home *** CD-ROM | disk | FTP | other *** search
/ Night Owl 6 / Night Owl's Shareware - PDSI-006 - Night Owl Corp (1990).iso / 030a / tbscan31.zip / TBSCAN.HLP < prev    next >
Text File  |  1991-12-12  |  16KB  |  403 lines
  1. TBSCAN.HLP This file will be displayed if using the -help option of TbScan.
  2.  
  3.  This help is very comprehensive and does NOT replace the documentation!
  4.  
  5. Program invokation:
  6.  
  7.  TBSCAN [@][<path>][<filename>]... [<options>]...
  8.  
  9. Example:
  10.  TBSCAN C:\ D:\
  11.  
  12. When no filename has been specified but only a drive and/or path,
  13. then the specified path will be used as top-level path.All its
  14. subdirectories will be processed too.
  15.  
  16. When a filename has been specified then only the specified path
  17. will be searched. Subdirectories will not be processed.
  18.  
  19. Wildcards in the filename are allowed although only executable
  20. files will be processed. If you want the non-executables to be
  21. processed too, then you have to specify the "-analyze" parameter in
  22. combination with the filename. "TBSCAN TEST.DAT" will always cause
  23. that no file will be processed: TEST.DAT is not an executable file.
  24. In this case you have to specify the -analyze parameter.
  25.  
  26. You can also specify a list file to TbScan. A list file is
  27. a file that contains a list of paths/filenames to be scanned.
  28. Preceed the file with the character '@' on the TbScan command line:
  29.  TBSCAN @TBSCAN.LST
  30.  
  31.  
  32. Command line and environment options:
  33.  
  34. -help,-h=help (-? = short help)
  35. -info,-i=display disassembly information
  36. -quick,-q=quick scan
  37. -more,-m=enable "More" prompt
  38. -mutant,-y=enable fuzzy search
  39. -direct,-d=direct calls into DOS/BIOS
  40. -analyze, -a=force analyze/all files
  41. -valid,-u=force authorization
  42. -once,-o=only once a day
  43. -compat,-c=compatibility mode
  44. -nosnow,-t=fast CGA output
  45. -noboot,-s=skip bootsector
  46. -sector,+s=scan all disk sectors
  47. -nomem,-r=don't scan memory
  48. -allmem,+r=scan for all viruses in memory
  49. -hma,+e=scan HMA too
  50. -nohmem,-e=don't scan UMB/HMA
  51. -nosub,-n=don't scan in sub directories
  52. -sub,+n=process sub directories
  53. -noavr,-j=do not search for AVR modules
  54. -del[ete] -z=delete infected files
  55. -batch,-b=don't ask keyboard input
  56. -repeat,-x=scan multiple diskettes
  57. -loginfo, -w=log files with a lowercase warning too
  58. -logall,+w=log all files unconditionally
  59. -log[<filename>],+l [<filename>]=append to log file
  60. -session[<filename>],-l [<filename>]=create session log file
  61. -data<filename>-f <filename>=data file to be used
  62. -ren[ame] [<ext mask>],+z [<ext mask>]=rename infected files
  63.  
  64.  
  65. -info
  66.  
  67. If you are an experienced user we recommend you to use this option.
  68. If you do so, TbScan will display the most important warnings
  69. with the complete pathname of the concerned file in the upper
  70. window.
  71.  
  72. -quick
  73.  
  74. This option enables you to quickly scan the system. It is recommended
  75. to invoke TbScan once a day without this option because this option
  76. does not offer you the highest security. .OVL files and .SYS files
  77. are skipped entirely since it is not likely that these files are
  78. infected, memory scan is skipped, the scan frame is reduced to
  79. 2Kb instead of 4Kb, and TbScan does not fall back to the analyze
  80. routine as often as usual. However, TbScan still detects 95% of the
  81. viruses if this option is specified.
  82.  
  83. -more
  84.  
  85. When you enter the parameter -more TbScan will stop after it has
  86. checked the contents of one display.
  87.  
  88. -mutant
  89.  
  90. If you use the -mutant option TbScan does not restrict itself to the
  91. wildcard specification, but allows up to two extra changes anywhere
  92. in the signature. False alarms may occur. Therefore this option is
  93. not recommended to be used in a normal scan session. However, you
  94. can use this option if you expect the system is infected but TbScan
  95. does not detect a virus. If you scan again and specify the -mutant
  96. option, and TbScan now reports many files to be "possibly infected"
  97. with one virus, it might be possible that the files are infected by
  98. an unknown variant of the virus.
  99.  
  100. -direct
  101.  
  102. If you specify this option TbScan tries to determine the address
  103. of the harddisk BIOS and the DOS kernel and uses that to communicate
  104. directly with the system. Many stealth type viruses will be bypassed
  105. by this. Note that also resident software (like networks) will be
  106. bypassed and it depends on the system whether this option can be
  107. used or not.
  108.  
  109. -analyze
  110.  
  111. Normally TbScan only uses the analysis method when the program to
  112. be checked is too complicated for the builtin interpreter.But
  113. through option -analyze you can force TbScan to use the analysis
  114. or browse method allways. Keep in mind though that the program will
  115. perform more slowly and that false alarms may occur. Therefore it
  116. is recommended to refrain from this option while performing a
  117. normal scan session. Since this option also disables the internal
  118. disassembler of TbScan, most warning marks will not occur, and
  119. the AVR modules will not be executed.
  120.  
  121. If you use the -analyze option in combination with an explicite
  122. filename specification, TbScan scans ALL matching files for ALL
  123. signatures. Needless to say that this combination is NOT
  124. recommended due to its low performance and exessive amount of
  125. false alarms.It is only provided to gain some compatibility with
  126. other scanners.
  127.  
  128. -valid
  129.  
  130. TbScan checks the signature file for modifications.If you change
  131. the contents of that file TbScan will issue a warning.If you
  132. don't want the warning to be displayed, use the -valid option.
  133.  
  134. -once
  135.  
  136. If you specify this option TbScan "remembers" that is has been used
  137. that day, and it will not run anymore a next time on that day if
  138. you specify this option again. This option is very powerfull if you
  139. use it in your autoexec.bat file in combination with a list file
  140. like:TbScan @everyday.lst -once -rename
  141.  
  142. -compat
  143.  
  144. If you specify this option, TbScan tries to behave somewhat more
  145. compatible. Use this option if the program does not behave as
  146. expected or hangs the machine. This option will slow down the scan
  147. process so it should only be used when necessary. Note that this
  148. option does not affect the results of a scan.
  149.  
  150. -nosnow
  151.  
  152. If you use TbScan on a machine with a CGA video system TbScan
  153. avoids the occurence of snow on the sceen. This slows down the scan
  154. process slightly and causes the display to flicker. If your CGA
  155. system does not require special operations to avoid snow you can
  156. specify the -nosnow option, resulting in a flicker-free screen and
  157. an increased scan speed.
  158.  
  159. -noboot
  160.  
  161. If you specify this option TbScan will not scan the bootsector.
  162.  
  163. -sector
  164.  
  165. This option is experimental.This option enables the feature to
  166. scan a disk at sector level.This way you can trace viruses that
  167. reside outside the files and bootsector and difficult stealth
  168. viruses. This option might also tell you that a virus ever
  169. resided on the machine in the past.If this option detects a
  170. signature it does not mean that the virus should be still active.
  171. Even if TbScan deleted the virus this option is still able to
  172. detect the signature for a while.This option is absolutely NOT
  173. recommended for a normal search.
  174.  
  175. -nomem
  176.  
  177. If you specify this option TbScan will not scan the memory of the
  178. PC for viruses.
  179.  
  180. -allmem
  181.  
  182. If you specify this option TbScan will search for all viruses of
  183. the signature file in the memory of your PC, regardless of the
  184. virus type. This option is not recommended since the signature of
  185. most viruses changes when the virus is resident in memory and the
  186. virus will not be found by the file type signature. It may cause a
  187. lot of false alarms and does not detect more viruses. It is provided
  188. to maintain some compatibility with other scanners.
  189.  
  190. -hma
  191.  
  192. Use this option if TbScan does not recognize your HMA driver.
  193.  
  194. -nohmem
  195.  
  196. Use this option if you don't want TbScan to scan upper memory.
  197.  
  198. -nosub
  199.  
  200. TbScan will default search in subdirectories for executable files,
  201. except when a filename (or wildcards) are specified.If you use
  202. this option TbScan will never search in subdirectories.
  203.  
  204. -sub
  205.  
  206. If you use this option TbScan will always search in subdirectories,
  207. even when you specify a filename or wildcards.Only subdirectories
  208. matching the filename mask will be scanned too.
  209.  
  210. -noavr
  211.  
  212. If you specify this option TbScan will not search for AVR modules
  213. (Algorithmic Virus Recognition modules; .AVR files) at startup and
  214. will not perform any algorithmic searches.
  215.  
  216. -delete or -del
  217.  
  218. If TbScan detects a virus in a file it prompts the user to delete
  219. or rename the infected file, or to continue.If you specify the
  220. -delete option, TbScan will not ask the user what to do but it just
  221. deletes the infected file.Use this option only if you already
  222. found out that your system is infected, and if you have a trusted
  223. backup, and want to get rid of all infected files at once.
  224.  
  225. -batch
  226.  
  227. If TbScan detects a file virus it prompts the user to delete or
  228. rename the infected file, or to continue. If you specify the -batch
  229. option TbScan will always continue. This option is intended to be
  230. used in a batch file that would be executed unattended. It is
  231. highly recommended to use a log file in this situation.
  232.  
  233. -repeat
  234.  
  235. The option is very powerfull if you want to check a large amount of
  236. diskettes. TbScan does not return to DOS after checking a disk, but
  237. it waits until you insert another disk in the drive.
  238.  
  239. -log
  240.  
  241. When you use this parameter, TbScan creates a LOG-file.The
  242. default filename is TBSCAN.LOG and it will be created in the current
  243. directory.You may optionally specify a path and filename. If the
  244. log file already exists the information will not be overwritten but
  245. instead appended to the file. If you use this option often it is
  246. recommended to delete or truncate the log file every month to avoid
  247. unlimited growth.
  248.  
  249. -session
  250.  
  251. This option is the same as the -log option, except that if there
  252. already exists a log file the log information will be overwritten
  253. instead of appended. A log file created by the -session option only
  254. contains information of a single scanning session.
  255.  
  256. -loginfo
  257.  
  258. If you use a log file and wants to log files with lowercase
  259. (informative) warnings too you should specify this option.
  260.  
  261. -logall
  262.  
  263. If you use a log file and wants to get all files listed in the log
  264. file unconditionally you can use this option.
  265.  
  266. -data
  267.  
  268. You can override the default path en name of the signature file to
  269. be used by specifying this option.
  270.  
  271. -rename or -ren
  272.  
  273. If TbScan detects a file virus it prompts the user to delete
  274. or rename the infected file, or to continue.If you specify the
  275. -rename option, TbScan will not ask the user what to do but it just
  276. renames the infected file. By default, the first character of the
  277. file's extension will be replace by the character "V". You can also
  278. add a parameter to this option specifying the target extension.The
  279. parameter should always contain 3 characters, question marks are
  280. allowed.The default target extension is "V??".
  281.  
  282.  
  283. The warning marks.
  284.  
  285. 'R'Suspicious relocator.
  286.  
  287. The character 'R' warns for a suspicious relocator. A relocator is
  288. a sequence of instructions that change the proportion of CS:IP. It
  289. is often used by viruses, especially COM type infectors. Those
  290. viruses have to relocate the CS:IP proportion because they are
  291. compiled for a specific location in the executable file, and a
  292. virus that infects another program can almost never use its
  293. original location in the file (it is appended to the file). Normal
  294. programs "know" their location in the executable file, so they
  295. don't have to relocate themselves. On normal systems only a few
  296. percent of the programs should cause this warning to be displayed.
  297. Tests on a large collection of viruses shows that TbScan issues
  298. this warning for about 65% of all viruses. TbScan uses the "analyze"
  299. or "browse" algorithm on programs which contain a suspicious
  300. relocator.
  301.  
  302. 'T'Invalid timestamp.
  303.  
  304. The timestamp of the program is invalid. The seconds of the
  305. timestamp are illegal, or the date is illegal or later than the
  306. year 2000. This is suspicious because many viruses set the
  307. timestamp to an illegal value (like 62 seconds) to mark that they
  308. already infected the file, preventing themselves to infect a file
  309. for a second time.
  310.  
  311. '!'Branch out of code.
  312.  
  313. The program has an entry point that is located outside the file's
  314. body, or a chain of "jumps" traced to a location outside the
  315. program file. The program being checked is probably damaged, and
  316. can not be executed.
  317.  
  318. '#'Decryptor code found.
  319.  
  320. The file possibly contains a self-decryption routine. Some
  321. copy-protected software is encrypted so this warning may appear
  322. for some of your files. But if this warning appears a lot, or in
  323. combination with by example the T-warning, there could be a virus
  324. involved! Many viruses encrypt themself and cause this warning to
  325. be displayed.
  326.  
  327. 'D'Direct disk access.
  328.  
  329. This warning is displayed if the program being processed has
  330. instructions near the entry-point to write to a disk directly. It
  331. is normal that some disk related utilities cause this warning to be
  332. displayed (like Undelete.Exe). As usual, if many of your files
  333. (which have nothing to do with the disk) cause this warning to be
  334. displayed your system might be infected by an unknown virus.
  335.  
  336. 'N'Wrong name extension.
  337.  
  338. Name conflict. The program carries the extension .EXE but appears to
  339. be a .COM file, or it has the extension .COM but the internal layout
  340. of an .EXE file. TbScan scans the file for both EXE and COM type
  341. signatures.
  342.  
  343. 'M'Memory resident code.
  344.  
  345. TbScan has found instruction sequences which could make the program
  346. to remain resident in memory or to hook into important interrupts.
  347. Almost all TSR (Terminate and Stay Resident) programs will trigger
  348. this warning, because hooking into interrupts or remaining
  349. resident belong to their normal behaviour. However if a lot of
  350. normal programs (not intended to be a TSR) have this warning mark
  351. it is suspicious. It is possible that the files are infected by a
  352. virus that remains resident in memory. Note that this warning does
  353. not appear for all TSR-programs, nor does it always mean that when
  354. this warning appears the program is a TSR program.
  355.  
  356. '?'Inconsistent header.
  357.  
  358. The program being processed has an exe-header that does not reflect
  359. the actual program layout. Many viruses do not update the exe-header
  360. of an EXE file correctly after they have infected the file, so if
  361. this warning appears a lot it seems you have a problem. You should
  362. ignore this warning for the DOS SORT.EXE program.
  363.  
  364. 'E'Read or open error.
  365.  
  366. The file could not be opened or read. This can be the result of an
  367. error on the disk(ette), but the file could also be in use by
  368. another task or network user. The file has not been scanned.
  369.  
  370. 'J'Multiple jumps.
  371.  
  372. The program did not start at the program entry point, but the code
  373. has jumped at least two times before reaching the final startup
  374. code. This is rather strange for normal programs. If many files
  375. cause this warning to be displayed you should investigate your
  376. system thorougly.
  377.  
  378. 'p'Packed or compressed file.
  379.  
  380. The program is packed or compressed. This warning is quiet normal.
  381. Consult the manual for more information.
  382.  
  383. 'w'Windows or OS/2 header.
  384.  
  385. The program can be or is intended to be used with Windows (or OS/2).
  386.  
  387. 'h'Hidden or System file.
  388.  
  389. The file has the "Hidden" or the "System" file attribute set. 
  390.  
  391. 'i'Internal overlay.
  392.  
  393. The program being processed has additional data or code behind the
  394. load-module as specified in the exe-header of the file. The
  395. program might have internal overlay(s) or configuration information
  396. appended behind the load-module of the EXE file.
  397.  
  398. 'o'Odd stack pointer.
  399.  
  400. The EXE file being processed has an odd (instead of even) stack
  401. offset. See in the manual how to correct the problem.
  402.  
  403.