home *** CD-ROM | disk | FTP | other *** search
/ Software Vault: The Diamond Collection / The Diamond Collection (Software Vault)(Digital Impact).ISO / cdr35 / cm8105b.zip / MANUAL.TXT < prev    next >
Text File  |  1995-02-06  |  16KB  |  452 lines
  1.                                 Page 1                                                          Page 1
  2. ___________________________________________________________________________
  3.  
  4.  
  5.  
  6.              ChekMate Known\Unknown Virus
  7.  
  8.               Detection Utility
  9.  
  10.  
  11.  
  12.  
  13.      Copyright (c) 1994,1995 by Martin Overton.  All rights reserved.
  14.  
  15.  
  16.  
  17.     Written by:                 Internet:
  18.  
  19.     Martin Overton,             <Martin@salig.demon.co.uk>
  20.     8 Owl Beech Place,          <gbsalmgo@ibmmail.com>
  21.     Horsham,
  22.     West Sussex,
  23.     RH13 6PQ,
  24.     UNITED KINGDOM
  25.  
  26.     +44 (1403)-241376
  27.  
  28.  
  29.  
  30.  
  31.   THE INFORMATION  AND CODE  PROVIDED IS PROVIDED AS IS WITHOUT WARRANTY
  32.   OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO
  33.   THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR 
  34.   PURPOSE.  IN  NO  EVENT SHALL MARTIN OVERTON BE LIABLE FOR ANY DAMAGES
  35.   WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL, LOSS 
  36.   OF BUSINESS PROFITS OR SPECIAL DAMAGES. 
  37.  
  38.    _____________________________________________________________________
  39.  
  40.     This  program  executable, bait  files  and  related files  may be     
  41.     distributed freely as long as  no money is charged for the program  
  42.     itself or  any of its components. This program MUST be distributed  
  43.     as  a  whole  with  its   associated  files   and  this  document.            
  44.     This version of  ChekMate  may not be distributed as a part of any   
  45.     commercial package  without prior written agreement of the author.   
  46.    _____________________________________________________________________
  47.  
  48.   This program was developed entirely using personal time and personal 
  49.   resources. 
  50.   
  51.   It is fully functional and there are no 'nag' screens or crippled
  52.   functions. 
  53.   
  54.   It has been tested on many different PCs and DOS versions with no 
  55.   problems encountered.
  56.  
  57.   This program has no connection with ,or is endorsed by my employers. 
  58.  
  59.                                 Page 2
  60. ___________________________________________________________________________
  61.  
  62. License:
  63. _______
  64.  
  65.  ChekMate is hereby released under the Shareware concept.
  66.  
  67.  For personal/home use ChekMate is FREE. (Same as F-Prot by FRISK)
  68.  
  69.  Companies or other institutions using ChekMate or interested in a
  70.  site license MUST contact the author to arrange a SITE license.
  71.  
  72.  The author retains the copyright of ChekMate and all of its 
  73.  components.
  74.       
  75.  ChekMate or any of its components may not be used as part of any 
  76.  other package unless written agreement is obtained from the author.
  77.  
  78.  ChekMate must not be modified in any way.
  79.  
  80.  
  81.  
  82. Thanks:   
  83. ______ 
  84.  
  85.  Thanks to Philip Tong for early Beta testing and a copy of the then
  86.  unknown 'Dalian_China' or 'Gene_1991' (name still not agreed by CARO)
  87.  virus which ChekMate captured.
  88.  
  89.  Thanks also go to Stephan Loescher for his suggestions for improve-
  90.  ments and constructive feedback.
  91.  
  92.  
  93. Requirements:
  94. ____________
  95.  
  96.  ChekMate requires you to have an IBM PC Compatible running DOS 3.3
  97.  or later and at least 128Kb of memory and a Hard Disk.
  98.  
  99.  DEBUG must also be on your PC in your Path.
  100.      
  101.  
  102.    
  103. What is ChekMate:
  104. ________________     
  105.  
  106.  ChekMate is a DOS based virus detection utility written
  107.  originally for my own purposes. Other people have seen and
  108.  /or used ChekMate and suggested that I release it as a virus
  109.  detection tool. 
  110.       
  111.  So here it is!
  112.       
  113.  ChekMate was written to detect new and known file, boot and 
  114.  partition table viruses. It should be used alongside a good
  115.  quality virus scanner.  It is NOT a substitute for a virus
  116.  scanner.
  117.  
  118.  It will detect most file infector, boot sector or partition
  119.  table viruses. It will also detect many memory resident viruses.
  120.  
  121.                                 Page 3                                                                Page 3
  122. ___________________________________________________________________________
  123.  
  124. Why was ChekMate Written:
  125. ________________________
  126.  
  127.  I frequently receive suspect files from people throughout the
  128.  world that believe, either rightly or wrongly,they are infected
  129.  with a new/unkown or known virus.
  130.  
  131.  I needed a way to confirm that the file/disk was indeed infected.
  132.  My first step was to scan it for known viruses, if that did not
  133.  detect a known virus then the infected file/disk was run on a 
  134.  'sheep-dip' PC and ChekMate was then used to tempt the virus into
  135.  infecting one or more of the bait files or the Boot sector or
  136.  Partition Table.
  137.  
  138.  In all cases the virus was caught by ChekMate. Either by infecting
  139.  one or more of the BAIT files or the Boot Sector or Partition 
  140.  Table.
  141.       
  142.  Many people do not perform a daily scan of their PC, because it 
  143.  takes too long (3-20 Minutes). ChekMate takes under 20 seconds to 
  144.  run, even on 80286 based systems.
  145.       
  146.  
  147. How ChekMate Works:
  148. __________________
  149.  
  150.  Every time ChekMate is run, it will first test the DOS memory
  151.  for modifications (unless you disable this test, see below).
  152.  
  153.  ChekMate, when run for the first time will create a series of
  154.  Finger-Print (.CHK) files of the following:
  155.  
  156.       COMMAND.COM  or alternate command processor.
  157.       CHEKMATE.EXE
  158.       THE BOOT SECTOR(s)
  159.       THE PARTITION TABLE
  160.       101.COM
  161.       1001.COM
  162.       1001.EXE
  163.       4001.COM
  164.       4001.EXE
  165.  
  166.  Any other time that ChekMate is run it will match the Finger-
  167.  Print files with the actual files or image files taken at runtime.
  168.  
  169.  These Finger-Print (.CHK) files are not CRC's (Checksums, as these 
  170.  are easily fooled by some viruses) but are actual code fragments of 
  171.  the start and in some cases the end of the file or area.
  172.  
  173.  If these Finger-Print files do NOT match the runtime images, then
  174.  you will be warned that one or more of the files/areas have been
  175.  changed. The actual area/file name will be displayed.
  176.  
  177.  If a change is detected then ChekMate will return to DOS without 
  178.  checking any other files/areas for modifications.
  179.  
  180.  Most viruses change executable code at the begining and/or end of 
  181.  a file or area. ChekMate checks for this sort of modification.
  182.  
  183.                                 Page 4
  184. __________________________________________________________________________
  185.  
  186. Installation:
  187. ____________
  188.  
  189.  Copy all the files to a floppy disk and write protect it. This disk can 
  190.  then be used in the event of a virus outbreak to replace infected 
  191.  ChekMate files. Also copy the .CHK files after ChekMate is run for the
  192.  first time.
  193.       
  194.  Before installation, ensure that the Validation information is correct.
  195.  
  196.  The Validation information was generated by Validate 2.00 from McAfee
  197.  
  198.  CHEKMATE EXE     45514  02-06-95   1:05a   E88B   EC25
  199.  CHEKMATE CHK       128  02-06-95   1:05a   A78B   012B
  200.  CHEKMATE PIF       545  02-06-95   1:05a   1A34   D81B
  201.  GETPART  EXE     11485  02-06-95   1:05a   B222   8409
  202.  101      COM       101  02-06-95   1:05a   1582   7D78
  203.  1001     COM      1001  02-06-95   1:05a   19A5   437A
  204.  4001     COM      4001  02-06-95   1:05a   20D4   BE3C
  205.  1001     EXE      1001  02-06-95   1:05a   813D   CB55
  206.  4001     EXE      4001  02-06-95   1:05a   1950   43F1
  207.  FILECHK1 CHK       160  02-06-95   1:05a   6D3D   CB79
  208.  FILECHK2 CHK       160  02-06-95   1:05a   18DF   75F2
  209.  
  210.  If these value do NOT match the files included with this 
  211.  document then please inform me and do not run them.
  212.  
  213. 1.
  214.  
  215.  Create a directory for this program and copy the files listed 
  216.  below to that directory: 
  217.  
  218.  CHEKMATE.EXE    ->       The Main Program File
  219.  CHEKMATE.ICO    ->       Windows Icon File for ChekMate
  220.  CHEKMATE.PIF    ->       Windows PIF File for ChekMate
  221.  CHEKMATE.CHK    ->       ChekMate Finger-Print file 
  222.  GETPART.EXE     ->       Takes a Snap-Shot of the PARTITION TABLE
  223.  FILELIST.INI    ->       Program INI File (See Later)
  224.  FILECHK1.CHK    ->       Bait files Finger-Print file (Start of Files)
  225.  FILECHK2.CHK    ->       Bait files Finger-Print file (End of Files) 
  226.  101.COM          \
  227.  1001.COM           \         
  228.  1001.EXE        - - ->   Bait files
  229.  4001.COM           /
  230.  4001.COM         /
  231.  
  232.       
  233.  (Bait files are simple files that display a message and return to 
  234.  DOS, they act as a decoy to tempt a virus into infecting it.
  235.  They have no other purpose and DO NOT execute any other code or files.)
  236.  
  237.  The BAIT files can be replaced with your own versions of BAIT or 
  238.  any other executable file if you so wish.
  239.       
  240.  BUT, don't forget to edit the FILELIST.INI file if you do that.
  241.  
  242.                                 Page 5
  243. ___________________________________________________________________________
  244.  
  245. 2.
  246.  
  247. a.If you want to run ChekMate from Windows then:
  248.  
  249.   Use the 'File' 'New' menu option in Program Manager to create
  250.   an entry for this program. (PIF file supplied.)
  251.  
  252.   Edit the .PIF file to reflect the correct run-time directory.
  253.  
  254.  
  255. b.If you are running it from DOS then: 
  256.       
  257.   Add it to your AUTOEXEC.BAT, either add the line below:
  258.  
  259.   C:\<Directory_Name>\CHEKMATE.EXE
  260.   
  261.   Also ensure that the FILELIST.INI is in the ROOT directory '\'.
  262.  
  263.       OR
  264.  
  265.   Create a batch file that contains the following lines:
  266.  
  267.   CD\<Directory_Name>
  268.   CHEKMATE.EXE
  269.   CD\
  270.  
  271.   <Directory_Name> should be the directory where you placed ChekMate
  272.   eg. C:\WINDOWS\CHEKMATE
  273.  
  274. c.Edit the FILELIST.INI file (Shown Below) if required:
  275.   +---------------------+---------------------------------------------+ 
  276.   | Example File        |  What each line is/means                    |
  277.   +---------------------+---------------------------------------------+
  278.   | C:\BAIT             | The Directory That ChekMate is Installed in |
  279.  *| C:\COMMAND.COM      | Path & Name of Command Processor in use.    |
  280.  !| 1                   | Number of drives (Physical or Logical)      |                                      |
  281.  #| 640                 | The BASE DOS Memory as reported by MEM /C   |
  282.   | 101.COM,101         | 101  Byte .COM Bait file, Size in bytes     |
  283.   | 1001.COM,1001       | 1001 Byte .COM Bait file, Size in bytes     |
  284.   | 4001.COM,4001       | 4001 Byte .COM Bait file, Size in bytes     |
  285.   | 1001.EXE,1001       | 1001 Byte .EXE Bait file, Size in bytes     |
  286.   | 4001.EXE,4001       | 4001 Byte .EXE Bait file, Size in bytes     |
  287.   +---------------------+---------------------------------------------+
  288.    This file MUST exist and the contents MUST be correct or ChekMate
  289.    will NOT work correctly.
  290.  
  291.  * The command processor may not be COMMAND.COM, 4DOS & NDOS are also
  292.    supported as common replacements for COMMAND.COM.
  293.    See your COMSPEC setting for the 'active' command processor and
  294.    the correct path. Type 'SET' at the DOS prompt to view COMSPEC.
  295.     
  296.  ! ChekMate will handle up to drive F: (The FILELIST.INI entry 
  297.    would then need to be 4)
  298.  
  299.  # This is usualy 640Kb (655,360 Bytes), Some systems may report
  300.    639Kb due to HD controllers 'borrowing' 1Kb for their own purposes.
  301.    
  302.    If this causes problems or you run ChekMate under OS/2, you can disable
  303.    this test by setting this value to 0 (Zero).
  304.  
  305.                                 Page 6
  306. ___________________________________________________________________________
  307.  
  308. Dos ERRORLEVEL Returns:
  309. ______________________
  310.  
  311.  The following errorlevel values are returned when ChekMate 
  312.  exits back to DOS.
  313.  
  314.  0 = No modifications detected
  315.  1 = COMMAND.COM (or other COMMAND processor) appears to have been changed
  316.  2 = ChekMate.EXE appears to have been changed
  317.  3 = The BOOT SECTOR appears to have been changed
  318.  4 = The PARTITION TABLE appears to have been changed
  319.  5 = One or more of the BAIT files appear to have been changed
  320.  6 = The DOS BASE Memory amount appear to have been changed
  321.  
  322.  Q. What can you do with this information?
  323.  
  324.  A. You can use the errorlevels returned in a batch file
  325.     to automatically run your favourite virus scanner when
  326.     ChekMate detects a modification to your system.
  327.  
  328.     e.g. CHECK.BAT
  329.  
  330.     @ECHO OFF
  331.     CLS
  332.     CHEKMATE.EXE
  333.     IF NOT ERRORLEVEL 1 GOTO :End
  334.     :Ooops!
  335.     C:\SCANNER\F-PROT.EXE C:
  336.     :End
  337.  
  338.     The batch file above will only run your virus scanner if the
  339.     errorlevel returned from ChekMate is greater than or equal to 
  340.     one. If zero (All OK) then don't run the virus scanner.
  341.  
  342.  
  343. Help/Command Line Switches:
  344. __________________________
  345.  
  346.  To get help, run: 
  347.      
  348.  CHEKMATE.EXE /H
  349.      or
  350.  CHEKMATE.EXE /?
  351.  
  352.  Other command line switches:
  353.  
  354.  /CREATE                    Creates a 'new' set of Finger-Print files.
  355.                 Usualy only used after DOS upgrade or 
  356.                 after cleaning up after a virus attack.
  357.  
  358.  /NOEXPOSE                  Used to only check Finger-Print files 
  359.                 against original files/area. Does NOT 
  360.                 execute BAIT files.
  361.                 Mainly used if you substitute the BAIT 
  362.                 files for other executable program files.
  363.  
  364.  /MONO                      Force ChekMate to run in Monochrome mode.
  365.                 (ChekMate will detect many MONO video cards
  366.                 automatically.)
  367.  
  368.                                 Page 7
  369. ___________________________________________________________________________
  370.  
  371.  
  372. Known problems/limitations:
  373. __________________________
  374.  
  375. 1) May not detect Companion viruses very quickly. But as soon as 
  376.    one of the bait files are infected it will alert you. A companion 
  377.    virus is very easy to spot as it makes a 'Companion' .COM file 
  378.    for ANY .EXE file on the infected system.
  379.   
  380. 2) May not detect direct action non-TSR viruses very quickly. 
  381.    Most new viruses are TSR (memory resident) variants.
  382.  
  383.    The best way to test 'suspect' files is to place them in the same
  384.    directory as ChekMate, Virus Scan them and if they are not reported
  385.    as infected, then run them from there. Then run ChekMate.
  386.  
  387.        **** REMEMBER TO BACKUP YOUR SYSTEM FIRST ****
  388.   
  389. 3) Link viruses, such are DIR II may not be detected as no executable
  390.    code is changed.
  391.  
  392. Latest Version:
  393. ______________
  394.  
  395.  The latest version of this application should always be available
  396.  from the site that you originally obtained it. The main site is the
  397.  SimTel archives or one of the mirror sites. 
  398.    
  399.  Source code is only available to companies interested in developing 
  400.  a comercial version of ChekMate or program based on ChekMate.
  401.  
  402.  Source code will also be made available to companies who wish to 
  403.  have a customised version written. Contact the author to discuss.
  404.  
  405.                                 Page 8
  406. ___________________________________________________________________________
  407.  
  408.  
  409. Bug reports, suggestions, etc...
  410. ________________________________
  411.  
  412.  If you catch a virus with ChekMate in one of the Bait files, then 
  413.  please send me a copy for analysis. I will send a reply to anyone 
  414.  who sends me such a file. If possible I will send a search string to 
  415.  correctly identify the new virus to aid removal.
  416.  
  417.  Mail files to the E-Mail or Postal address at the top of this document.
  418.  (If you e-mail the file(s) then please use UUENCODE or MIME.)
  419.  
  420.  Send all bug reports, suggestions, etc to  the E-Mail or Postal address
  421.  at the top of this document.
  422.   
  423.  If you like this program, let other people know about it!
  424.  Post your comments in comp.virus or anywhere else that is relevant.  
  425.  
  426.  If you contact me to let me know you are using ChekMate I will send 
  427.  you a Windows Write formatted version of this manual. It will
  428.  contain more information about ChekMate and removing viruses. 
  429.  
  430.  You will also be informed when new versions are released.
  431.  
  432.  Let people know about it!
  433.  
  434.  If you use and/or like ChekMate, then please drop me a line to 
  435.  let me know that you are using it. This will allow me to know the 
  436.  future development requirements.
  437.  
  438.  If you have tested ChekMate against any viruses then please let me know
  439.  the outcome of these tests, whether the results are good or bad. For
  440.  details of viruses that ChekMate has been tested against, please see
  441.  the file enclosed in this ZIP file, TESTS.TXT.
  442.  
  443. !!! STOP PRESS !!!
  444. __________________
  445.  
  446.  If enough interest is shown, then a Windows version will be written.
  447.  So, if you want a Windows version, then let me know, NOW!
  448.  
  449. ___________________________________________________________________________
  450.  
  451. *** END OF DOCUMENT ***
  452.