home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / tbresc19.zip / TBRESCUE.DOC < prev    next >
Text File  |  1992-05-02  |  37KB  |  1,261 lines

  1.  
  2.  
  3.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  4.  
  5.  
  6.                                Table of Contents
  7.  
  8.     1. COPYRIGHT, LICENCES AND DISCLAIMER................ 2
  9.         1. Copyright..................................... 2
  10.         2. Distribution and usage........................ 2
  11.         3. Disclaimer.................................... 3
  12.         4. Trademarks.................................... 3
  13.         5. Registration.................................. 3
  14.  
  15.     2. INTRODUCTION...................................... 5
  16.         1. Purpose of TbRescue........................... 5
  17.         2. Who are we?................................... 5
  18.  
  19.     3. USAGE OF THE PROGRAM.............................. 7
  20.         1. System requirements........................... 7
  21.         2. Program invokation............................ 7
  22.         3. Command line options.......................... 7
  23.             1. -immunize................................. 7
  24.             2. -store.................................... 8
  25.             3. -compare.................................. 8
  26.             4. -restore.................................. 8
  27.         4. Examples:..................................... 8
  28.         5. Using the anti-virus partition................ 9
  29.  
  30.     4. THE THUNDERBYTE PARTITION CODE................... 11
  31.         1. What is a partition?......................... 11
  32.         2. What is a partition table?................... 11
  33.         3. The partition code........................... 11
  34.  
  35.     5. MISCELLANOUS INFORMATION......................... 14
  36.         1. Exit codes................................... 14
  37.         2. Recommendations.............................. 14
  38.  
  39.     6. OUR OTHER PRODUCTS............................... 15
  40.         1. TbScan....................................... 15
  41.         2. TbScanX...................................... 15
  42.         3. Thunderbyte.................................. 15
  43.  
  44.     7. NAMES AND ADDRESSES.............................. 19
  45.         1. Contacting the author........................ 19
  46.         2. ESaSS........................................ 19
  47.         3. Thunderbyte support BBS's.................... 19
  48.         4. Recommended magazines and organisations...... 19
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.                                      Page i
  62.  
  63.  
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.  
  74.  
  75.  
  76.  
  77.  
  78.  
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114.  
  115.  
  116.  
  117.  
  118.  
  119.  
  120.  
  121.                                      Page 1
  122.  
  123.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  124.  
  125.  
  126. 1.  COPYRIGHT, LICENCES AND DISCLAIMER
  127.  
  128.  
  129.   1.  Copyright
  130.  
  131.     TbRescue is copyright 1989-1992 ESaSS B.V.. All rights reserved.
  132.     The diskettes provided with TbRescue are not copy protected. This
  133.     does not imply that they can be freely copied in unlimited
  134.     quantities.  TbRescue is protected by copyright law, which applies
  135.     to computer software as well.
  136.  
  137.     No part of the printed manual accompanying TbRescue may be
  138.     reproduced, transmitted, transcribed, stored in a retrieval system
  139.     or translated into any language, in any form or by any means,
  140.     without the prior written permission of ESaSS B.V..
  141.  
  142.  
  143.   2.  Distribution and usage
  144.  
  145.     Both TbRescue and the accompanying documentation are SHARE-WARE.
  146.     You are hereby granted a licence by ESaSS to distribute the
  147.     evaluation copy of TbRescue and its documentation, subject to the
  148.     following conditions:
  149.  
  150.     1. The evaluation package of TbRescue may be distributed freely
  151.        without charge in evaluation form only.
  152.  
  153.     2. The evaluation package of TbRescue may not be sold or licensed.
  154.        Neither may a fee be charged for its use. If a fee is charged in
  155.        connection with TbRescue at all, it should only cover the cost of
  156.        copying or distribution. UNDER NO CIRCUMSTANCES should payment of
  157.        such fees be understood to constitute legal ownership.
  158.  
  159.     3. The evaluation package of TbRescue must be presented in its
  160.        complete form. It is not allowed to distribute the program and
  161.        its documentation files separately.
  162.  
  163.     4. Neither TbRescue nor its documentation may be amended or altered
  164.        in any way.
  165.  
  166.     5. By granting you the right to distribute the evaluation copy of
  167.        TbRescue, you do not become the owner of TbRescue in any form.
  168.  
  169.     6. ESaSS accepts no responsibility in case the program malfunctions
  170.        or does not function at all.
  171.  
  172.     7. ESaSS can never be held responsible for damage, directly or
  173.        indirectly resulting from the use of TbRescue.
  174.  
  175.     8. Using TbRescue means that you agree to these conditions.
  176.  
  177.     Any other use, distribution or representation of TbRescue is
  178.  
  179.  
  180.  
  181.                                      Page 2
  182.  
  183.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  184.  
  185.  
  186.     expressly forbidden without the written permission by ESaSS.
  187.  
  188.  
  189.   3.  Disclaimer
  190.  
  191.     Neither ESaSS B.V. nor anyone else who has been involved in the
  192.     creation, production or delivery of TbRescue or this manual grants
  193.     any warranties in respect of the contents of the software or this
  194.     manual and each specifically disclaims any implied warranties of
  195.     merchantability or fitness for any purpose. ESaSS B.V. reserves the
  196.     right to revise the software and the manual and to make changes
  197.     from time to time in the contents without obligation to notify any
  198.     person.
  199.  
  200.  
  201.   4.  Trademarks.
  202.  
  203.     TbRescue, TbScan, TbScanX and Thunderbyte PC Immunizer are
  204.     registered trademarks of ESaSS B.V.. All other product names
  205.     mentioned are ackowledged to be the marks of their producing
  206.     companies.
  207.  
  208.  
  209.   5.  Registration.
  210.  
  211.     THIS IS NOT FREE SOFTWARE! If you paid a "public domain" vendor for
  212.     this program, you paid for the service of copying the program, and
  213.     not for the program itself. Proceeds from such transactions would
  214.     never reach the makers of this product.You may evaluate this
  215.     product, but if you decide to make use of it, you should register
  216.     either TbScan or TbScanX, or obtain a Thunderbyte add-on card.
  217.  
  218.     Hey, what's this? Do I have to register for a different program in
  219.     order to become a legal user of TbRescue?
  220.     Well, TbRescue is just one of our anti-virus products. It is
  221.     included with our Thunderbyte PC immunizer, and it is also supplied
  222.     with the official TbScan(X) shareware diskette.  Since TbScan and
  223.     TbScanX are already available for a low price and include TbRescue,
  224.     a registration for TbRescue as stand alone package would not be
  225.     cheaper than the registration of TbScan or TbScanX. So, by
  226.     registering for TbScan or TbScanX you get your licensed copy of
  227.     TbRescue, and you have TbScan(X) as an additional tool.
  228.  
  229.     To register: fill in the file REGISTER.DOC and return it to us.
  230.  
  231.     We offer several inducements to you for registering. First of all,
  232.     you receive the most up-to-date copy of the program that we have
  233.     (we do update the product on a regular basis). Secondly, you are
  234.     entitled to support for TbRescue, which can be quite valuable at
  235.     times.  In the third place, you will receive the complete
  236.     documentation of this product in print. A "do-it-yourself" update
  237.     service is offered to registered users through our own support BBS.
  238.  
  239.  
  240.  
  241.                                      Page 3
  242.  
  243.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  244.  
  245.  
  246.     And finally, we include an evaluation package of some of our other
  247.     software products, again without copy protection and fully
  248.     oprational.
  249.  
  250.     Once you have become a registered user of TbScan(X) all future
  251.     upgrades will be free.
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268.  
  269.  
  270.  
  271.  
  272.  
  273.  
  274.  
  275.  
  276.  
  277.  
  278.  
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.                                      Page 4
  302.  
  303.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  304.  
  305.  
  306. 2.  INTRODUCTION
  307.  
  308.  
  309.   1.  Purpose of TbRescue
  310.  
  311.     TbRescue has been developed as a tool to have some defence against
  312.     partition table and bootsector viruses.
  313.  
  314.     -   It can save the partition table, bootsector and CMOS data area
  315.         to a file.
  316.  
  317.     -   It can compare and restore the partition table, bootsector and
  318.         CMOS data area after an (virus) accident.
  319.  
  320.     -   It can remove a partition table virus without having to
  321.         low-level format the hard disk, even if there is no backup of
  322.         the partition table.
  323.  
  324.     -   It can create a partition table that has some first line virus
  325.         defence build in.
  326.  
  327.     Unlike most file viruses, partition table viruses are hard to
  328.     remove. The only solution is to low-level format the hard disk and
  329.     to make a new partition table.
  330.  
  331.     TbRescue makes a backup of the partition table and bootsector, and
  332.     this backup can be used to compare and restore the original
  333.     partition table and bootsector once they are infected. You don't
  334.     have to format your disk anymore to get rid of a partition or
  335.     bootsector virus.  The program can also restore the CMOS
  336.     configuration.
  337.  
  338.     If your partition table is damaged and you don't have a backup of
  339.     it, TbRescue will try to create a new partition table, avoiding the
  340.     need of a low-level format.
  341.  
  342.     Another important feature is that you can use TbRescue to replace
  343.     the partition table code by code that is more resistant against
  344.     viruses. The TbRescue partition code will be executed before the
  345.     bootsector gains control, so it is able to check the bootsector in
  346.     a clean environment. Once the bootsector is executed it is
  347.     difficult to check it, because the virus is already resident in
  348.     memory and can fool every protection. Instead of booting from a
  349.     clean DOS diskette just to inspect the bootsector, the TbRescue
  350.     partition code performs a CRC calculation on the bootsector just
  351.     before control is passed to it. If the bootsector has been modified
  352.     the Tbrescue partition code will warn you about this. The TbRescue
  353.     partition code also checks the RAM layout and informs you when it
  354.     is changed. It does this every time you boot from your hard disk.
  355.  
  356.  
  357.   2.  Who are we?
  358.  
  359.  
  360.  
  361.                                      Page 5
  362.  
  363.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  364.  
  365.  
  366.     TbRescue has been developed by Frans Veldman, chief executive of the
  367.     ESaSS company. ESaSS is the company that developed the well-known
  368.     Thunderbyte card, the first hardware PC immunizer, and that has
  369.     gained a great deal of experience with and knowledge of viruses and
  370.     assembler-written system software. Of course, we do have a large
  371.     collection of viruses to test our products on.
  372.  
  373.  
  374.  
  375.  
  376.  
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394.  
  395.  
  396.  
  397.  
  398.  
  399.  
  400.  
  401.  
  402.  
  403.  
  404.  
  405.  
  406.  
  407.  
  408.  
  409.  
  410.  
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.  
  418.  
  419.  
  420.  
  421.                                      Page 6
  422.  
  423.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  424.  
  425.  
  426. 3.  USAGE OF THE PROGRAM
  427.  
  428.  
  429.   1.  System requirements
  430.  
  431.     TbRescue should work on any machine with a working hard disk, and
  432.     with any DOS version.  The program requires only about 64Kb of free
  433.     RAM to execute.
  434.  
  435.  
  436.   2.  Program invokation
  437.  
  438.     The use of the program is very easy: just run TbRescue without
  439.     parameters to get a help screen.
  440.  
  441.     The syntax:
  442.                 TBRESCUE <option> [<filename>]
  443.  
  444.  
  445.   3.  Command line options
  446.  
  447.     It is possible to specify so-called options on the command line.
  448.     TbRescue recognizes option-characters and option-words. The words are
  449.     more easy to remember, and they will be used in this manual for
  450.     convenience.
  451.  
  452.     Available options:
  453.  
  454.     -immunize,  -i = Immunize and clean partition table
  455.     -store,     -s = store disk information into rescue data file
  456.     -compare,   -c = compare disk information to rescue data file
  457.     -restore,   -r = restore disk information from rescue data file
  458.  
  459.     All options accept a parameter specifying the filename of the
  460.     rescue data file.  The default filename is TBRESCUE.DAT and the
  461.     file will be used in the current directory.
  462.  
  463.    1.  -immunize
  464.  
  465.     This is a very powerfull option, it can be used to clean an
  466.     infected partition table if there is no rescue data file, and it
  467.     replaces the existing partition table code by a new partition
  468.     routine that has some virus detection capabilities. The original
  469.     partition code will be saved in a file. You have to run TbRescue
  470.     from a floppy drive or you have to specify the name of the file
  471.     (the specified drive should be a diskette drive) to store the
  472.     original partition code. For more information about the
  473.     new partition code see the next chapter.
  474.  
  475.     If the original partition table is completely damaged and can not
  476.     be used to built a new one, TbRescue will search the entire disk
  477.     for information about the original disk layout. TbRescue will
  478.  
  479.  
  480.  
  481.                                      Page 7
  482.  
  483.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  484.  
  485.  
  486.     also search for TbRescue data files on the hard disk. It is
  487.     however recommended to store the data file on a diskette, but
  488.     it is a good idea to keep a copy of it on the hard disk.
  489.     Just for sure!
  490.  
  491.    2.  -store
  492.  
  493.     This option stores the partition table, bootsector and CMOS data
  494.     area into the rescue data file.  Also some additional information
  495.     will be stored in the file to make sure TbRescue will recognize
  496.     this PC as the owner of the partition table and bootsector. This is
  497.     neccesary because restoring the partition table from another PC to
  498.     your PC will destroy all your data at once!
  499.  
  500.     TbRescue will ask you to enter a meaningfull description of the
  501.     machine. Enter something like "AT 12MHz, 4Mb, room 12, Mr. Smith".
  502.     You do NOT have to remember it, TbRescue will display it on the
  503.     screen when comparing or restoring, but it helps you to verify that
  504.     the data file belongs to the machine.
  505.  
  506.     It is also possible to check the comment from the DOS command
  507.     prompt. Enter:
  508.                 "Type TbRescue.Dat"
  509.     This will show the comment of the TbRescue.Dat file (without any
  510.     other garbage being displayed).
  511.  
  512.    3.  -compare
  513.  
  514.     This option enables you to check that everything is still Ok.  If
  515.     you specify this option TbRescue will compare the information in
  516.     the rescue data file against the partition table, bootsector and
  517.     CMOS data area.  It will also show the comment stored in the data
  518.     file. And of course, if you use this option you will also be sure
  519.     that the rescue data file is still readable...
  520.  
  521.    4.  -restore
  522.  
  523.     This option enables you to restore the partition table, bootsector,
  524.     and CMOS data area. It will ask you to confirm that the data file
  525.     belongs to the current machine. Finally it will restore the
  526.     partition table, bootsector of the partition to be used to boot,
  527.     and the CMOS data area.
  528.  
  529.  
  530.   4.  Examples:
  531.  
  532.         TbRescue -store
  533.  
  534.         TbRescue -store A:TbRescue.Dat
  535.  
  536.         TbRescue -compare A:TbRescue.Dat
  537.  
  538.  
  539.  
  540.  
  541.                                      Page 8
  542.  
  543.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  544.  
  545.  
  546.         TbRescue -restore A:TbRescue.Dat
  547.  
  548.         TbRescue -immunize A:\TbRescue.Org
  549.  
  550.         Type A:TbRescue.Dat
  551.  
  552.  
  553.   5.  Using the anti-virus partition.
  554.  
  555.     If you install the Thunderbyte partition code (TbRescue -mmunize),
  556.     you will see the following while booting a clean system:
  557.  
  558.         Thunderbyte anti-virus partition v1.9 (C) Copyright 1992 ESaSS.
  559.  
  560.         Checking bootsector CRC -> OK!
  561.         Checking available RAM -> OK!
  562.         Checking INT 13h -> OK!
  563.  
  564.     If there is a virus in the bootsector or partition table you will
  565.     see this:
  566.  
  567.         Thunderbyte anti-virus partition v1.9 (C) Copyright 1992 ESaSS.
  568.  
  569.         Checking bootsector CRC -> OK!
  570.         Checking available RAM -> Failed!
  571.  
  572.         System might be infected. Continue? (N/Y)
  573.  
  574.     If your system configuration changes, i.e. you update your DOS
  575.     version, or change the amount of memory, you need to update the
  576.     information stored in the immune partition too. You can do this
  577.     with the command "TbRescue -immunize".
  578.  
  579.     Some other messages that can be displayed are:
  580.  
  581.         Thunderbyte anti-virus partition v1.9 (C) Copyright 1992 ESaSS.
  582.  
  583.         No system.
  584.  
  585.     There was no active partition on the disk. If you have used the DOS
  586.     program FDISK to define a new partition, it is likely that you
  587.     forgot to make one partition "active". Use FDISK to correct the
  588.     problem.
  589.     If this message appears and you did not run a disk partitioner like
  590.     FDISK, the partition table is damaged. Restore the partition code
  591.     with TbRescue, or use FDISK to create a new partition table. The
  592.     latter will wipe out all data on the disk.
  593.     Note that this message is not TbRescue specific, all partition
  594.     table routines contain messages like this. If this message appears
  595.     it is never the fault of TbRescue.
  596.  
  597.         Thunderbyte anti-virus partition v1.9 (C) Copyright 1992 ESaSS.
  598.  
  599.  
  600.  
  601.                                      Page 9
  602.  
  603.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  604.  
  605.  
  606.         Disk error.
  607.  
  608.     The partition code tried to read the bootsector but the BIOS
  609.     returned an error. Probably the disk is defective.
  610.  
  611.  
  612.  
  613.  
  614.  
  615.  
  616.  
  617.  
  618.  
  619.  
  620.  
  621.  
  622.  
  623.  
  624.  
  625.  
  626.  
  627.  
  628.  
  629.  
  630.  
  631.  
  632.  
  633.  
  634.  
  635.  
  636.  
  637.  
  638.  
  639.  
  640.  
  641.  
  642.  
  643.  
  644.  
  645.  
  646.  
  647.  
  648.  
  649.  
  650.  
  651.  
  652.  
  653.  
  654.  
  655.  
  656.  
  657.  
  658.  
  659.  
  660.  
  661.                                     Page 10
  662.  
  663.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  664.  
  665.  
  666. 4.  THE THUNDERBYTE PARTITION CODE.
  667.  
  668.  
  669.   1.  What is a partition?
  670.  
  671.     A partition is a logical drive on a hard disk. One physical hard
  672.     disk can contain mulitple DOS partitions. Every DOS partition has
  673.     its own drive ID (C: D: E:).
  674.  
  675.  
  676.   2.  What is a partition table?
  677.  
  678.     How does the system know about the disk lay-out? How does the
  679.     system know where a partition starts and ends?
  680.     This is defined by the so called partition table. The partition
  681.     table contains the start and end cylinder of every partition. The
  682.     partition table also carries information about the operating system
  683.     of a partition and which partition should be used to boot. The
  684.     partition table is always located at the first sector of the hard
  685.     disk.
  686.  
  687.  
  688.   3.  The partition code
  689.  
  690.     The first sector of the hard disk contains the partition table, but
  691.     it also contains a piece of code. This code will be called by the
  692.     BIOS boot-routine of the machine. It is the first piece of non-BIOS
  693.     code that will be executed. The partition code normally interprets
  694.     the partition table, and determines which partition should be used
  695.     to boot. It reads the bootsector of the bootable partition and
  696.     transfers control to it. The bootsector invokes the DOS hidden
  697.     files and the system fires up.
  698.  
  699.     Since the partition code does not do very much and is a very small
  700.     routine (about 80 bytes) you will never notice that it is there and
  701.     is executed every time you boot.
  702.  
  703.     However, there are some viruses which overwrite the existing
  704.     partition table or bootsector, and while performing the normal boot
  705.     procedure, the code remains resident in memory and infects every
  706.     diskette. When there is a virus in a file, you can easily get rid
  707.     of the virus by deleting the infected file. However, the partition
  708.     table can not be deleted, and the only thing a user can do is to
  709.     low-level format the hard disk and to re-partition it, or to use
  710.     TbRescue (or a similar product) to restore the original partition
  711.     table.
  712.  
  713.     Anyway, it is often difficult to detect a partition or
  714.     bootsector virus, since the virus is already resident in memory
  715.     when DOS and eventually an anti-virus product fires up. Like any
  716.     other memory resident program, a virus can do anything. The virus
  717.     intercepts the BIOS calls, and if an anti-virus product (a scanner
  718.  
  719.  
  720.  
  721.                                     Page 11
  722.  
  723.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  724.  
  725.  
  726.     or checksummer) wants to read the bootsector in order to inspect
  727.     it, the virus intercepts the BIOS request, and supplies the program
  728.     an unaltered copy of the original bootsector stored somewhere on
  729.     the disk, instead of the infected bootsector. This means that a
  730.     well-designed bootsector virus can hide itself completely for
  731.     anti-virus products. To detect the virus, you have to be sure the
  732.     virus is not resident in memory. There are only two possibilities
  733.     to achieve this:
  734.  
  735.     -   By booting from a clean DOS diskette (the virus is not executed
  736.         and not resident in memory and can not prevent the anti-virus
  737.         program to read it)
  738.  
  739.     -   By executing a piece of software that is executed before the
  740.         bootsector gains control. The only software that is executed
  741.         before the bootsector gains control is the machine BIOS and
  742.         additional hardware (like Thunderbyte) and the partition code...
  743.  
  744.     Except for hardware immunizers (like Thunderbyte) only the
  745.     partition code will be executed before the bootsector gains
  746.     control, so only a routine in the partition code can safely check
  747.     the bootsector while booting from the harddisk.
  748.  
  749.     This consideration has lead to the development of the Thunderbyte
  750.     anti-virus partition code. The Thunderbyte anti-virus code performs
  751.     the normal tasks of the partition code, but it also has some
  752.     additional routines, which check the CRC (a sophisticated sort of
  753.     checksum) of the bootsector, the amount of free RAM, and the
  754.     location of the INT 13h handler.
  755.  
  756.     Smart users will have noticed that we changed our subject from
  757.     partition viruses to bootsector viruses. The bootsector can be
  758.     checked for 100% by the partition code, but how about the partition
  759.     code itself? The answer is that it is not possible to check the
  760.     partition code for 100%. This can only be done by hardware like the
  761.     Thunderbyte add-on card. However, we have build-in some additional
  762.     tools to detect partition table viruses. To know how they work
  763.     additional information about partition viruses is required.
  764.  
  765.     A partition virus that wants to hide itself has to remain resident
  766.     in memory and has to intercept all attempts to read the partition
  767.     code. Since the partition code is normally removed from memory as
  768.     soon as DOS fires up, the partition virus has to 1) allocate some
  769.     memory to remain resident. The virus also has to intercept all
  770.     requests to read the partition code in order to hide itself, so it
  771.     has to 2) hook the BIOS INT 13h call. After the virus is memory
  772.     resident, the virus reads the original partition code and transfers
  773.     control to it. For the user nothing has changed...
  774.  
  775.     When installing the Thunderbyte partition code, TbRescue determines
  776.     the amount of RAM at system startup and it calculates the CRC of
  777.     the bootsector of the bootable harddisk partition. Both values are
  778.  
  779.  
  780.  
  781.                                     Page 12
  782.  
  783.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  784.  
  785.  
  786.     stored in the partition code.
  787.  
  788.     If there is a virus in the bootsector the CRC does not match
  789.     anymore, and the partition code will notify this to the user. If
  790.     the partition code has been overwritten by a virus, and the virus
  791.     has installed itself in memory before invoking the Thunderbyte
  792.     partition code, the amount of available RAM has been decreased.
  793.     The Thunderbyte partition code will notify the user from the
  794.     unexepected RAM decrease. Finally, the partition code will check
  795.     whether INT 13h points to ROM or RAM. Usually, the partition code
  796.     is the first piece of software being executed, so INT 13h should
  797.     point to ROM. If it points to RAM it means that another piece of
  798.     software has been executed before the Thunderbyte partition gained
  799.     control, and it is likely that it is a virus. If the virus did not
  800.     hook INT 13h, it would be possible to detect the virus with a
  801.     normal virus scanner or checksummer. Anyway, if INT 13h points to
  802.     RAM, the Thunderbyte partition code will notify this to the user.
  803.  
  804.  
  805.  
  806.  
  807.  
  808.  
  809.  
  810.  
  811.  
  812.  
  813.  
  814.  
  815.  
  816.  
  817.  
  818.  
  819.  
  820.  
  821.  
  822.  
  823.  
  824.  
  825.  
  826.  
  827.  
  828.  
  829.  
  830.  
  831.  
  832.  
  833.  
  834.  
  835.  
  836.  
  837.  
  838.  
  839.  
  840.  
  841.                                     Page 13
  842.  
  843.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  844.  
  845.  
  846. 5.  MISCELLANOUS INFORMATION
  847.  
  848.  
  849.   1.  Exit codes
  850.  
  851.     TbRescue terminates with one of the following exit codes:
  852.         Error level 1 when option -compare fails or an error occurs.
  853.         Error level 0 when everything was okay.
  854.  
  855.  
  856.   2.  Recommendations
  857.  
  858.     Since the PC is completely inaccessable for DOS if the partition
  859.     table gets damaged, it is HIGHLY RECOMMENDED to store both the
  860.     rescue data file and the program TbRescue.Exe itself on a diskette!
  861.     It is not nice if the partition table is destroyed, and the only
  862.     solution to the problem resides on the same inaccessable disk...
  863.  
  864.     If you own more than one PC, create one TbRescue diskette with all
  865.     rescue files of all your PC's on it.  Just execute "TbRescue -store
  866.     a:Tbrescue.<number>" on every PC's.  The nummer specifies the
  867.     number (or even name) of the PC.
  868.  
  869.     Do NOT automatically invoke TbRescue from within the autoexec.bat
  870.     file with the -store option set. If you do this, the data file will
  871.     be overwritten by the virus immediately after the disk gets
  872.     infected. However, if you - for some reason - want to use the
  873.     -store option without being prompted for the comment, use DOS
  874.     redirection to add a standard comment. For example:
  875.         TbRescue -store < A:\Comment.Dat
  876.  
  877.  
  878.  
  879.  
  880.  
  881.  
  882.  
  883.  
  884.  
  885.  
  886.  
  887.  
  888.  
  889.  
  890.  
  891.  
  892.  
  893.  
  894.  
  895.  
  896.  
  897.  
  898.  
  899.  
  900.  
  901.                                     Page 14
  902.  
  903.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  904.  
  905.  
  906. 6.  OUR OTHER PRODUCTS
  907.  
  908.  
  909.   1.  TbScan
  910.  
  911.     TbScan is a virus scanner. A virus scanner is a program that checks
  912.     all files on the specified disks by searching for "signatures" i.e.
  913.     code patterns of known viruses.
  914.  
  915.     TbScan is the fastest scanner available. It is updated very often,
  916.     and is has many interesting features. It is not just a scanner, but
  917.     it also disassembles the programs to be checked, and it is able to
  918.     recognise code to write directly to disk, to make code resident in
  919.     memory, self-decrypting code, etc.
  920.  
  921.     TbScan is available on many BBSses. It is of course also available
  922.     at any Thunderbyte support BBS. At the end of this document you can
  923.     find some phone numbers.
  924.  
  925.  
  926.   2.  TbScanX
  927.  
  928.     Our (shareware) memory resident version of TbScan, called TbScanX,
  929.     is also available. This scanner remains resident in memory and
  930.     automatically scans those files which are being executed, copied,
  931.     de-archived, downloaded, etc.
  932.  
  933.     TbScanX performs even faster than TbScan, and does not require much
  934.     memory. It is even possible to reduce the memory requirements of
  935.     TbScanX to zero (!) as TbScanX can make use of unused parts of your
  936.     video memory.
  937.  
  938.     TbScanX can be downloaded from many BBS systems. Naturally it is
  939.     also available at any Thunderbyte support BBS. At the end of this
  940.     document you will find some relevant phone numbers.
  941.  
  942.  
  943.   3.  Thunderbyte
  944.  
  945.     Thunderbyte was developed to protect Personal Computers against
  946.     computer viruses, Trojan Horses and other such threats to your
  947.     valuable data. It is hardware protection, consisting of an adapter
  948.     card, an installation and configuration program and a clear manual.
  949.     The Thunderbyte add-on card has been designed to protect your
  950.     system against ANY virus attack offering you maximum protection
  951.     now...and in the future. Do note that Thunderbyte does not need to
  952.     know which particular virus is about to harm your system. It
  953.     recognizes virus ACTIVITIES and blocks them before they can affect
  954.     your system.
  955.  
  956.     Our hardware protection offers much greater security than any
  957.     software protection.  Thunderbyte is already active before the
  958.  
  959.  
  960.  
  961.                                     Page 15
  962.  
  963.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  964.  
  965.  
  966.     operating system is loaded, so the computer will be totally
  967.     protected right from the moment you switch on your PC.
  968.  
  969.     Because of the many configuration possibilities and the application
  970.     of intelligent algorithms, the use of Thunderbyte will never become
  971.     a burden: you will hardly notice its presence in an environment
  972.     without any viruses.
  973.  
  974.     Of course Thunderbyte is Windows-compatible and can be used in
  975.     Local Area Networks.
  976.  
  977.     Advantages of our hardware protection:
  978.  
  979.     +   It requires very little (1Kb) RAM
  980.  
  981.     +   The protection is already active before the first boot attempt
  982.         of the PC, thereby preventing boot sector viruses from becoming
  983.         active. Note that software protection cannot protect you
  984.         against boot sector viruses, since such protection will be
  985.         activated AFTER the system boot-up.
  986.  
  987.     +   Direct access to hard disk(s) is no longer possible as the hard
  988.         disk cable passes through Thunderbyte.
  989.  
  990.     +   Thunderbyte will ALWAYS become active, even if your system is
  991.         booting from a diskette.
  992.  
  993.     Thunderbyte offers you many kinds of protection:
  994.  
  995.     +   Protection against loss of data.
  996.  
  997.         Thunderbyte is connected to the hard disk cable on one end and
  998.         to the controller cable on the other. This enables it to
  999.         prevent the hard disk from being accessed directly. The only
  1000.         way to access the drive from the moment of Thunderbyte
  1001.         installation onwards is by using interrupt 13h.
  1002.  
  1003.         In addition Thunderbyte detects all direct disk writes which
  1004.         try to modify or damage your data. It also checks which program
  1005.         is responsible for such harmful instructions. Naturally the
  1006.         operating system itself should be allowed direct disk access
  1007.         which Thunderbyte grants without any interference.
  1008.  
  1009.         Though DOS offers some means of protecting your files against
  1010.         overwriting and modification through the 'read-only' file
  1011.         attribute, this protection can be very easily circumvented by
  1012.         other software. Thunderbyte makes sure that such a file
  1013.         attribute cannot be removed without you being notified. Hence
  1014.         in the precence of Thunderbyte you can REALLY protect your
  1015.         files effectively through the DOS ATTRIB command.
  1016.  
  1017.     +   Protection against infection.
  1018.  
  1019.  
  1020.  
  1021.                                     Page 16
  1022.  
  1023.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  1024.  
  1025.  
  1026.         Thunderbyte protects programs (files with the extensions EXE,
  1027.         COM or SYS) against infection by monitoring all their
  1028.         modifications for any harmful effect they might have. The
  1029.         operation of your system will not be affected by this in any
  1030.         way. Compiling, linking, etc. will not be interfered with. Nor
  1031.         will programs be prevented from storing configuration
  1032.         information internally. Furthermore, Thunderbyte will make sure
  1033.         that once DOS attributes have been set, they will remain set.
  1034.  
  1035.         Attempts to modify the boot sector of the disk are intercepted
  1036.         by Thunderbyte, so the dreaded boot sector viruses will be
  1037.         successfully blocked. Keep in mind that the boot sector can
  1038.         hardly be protected by software. Maximum protection can ONLY be
  1039.         offered by Thunderbyte here as it is already active before the
  1040.         system tries to boot!
  1041.  
  1042.     +   Detection of viruses.
  1043.  
  1044.         Thunderbyte detects virus-specific activities in a number of
  1045.         other ways as well. It notices a virus flagging a file as being
  1046.         infected in order to avoid re-infection. It also notices the
  1047.         suspicious manner in which viruses attempt to reside in memory
  1048.         and the abnormal manipulation of interrupt vectors.
  1049.  
  1050.     +   Password protection.
  1051.  
  1052.         Thunderbyte has the possibility of installing a password.
  1053.         There are two kinds of passwords: one that is always requested
  1054.         or one that you only have to enter when attempts are made to
  1055.         boot from a diskette instead of the hard disk.
  1056.  
  1057.     +   Safety.
  1058.  
  1059.         A lot of attention and care has been devoted to making
  1060.         Thunderbyte impregnable to viruses. The program code of
  1061.         Thunderbyte is located in ROM and there is no way it can be
  1062.         modified there.
  1063.  
  1064.         It is impossible to manipilate and/or modify Thunderbyte's
  1065.         operation through software. All the important settings have to
  1066.         be chosen by means of dipswitches on the adapter card.  And
  1067.         despite all their ill-begotten intelligence, viruses will never
  1068.         be able to turn switches or to influence their read-outs.
  1069.  
  1070.         Viruses that approach the controller of the hard disk directly
  1071.         will have a rude awakening:  Thunderbyte will only allow disk
  1072.         writes when the write or format command has followed its normal
  1073.         (checked) course.
  1074.  
  1075.         We supply our Thunderbyte cards in a number of different
  1076.         internal lay-outs to make sure that knowledge of the internal
  1077.         workings of only one Thunderbyte card is not sufficient to
  1078.  
  1079.  
  1080.  
  1081.                                     Page 17
  1082.  
  1083.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  1084.  
  1085.  
  1086.         devise means of damaging or destroying the protective working
  1087.         of all the others.  Naturally the different Thunderbyte
  1088.         versions are functionally identical to each other.
  1089.  
  1090.         Thunderbyte is continuously checking its own variables with a
  1091.         checksum that is different for each version.  The locations of
  1092.         the memory where the variables are maintained are also
  1093.         different for each version.
  1094.  
  1095.         The particular version of the Thunderbyte card sent to you is
  1096.         selected on a purely random basis.
  1097.  
  1098.  
  1099.     +   Extra possibilities.
  1100.  
  1101.         Thunderbyte offers you some interesting bonuses, like booting
  1102.         from drive B:.
  1103.  
  1104.  
  1105.  
  1106.  
  1107.  
  1108.  
  1109.  
  1110.  
  1111.  
  1112.  
  1113.  
  1114.  
  1115.  
  1116.  
  1117.  
  1118.  
  1119.  
  1120.  
  1121.  
  1122.  
  1123.  
  1124.  
  1125.  
  1126.  
  1127.  
  1128.  
  1129.  
  1130.  
  1131.  
  1132.  
  1133.  
  1134.  
  1135.  
  1136.  
  1137.  
  1138.  
  1139.  
  1140.  
  1141.                                     Page 18
  1142.  
  1143.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  1144.  
  1145.  
  1146. 7.  NAMES AND ADDRESSES
  1147.  
  1148.  
  1149.   1.  Contacting the author.
  1150.  
  1151.     TbScan has been written by Frans Veldman. You can leave messages for
  1152.     him at the Dutch support BBS. Registered users can also phone ESaSS for
  1153.     technical support. To register, see the file REGISTER.DOC.
  1154.  
  1155.  
  1156.   2.  ESaSS
  1157.  
  1158.     For more information about Thunderbyte you can contact:
  1159.  
  1160.     ESaSS B.V.                          Tel:  + 31 - 80 - 787 881
  1161.     P.o. box 1380                       Fax:  + 31 - 80 - 789 186
  1162.     6501 BJ  Nijmegen                   Data: + 31 - 85 - 212 395
  1163.     The Netherlands                         (2:280/200 @fidonet)
  1164.  
  1165.  
  1166.   3.  Thunderbyte support BBS's.
  1167.  
  1168.     TbScan, TbScanX and the signature files (TbVirSig) are available on
  1169.     Thunderbyte support BBS's:
  1170.  
  1171.     Thunderbyte headquarters in the Netherlands:       +31- 85- 212 395
  1172.     (2:280/200 @fidonet)
  1173.  
  1174.     Thunderbyte support Germany (Androtec):            +49- 2381- 461565
  1175.     (2:245/50 @fidonet)
  1176.  
  1177.     Thunderbyte support Italy/S.Marino/Vaticano/Malta: +39- 766- 540 899
  1178.     (2:335/5 @fidonet)
  1179.  
  1180.     Thunderbyte support Sweden (Virus Help Centre):    +46- 26- 275 710
  1181.     (2:205/204 @fidonet, 9:9/0 @virnet)
  1182.  
  1183.     Thunderbyte support Australia (Calmer):            +61- 2- 482- 1716
  1184.  
  1185.  
  1186.     If you are running an electronic mail system, you can also
  1187.     file-request TBSCAN to get the latest version of TBSCAN.EXE,
  1188.     TBRESCUE to get the latest version of TBRESCUE.EXE, TBSCANX to get
  1189.     the resident automatic version of TBSCANX, and VIRUSSIG to obtain a
  1190.     copy of the latest update of the signature file.
  1191.  
  1192.  
  1193.   4.  Recommended magazines and organisations.
  1194.  
  1195.     Virus Bulletin.
  1196.     Virus Bulletin Ltd.
  1197.     21 The Quadrant, Abingdon Science Park, Oxon, OX14 3YS, England.
  1198.  
  1199.  
  1200.  
  1201.                                     Page 19
  1202.  
  1203.  TbRescue anti virus tool v1.9 (C) Copyright 1988-92 ESaSS B.V.
  1204.  
  1205.  
  1206.     Tel. +44-235-555139.
  1207.  
  1208.  
  1209.     National Computer Security Association.
  1210.     227 West Main Street.
  1211.     Mechanicsburg, PA 17055, United States.
  1212.     Tel. +1-717-258-1816
  1213.  
  1214.  
  1215.     Virus News International.
  1216.     Berkley court, Millstreet, Berkhamsted, Hertfordshire, HP4 2HB,
  1217.     England.
  1218.     Tel. +44-442-877877.
  1219.  
  1220.  
  1221.  
  1222.  
  1223.  
  1224.  
  1225.  
  1226.  
  1227.  
  1228.  
  1229.  
  1230.  
  1231.  
  1232.  
  1233.  
  1234.  
  1235.  
  1236.  
  1237.  
  1238.  
  1239.  
  1240.  
  1241.  
  1242.  
  1243.  
  1244.  
  1245.  
  1246.  
  1247.  
  1248.  
  1249.  
  1250.  
  1251.  
  1252.  
  1253.  
  1254.  
  1255.  
  1256.  
  1257.  
  1258.  
  1259.  
  1260.  
  1261.                                     Page 20