home *** CD-ROM | disk | FTP | other *** search
/ Shareware 1 2 the Maxx / sw_1.zip / sw_1 / VIRUS / FIXUTIL3.ZIP / CHK.DOC next >
Text File  |  1992-02-26  |  5KB  |  93 lines

  1.             CHKMEM & CHKBOOT
  2.  
  3. The CHK programs, CHKBOOT and CHKMEM are part of a suite of programs
  4. which I have developed as personal tools for the investigation of
  5. viruses. For some reason (possibly laziness) I have become something
  6. of a specialist in Master Boot Record and Dos Boot Record infections.
  7.  
  8. Each carries its own documentation internally. To read, for CHKMEM 
  9. simply TYPE the progran (e.g. TYPE CHKBOOT.COM), for CHKBOOT, invocation
  10. without a drive letter (e.g. CHKBOOT) will provide help.
  11.  
  12. With the current rise in number and prevalence of such infections - in
  13. particular the destructive MICHELANGELO, I am releasing these programs,
  14. as FREEWARE to the general public so long as they are not changed in any
  15. way, and in particular so long as the ASCII notices remain intact and are
  16. displayed.
  17.  
  18. Like any personal tool, I can make no guarentee as to the fitness for
  19. any use but they have proven effective for me. They are not 100% effective
  20. against any and all viruses but CHKMEM will find all of the MBR infectors
  21. and quite a few of the file infectors that go resident in the "upper 640".
  22. MICHELANGELO in particular will return a total memory value that is 2k
  23. lower than expected (most 640k machines should return A000 seg 640k 655,360
  24. bytes when clean) when resident as will STONED and most of its varients.
  25.  
  26. If DOS 4.x is in use, this return may be 1k lower - 9FC0 seg - and certain
  27. COMPAQ and other machines with dedicated mouse buffers may do so also as
  28. will most BIOS-beginning security program such as my DiskSecure program.
  29. Be aware that such a memory loss may be normal but any should be 
  30. investigated to determine what the cause is. If you have a low value and
  31. are in doubt, one test would be to boot from a known, clean, write-protected
  32. floppy and see if the values are the same. Note that the lower two values
  33. will change depending on what TSRs are loaded but their sum should remain
  34. the same.
  35.  
  36. The best use of CHKMEM is before a virus strikes to record "clean" values.
  37. This way and differences will be redily noticable.
  38.  
  39. CHKBOOT simply checks the boot record of floppy and fixed disks for 
  40. adherance to certain rules. Note that STONED and MICHELANGELO will not
  41. be detectable on fixed disks this way since they are MBR not DOS Boot
  42. Record infectors. CHKBOOT will detect these infections (and others) very
  43. effectively on floppies. Also please note that it will not detect certain 
  44. viruses that "play by the rules" on floppy disks but I have seen very few 
  45. of these. Again be aware that some security products maintenance disks
  46. (e.g. my DiskSecure again) may also violate these rules so if a disk is
  47. flagged as infected, be aware that there is a small chance that it may
  48. be a valid disk. It is also possible that some disk formatting routines
  49. may legitemately violate my somewhat arbritrary rules. If so, I would
  50. like to know about it.
  51.  
  52. Since some "stealth" viruses may return correct values to CHKBOOT, it
  53. is recommended that CHKMEM be run first unless the system is known to
  54. be clean. Those "stealth" MBR infections that I have observed are detectable
  55. with CHKMEM when resident.
  56.  
  57. Just to make things a bit more difficult for would-be virus-writers, the
  58. rules these publicly-released versions use are slightly different than
  59. those in my personal toolkit but are designed to be just as effective
  60. at finding viruses.
  61.  
  62. Note: while these programs are designed to provide indication that a virus 
  63. such as STONED or MICHELANGELO is present, they do nothing to remove such 
  64. viruses, the proper treatment will depend on the virus encountered. For
  65. protection, please see my FREEWARE programs SafeMBR and NoFBoot.
  66.  
  67. RETURNS: While these programs were originally designed for manual use,
  68.     errorlevel returns have been added for use in batch files (CHKBOOT
  69.         should only be used this way on fixed disks) or from Network
  70.         servers. Returns will be 0 for valid termination and 1 or 2 for 
  71.         suspect termination.
  72.       
  73.                 Padgett Peterson
  74.                 Orlando, Florida, USA
  75.                 18 January, 1992
  76.                 Internet: padgett%tccslr.dnet@mmc.com
  77.  
  78. VALIDATE (C) Mcafee Associates values
  79.  
  80.           File Name:  chkmem.com
  81.                Size:  1,584
  82.                Date:  2-25-1992
  83. File Authentication:
  84.      Check Method 1 - 0E1E
  85.      Check Method 2 - 1974
  86.  
  87.           File Name:  chkboot.exe  v1.3d - fix ZDS (Zenith) conflict
  88.                Size:  1,357
  89.                Date:  1-28-1992
  90. File Authentication:
  91.      Check Method 1 - 756D
  92.      Check Method 2 - 0B86
  93.