes at the end.  Those bytes are added
  99. by viruses, in order to make the length of the program a multiple of 16
  100. bytes, before infection.  As the number of those extra bytes cannot be
  101. determined, they cannot be removed.  Normally they will not have any effect,
  102. unless the program checks its current length.  In those cases it will
  103. report an incorrect length after disinfection, and will have to be restored
  104. from a backup.
  105.  
  106.                         Skipping the memory scan
  107.  
  108. Normally F-PROT will search the memory for viruses, and refuse to operate
  109. if any virus is found in memory.  However, a false alarm is possible, for
  110. example if an infected file has just been copied, and portions of it are in
  111. an unused disk buffer.  To skip the memory scan, run the program with the
  112. /NOMEM command-line switch.
  113.  
  114.                           Testing the scanner
  115.  
  116. The correct operation of F-PROT can be tested with a special test 
  117. file. This is a dummy file which is detected by F-PROT exactly like 
  118. if it were a virus. This file is known as EICAR Standard Anti-virus
  119. Test file, and it is also detected by several other anti-virus products 
  120. in a similar manner.  (EICAR is the European Institute of Computer
  121. Anti-virus Research).  
  122.  
  123. Naturally, the file is not a virus. When executed, EICAR.COM will
  124. display the text 'EICAR-STANDARD-ANTIVIRUS-TEST-FILE' and exit.
  125.  
  126. We do not include the EICAR test file with the package to avoid alarming
  127. anyone running F-PROT (or any other scanner) on the package, but to create
  128. the EICAR test file, use any text editor to create a file with the
  129. following single line in it:
  130.  
  131. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  132.  
  133. Save the file to any name with COM extension, for example EICAR.COM.
  134. Make sure you save the file in standard MS-DOS ASCII format.  The file
  135. should be 68 bytes long, but might be 70 bytes if the editor puts a
  136. CR/LF at the end.  Now you can use this file to test what happens
  137. when F-PROT encounters a "real" virus.
  138.