home *** CD-ROM | disk | FTP | other *** search
/ Monster Media 1994 #1 / monster.zip / monster / VIRUS / TBAV612.ZIP / NO_VSUM.DOC < prev    next >
Text File  |  1994-03-28  |  3KB  |  48 lines

  1.  
  2. Many people have asked us why TBAV isn't listed in Patricia Hoffman's
  3. VSUM. The reason is that we don't agree about the way the scanner should
  4. be tested.
  5.  
  6. Patricia Hoffman states that we have to implement an option to disable
  7. heuristic analysis completely. Otherwise she will refuse to test TbScan.
  8. She thinks it isn't fair that TbScan detects viruses using heuristic
  9. analysis while other products have to do it without heuristics. She also
  10. told us that she only wants to count results which have been achieved by
  11. using signatures.
  12.  
  13. We view things differently. In our opinion, it is solely up to the
  14. developer of the scanner which method he uses to detect viruses. Whether
  15. he uses signatures, detecting algorithms, or code analyzers simply isn't
  16. your or her business. But Patricia Hoffman requires us to handicap our
  17. product, by implementing a switch to disable heuristics. For you, the
  18. end-user, such an option to suppress the detection of something that is
  19. obviously a virus wouldn't make sense at all.
  20.  
  21. TbScan uses four methods to detect viruses (if we do not count CRC
  22. checking). The four methods are:
  23.  
  24. -   Signature searching (for 'standard' viruses)
  25. -   Specific algorithmic detection (for complex polymorphic viruses)
  26. -   Generic algorithmic detection (for the 'Trivial' family of viruses).
  27. -   Heuristic analysis. (to detect trivial and unknown viruses).
  28.  
  29. Another method, NOT used by TbScan, is the detection of new viruses by
  30. searching for some very generic signatures, also a type of heuristics.
  31. According to Patricia Hoffman, this is allowed, since it makes use of
  32. signatures. We can of course explain to Patricia Hoffman that our
  33. heuristics actually consists of the detection of many one-byte
  34. signatures, but it simply isn't her business, and we don't want to have
  35. to discuss and defend our product just to get it tested anyway.
  36.  
  37. It isn't clear to us why methods 1,2, and 3 are allowed, while we have to
  38. disable method 4. Is it because we have the only products which uses
  39. some degree of heuristics by default? Who was the first one who used
  40. specific algorithmic detection to detect the 'Washburn' related viruses?
  41. Did he also have to disable this because it wasn't fair that the other
  42. ones were not yet able to implement algorithmic detection?
  43.  
  44. Anyway, we have not been able to convince Patricia Hoffman that she
  45. should test a product 'as is'. If you want to see our product tested
  46. in VSUM, feel free to send a complaint to Patricia Hoffman.
  47.  
  48.