home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.22 < prev    next >
Text File  |  1995-01-03  |  2KB  |  55 lines
  1. VIRUS-L Digest              Monday, 23 Jan 1989         Volume 2 : Issue 22
  2.  
  3. Today's Topics:
  4. re: PC Viruses
  5.  
  6. ---------------------------------------------------------------------------
  7.  
  8. Date:        23 January 1989, 09:20:53 EST
  9. From:        David M. Chess  <CHESS@YKTVMV.BITNET>
  10. Subject:     re: PC Viruses
  11.  
  12. In VIRUS-L v2n20, Otto Stolz <RZOTTO@DKNKURZ1.BITNET> writes
  13. a number of things, including:
  14.  
  15. > First Main Proposition of Virus Hunting: Every program designed to
  16. > catch viruses can be circumvented by virus-writers who know its
  17. > principles of operation.
  18. >                           ...
  19. >                                 The best option you have: To detect
  20. > COM- and EXE-viruses, write your own program to compute some signature
  21. > value from all bytes in a file and compare it with a value obtained
  22. > earlier in the same way.  Lock away the source of your program and
  23. > every hints on its algorithm in a safe place, and apply it regularly
  24. > to every program file you use (including itself).
  25.  
  26. While I agree with pretty much everything -else- Otto writes, I think
  27. these statements are perhaps a bit too strong.  Consider, for instance,
  28. a modification-detection program that works using a nice long CRC
  29. (at least 30 bits), and that uses a "user-selectable" polynomial
  30. (for instance, the program might prompt the user for a long string
  31. when it's first run, and use that to find an irreducible polynomial).
  32. If the program and the database are kept on external media (in a floppy
  33. in a locked desk drawer, for instance), and the polynomial key is
  34. also external (in the user's head, or on that locked floppy), AND
  35. the program is run only after cold-booting the maching from a trusted
  36. IPL floppy (perhaps the same one again), so that the checking program,
  37. key, and database are never in the machine at the same time as a virus,
  38. I think I would claim that knowing all about the checking program,
  39. including having the commented source code, would do the virus-writer
  40. NO GOOD AT ALL in trying to defeat it (as long as the user's secret
  41. key isn't known, of course).  That's just because it's not possible
  42. to make a probably-undetected change to a dataset if you don't know
  43. the polynomial used for detection (and if the CRC uses enough bits).
  44.  
  45. Objections?
  46.  
  47. DC
  48. Watson Research
  49.  
  50. ------------------------------
  51.  
  52. End of VIRUS-L Digest
  53. *********************
  54. Downloaded From P-80 International Information Systems 304-744-2253
  55.