home *** CD-ROM | disk | FTP | other *** search
/ Shareware Overload / ShartewareOverload.cdr / virus / expel.zip / EXPEL.DOC < prev    next >
Text File  |  1989-11-27  |  39KB  |  1,117 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.                        ------------------------------------
  9.                                     E X P E L
  10.                                    Version 1.0
  11.                               A virus control device
  12.                        ------------------------------------
  13.  
  14.                               U S E R    M A N U A L
  15.  
  16.                        ------------------------------------
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.                          Toltech, PO Box 68, St Lambert
  57.                               QC, Canada, J4P 3N4
  58.  
  59.  
  60.                Copyright (c) 1989 by Toltech, All rights reserved
  61.  
  62.  
  63.  
  64.  
  65.  
  66.                                 -  CONTENTS  -
  67.  
  68.                                                                    Page
  69.  
  70.       1.0  GENERAL INFORMATION ....................................  1
  71.  
  72.           1.1  Foreword ...........................................  1
  73.           1.2  Why Shareware? .....................................  1
  74.           1.3  Registration .......................................  1
  75.           1.4  Order Form ......................................... 1-2
  76.           1.5  Warranty ...........................................  3 
  77.  
  78.       2.0  INTRODUCTION ...........................................  4
  79.  
  80.           2.1  Virus background ...................................  4
  81.             2.1.1  Biological viruses .............................  4
  82.             2.1.2  Computer viruses ...............................  4
  83.           2.2  Program overview ...................................  5
  84.             2.2.1  Initial infection prevention ...................  5
  85.             2.2.2  Virus detection and elimination ................  6
  86.               2.2.2.1  Detection ..................................  6
  87.               2.2.2.2  Elimination ................................  7
  88.             2.2.3  Activation prevention ..........................  7
  89.               2.2.3.1  Bombs ......................................  7
  90.               2.2.3.2  Boot infectors .............................  8
  91.      
  92.       3.0  GETTING STARTED ........................................  8
  93.      
  94.           3.1  Distribution files .................................  8
  95.           3.2  Backup .............................................  8
  96.           3.3  Installation .......................................  8
  97.             3.3.1  Floppy drives ..................................  8
  98.             3.3.2  Hard disks ..................................... 10
  99.           3.4  Auto-protection .................................... 10
  100.           3.5  Running the program ................................ 10
  101.      
  102.       4.0  FUNCTIONS AND SETTINGS ................................. 10
  103.      
  104.           4.1  The control panel .................................. 10
  105.           4.2  Help system ........................................ 10
  106.           4.3  Write function ..................................... 11
  107.             4.3.1  Paths setting .................................. 11
  108.               4.3.1.1  Source path ................................ 11
  109.               4.3.1.2  Archive name ............................... 11
  110.               4.3.1.3  Saving all parameters ...................... 11 
  111.             4.3.2  CRC count setting (Adjust button) .............. 12
  112.             4.3.3  Extensions setting ............................. 12
  113.           4.4  Lock and Unlock functions .......................... 12
  114.           4.5  Verify function .................................... 13
  115.           4.6  Filter function .................................... 13
  116.           4.7  Sample function .................................... 14
  117.           4.8  Track function ..................................... 14
  118.      
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.  
  130.  
  131.  
  132.  1.0  GENERAL INFORMATION
  133.  
  134.  
  135.      1.1  Foreword.
  136.  
  137.           EXPEL is not a public domain program and it is not a free
  138.           program, but we let you to copy it freely and share it
  139.           with your friends. We only ask that you copy EXPEL complete
  140.           and unmodified, with all of its accompanying files.
  141.  
  142.           We also give you the right to use EXPEL on a trial basis. In
  143.           case you decide that you want to use the program after
  144.           evaluation, we ask you to register your copy. Please note
  145.           that the use of EXPEL, exept for a short evaluation period,
  146.           is forbidden to any person, group, institution, or any legal
  147.           entity.
  148.  
  149.  
  150.  
  151.      1.2  Why Shareware?
  152.  
  153.           We are distributing EXPEL as a Shareware program because :
  154.  
  155.           - We think that we made a major break-through in the field
  156.           of protection against viruses and we want to distribute this
  157.           program as quickly as possible so as to "equalize" the odds
  158.           of surviving a viral attack for as many users as possible.
  159.  
  160.           - The Shareware concept allows to lower the price, cutting
  161.           off packaging and distribution costs.
  162.  
  163.           - We like the idea of the final user evaluating a program
  164.           and paying only if he decides to use it.
  165.  
  166.           - Above all, we believe that computer users are honest
  167.           enough to support our work if the product is good enough.
  168.  
  169.  
  170.  
  171.      1.3  Registration.
  172.  
  173.           You can register for EXPEL in two ways:
  174.  
  175.           1) If you already have a current version of the program,
  176.           send $25.00 for registration plus $5.00 for freight and
  177.           handling; You obtain the licence to use this program and to
  178.           use any future updates, you will be kept informed of
  179.           updates, and we will mail you the next update disk as soon
  180.           as available.
  181.  
  182.           2) Send $35.00 for registration plus $5.00 freight and
  183.           handling in case you need a copy of the program right away.
  184.           We mail you immediatly a disk with the latest version, plus
  185.           you are entitled to the same benefits as 1).
  186.  
  187.  
  188.  
  189.      1.4  Order Form.
  190.  
  191.           Please use the following order form.
  192.  
  193.                                                                             1
  194.  
  195.  
  196.  
  197.  
  198.                             O R D E R   F O R M
  199.  
  200.           Mail to :         Toltech
  201.                             PO Box 68 St-Lambert,
  202.                             QC, Canada, J4P 3N4
  203.  
  204.  
  205.           Please send:
  206.  
  207.           ____ EXPEL registration.............. $ 25.00 each  $ ______
  208.                (No disk now, one update disk later)
  209.  
  210.           ____ EXPEL registration and disk .... $ 35.00 each  $ ______
  211.                (Disk now plus one update disk later)
  212.  
  213.           Subtotal ............................................ ______
  214.  
  215.           Discount ............................................ ______
  216.  
  217.           (Quebec residents please add 9% sales tax) .......... ______
  218.  
  219.           Subtotal ............................................ ______
  220.  
  221.           Freight/Handling .......................... $ 5.00  $ ______
  222.  
  223.           Total ..............................................$ ______
  224.  
  225.           [] VISA   [] MASTERCARD   [] CHECK ENCLOSED   [] MONEY ORDER
  226.           ----------------------(Sorry, no COD)-----------------------
  227.  
  228.           Name   : ___________________________________________________
  229.  
  230.           Company:____________________________________________________
  231.  
  232.           Address:____________________________________________________
  233.  
  234.                   ____________________________________________________
  235.  
  236.                   ____________________________________________________
  237.  
  238.           Phone : _(____)____________________
  239.  
  240.           Card #: _____________________________Exp. Date : ___________
  241.  
  242.  
  243.           Quantity discounts :
  244.  
  245.           6  - 10 copies  :  10% discount
  246.           11 - 20 copies  :  15% discount
  247.           21+ copies      :  25% discount
  248.  
  249.  
  250.           Site licensing agreements also available. Please write for
  251.           details.
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.                                                                             2
  260.  
  261.  
  262.  
  263.                                                                        
  264.      1.5  Warranty
  265.  
  266.           This program is distributed "AS IS", without any warranty
  267.           as to its performance. The entire risk as to the quality and
  268.           performance of the program is assumed by the user.
  269.  
  270.           THE ABOVE WARRANTY IS IN LIEU OF ALL WARRANTIES, EXPRESS,
  271.           IMPLIED, OF STATUTORY, INCLUDING, BUT NOT LIMITED TO, ANY
  272.           IMPLIED WARRANTIES OF PERFORMANCE AND FITNESS FOR A
  273.           PARTICULAR PURPOSE AND OF ANY OTHER WARRANTY OBLIGATION ON
  274.           THE PART OF TOLTECH. IN NO EVENT SHALL TOLTECH OR ANYONE
  275.           ELSE WHO HAS BEEN INVOLVED IN THE CREATION AND PRODUCTION OF
  276.           THIS PROGRAM BE LIABLE FOR INDIRECT, SPECIAL, OR
  277.           CONSEQUENTIAL DAMAGES, SUCH AS, BUT NOT LIMITED TO, LOSS OF
  278.           ANTICIPATED PROFITS OR BENEFITS RESULTING FROM THE USE OF
  279.           THIS PROGRAM, OR ARISING OUT OF ANY BREACH OF THIS WARRANTY.
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.                                                                             3
  326.  
  327.  
  328.  
  329.  
  330.  2.0  INTRODUCTION
  331.                                                                        
  332.       In this manual we will describe EXPEL on a general level,
  333.       and then we will explain how to use each function.
  334.  
  335.  
  336.      2.1  Virus background.
  337.  
  338.  
  339.        2.1.1  Biological viruses.
  340.  
  341.               Biological viruses are the smallest biological entities
  342.               known to man. Some strains are 300 times smaller than a
  343.               red blood cell.
  344.  
  345.               Viruses are composed of a nucleus protected by a thin
  346.               envelope of proteins. This nucleus is made of chains of
  347.               nucleic acids (DNA and RNA). The nucleic acids carry the
  348.               information that directs the activity of cells.
  349.  
  350.               When a virus gets into a cell, its nucleic code is executed
  351.               by the host cell; this code asks the cell to create more
  352.               viruses and after some time, the viruses destroy the cell to
  353.               exit and start to look for new target cells.
  354.  
  355.               Some strains delay the reproduction phase; they penetrate
  356.               a cell and lay dormant, replicating only when the host cell
  357.               replicates. Then one day the virus awakes and start
  358.               to multiply itself.
  359.  
  360.  
  361.  
  362.        2.1.2  Computer viruses.
  363.  
  364.               A computer virus behaves almost exactly like the
  365.               biological versions; it is a small program, generally hidden
  366.               into an executable file, that enters a computer system and
  367.               tries to replicate itself each time the host program is
  368.               executed.
  369.  
  370.               The difference between a biological virus and the electronic
  371.               version is that the last one infects others program from
  372.               within the host program.
  373.  
  374.               At some point after the beginning of the replication phase,
  375.               the viruses will start to perform various destructive or
  376.               obstructive acts.
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.                                                                             4
  392.  
  393.  
  394.  
  395.                                                                      
  396.      2.2  Program overview.
  397.  
  398.           EXPEL can be considered as a defensive mecanism doubled by
  399.           an offensive weapon. EXPEL is the reunion of an infection
  400.           prevention module, an infection detection module, and a
  401.           non-specific infection removal module in a single software
  402.           device.
  403.  
  404.           With EXPEL we don't need to know if we are attacked by a
  405.           Lehigh virus or a Sunnyvale slug or any other viral strain
  406.           (being polite) to survive and fight back. All we need is a
  407.           basic understanding of viruses behaviour :
  408.  
  409.  
  410.               Initial                            Activation     
  411.              infection                                |
  412.                  |                                    |
  413.                  | .----------Replication-----------. |
  414.                  v v                                v v
  415.                  x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx *
  416.                              Time -------->
  417.  
  418.  
  419.           The fact that each and every strain of virus will follow
  420.           this pattern was used to design EXPEL, because we don't know
  421.           for sure all of the existing virus in the world and we
  422.           certainly don't know what sick versions will be invented in
  423.           some rubber s..t brains in the future, but we know that a
  424.           virus always does 3 things :
  425.  
  426.           - He gets into the system, so there will be some new code
  427.           someplace.
  428.           - He will try to replicate, so we should have even more
  429.           alien code around.
  430.           - He will eventually hurt the system, so we have to catch
  431.           him before its too late.
  432.  
  433.           If it does not replicate but do harm right away, then its a
  434.           bomb, not a virus, and very simple actions will protect you
  435.           against these pests (See 2.2.3.1).
  436.  
  437.  
  438.        2.2.1  Initial infection prevention.
  439.  
  440.               EXPEL permits you to write-protect files at will, thus
  441.               preventing 90% of viral strains to infect you computer
  442.               system. You can write-protect files selectivelly,
  443.               specifying the extensions of files to be protected, or
  444.               you can decide to write protect the whole disk.
  445.  
  446.               BUT, you should know that if someone is able to
  447.               write-protect files, then someone may think of a virus
  448.               able to unprotect them and pass thru this line of defence.
  449.  
  450.  
  451.  
  452.  
  453.  
  454.  
  455.  
  456.                                                               
  457.                                                                             5
  458.  
  459.  
  460.  
  461.        2.2.2  Virus detection and elimination.
  462.  
  463.               The real strenght of EXPEL starts with its virus detection
  464.               capabilitities, and continues with the edge he gives you in
  465.               case of positive detection.
  466.  
  467.  
  468.          2.2.2.1  Detection.
  469.  
  470.                   The whole subject of detection is important, because
  471.                   it is vital to know if the system is infected to
  472.                   clean it before the activation phase, and it is
  473.                   equaly important to know that the system is clean
  474.                   for the sake of peace of mind is very important. So don't
  475.                   panic, don't trash all your disks if "something seems
  476.                   strange". We bring you tools to know what's really going
  477.                   on...
  478.  
  479.                   Generally viruses will replicate by writing code into
  480.                   other files, preferably executable files. Some strains
  481.                   will write into any file that they can find, some will
  482.                   attach only to executable file (with .EXE or .COM
  483.                   extensions, for example), some will infect only
  484.                   COMMAND.COM, and so on.
  485.  
  486.                   EXPEL permits you record the state of your files at any
  487.                   point in time, writing a CRC number for each file into
  488.                   an archive file (A CRC, or Cyclic Redundancy Check, is
  489.                   a special count of the bytes of a file, often used in
  490.                   data transmission to ensure that files are sent and
  491.                   received unmodified).
  492.  
  493.                   Later on, the verification of this CRC number will
  494.                   permit us to know if all the bytes are the same and if
  495.                   they are in the same sequence as before : any virus
  496.                   trying to infect a file will alter this CRC number,
  497.                   and thus will be detected by the verification functions
  498.                   of EXPEL. It is then a simple matter to eradicate the
  499.                   virus by erasing the file.
  500.  
  501.                   The beauty of this kind of approach is that even if
  502.                   the CRC archive is built after the initial infection
  503.                   (but not too long, right?!), often it will be possible
  504.                   to KNOW that a virus is present, because he will continue
  505.                   to replicate and alter more files: being aware of the
  506.                   infection will permit us to use the elimination sections
  507.                   of EXPEL.
  508.                   With its detection potential, EXPEL thus represents a
  509.                   fine defensive tool.
  510.  
  511.  
  512.  
  513.  
  514.  
  515.  
  516.  
  517.  
  518.  
  519.  
  520.  
  521.  
  522.                                                                
  523.                                                                             6
  524.  
  525.  
  526.  
  527.  
  528.          2.2.2.2  Elimination.
  529.  
  530.                   After detection, EXPEL goes one step further :
  531.                   we know that a virus got in and we know one or more
  532.                   files where he hides, so we extract a sample of the
  533.                   virus code from one of the files and we use this
  534.                   sample to track and eliminate all of the virus
  535.                   offspring off our disks. Note that it is not necessary
  536.                   to know the virus beforehand to clean any computer
  537.                   disks.
  538.  
  539.                   Because of its total clean-up capabilities, EXPEL
  540.                   is a powerfull weapon against viruses.
  541.                   If each infected user is a dead end for any virus,
  542.                   the odds of having the kind of epidemic situations
  543.                   we recently had will be considerably lowered.
  544.  
  545.                   Note that EXPEL will not try to patch a contaminated
  546.                   file after detection: even if we know where is the alien
  547.                   code in the file, even if we could for example insert a
  548.                   jump instruction before the virus code pointing to the
  549.                   beginning of clean code, we don't know what kind of bomb
  550.                   we may create by trying to "clean" this particular file
  551.                   remotly.
  552.                   So we propose only the safest alternative : erasure of
  553.                   the file, hoping that Saint-Backup is with you (erasure
  554.                   only necessary if the file is an executable file; data
  555.                   files can be kept as is, because they are never executed
  556.                   and so will not give any reproduction or activation
  557.                   opportunity to viruses).
  558.                   But we are very open to comments because this is a
  559.                   rather radical decision. We are in fact waiting for
  560.                   users feed-back to take or not the decision to include a
  561.                   "return maybe to the prior state" type of function in
  562.                   coming updates.
  563.  
  564.  
  565.  
  566.        2.2.3  Activation prevention.
  567.  
  568.               EXPEL will help prevent most viral strains to get into
  569.               their activation phase, but two specific cases will need
  570.               separate handling.
  571.  
  572.  
  573.          2.2.3.1  Bombs.
  574.  
  575.                   A bomb is a program that is supposed to perform a
  576.                   specific task and does some destructive act instead,
  577.                   like reformating disks or trashing FAT areas.
  578.                   A bomb is not a virus because it blows the first time
  579.                   the carrying program is run (called a Trojan). There
  580.                   is no replication phase.
  581.                   Some bombs are also created by innocent programmers: an
  582.                   unknown bug may lock a computer or do anything else.
  583.  
  584.                   In order to survive bombs, never try a new program on
  585.                   a hard disk. Always run it first from a floppy. The
  586.                   attack being immediate, the bomb will have only the
  587.                   floppy disk available as potential victim.
  588.  
  589.                                                                             7
  590.  
  591.  
  592.  
  593.  
  594.          2.2.3.2  Boot infectors.
  595.  
  596.                   The boot sector is the first sector of disks that have
  597.                   DOS on them: when you boot a computer with this kind of
  598.                   disk in the drive, the little program written in the boot
  599.                   sector is loaded and executed. This little program is then
  600.                   supposed to load the operating system in memory.
  601.  
  602.                   A boot infector is a very special type of virus that
  603.                   "lives" outside of files. He is in the boot area, and if
  604.                   you boot your computer with an infected disk, the virus
  605.                   code is executed right at the start and takes control.
  606.                   This virus will replicate by writing himself in the boot
  607.                   sector of any new disk that he can reach (Some strains
  608.                   will also create fake bad sectors and hide in them).
  609.  
  610.                   As for bombs, the defensive tactic is simple: NEVER boot
  611.                   from an alien disk.
  612.  
  613.  
  614.  3.0  GETTING STARTED
  615.  
  616.  
  617.      3.1  Distribution files.
  618.  
  619.           Here is a list of the distribution files. Please verify that
  620.           you have a correct set.
  621.  
  622.           |   Name     |   Description   |  Size   |   Date   | Time  |
  623.           |------------|-----------------|---------|----------|-------|
  624.           | EXPEL.EXE  | Main program.   | 112 189 | 11/27/89 | 00:48 |
  625.           | EXF.EXE    | Filter utility. |  23 840 | 11/26/89 | 02:44 |
  626.           | EXPEL.DOC  | This manual.    |  39 225 | 11/27/89 | 00:53 |
  627.  
  628.  
  629.      3.2  Backup.
  630.  
  631.           Please make an immediate backup copy of the EXPEL files.
  632.           In case of infection, it may be usefull to have a clean set
  633.           ready to be used.
  634.  
  635.  
  636.  
  637.      3.3  Installation.
  638.  
  639.           There is no special installation apart from deciding where
  640.           the related files will be kept. EXPEL will use an archive
  641.           file to store the CRCs and an optional configuration file to
  642.           save the parameters selected in previous sessions.
  643.  
  644.           When you run EXPEL, you can write the archive in any
  645.           directory or disk drive, but the configuration file is
  646.           written by EXPEL in the current directory only.
  647.  
  648.  
  649.        3.3.1  Floppy drives.
  650.  
  651.               You could keep for example several archive files on the
  652.               same diskette, or write an archive file on each disk that
  653.               you want to monitor.
  654.  
  655.                                                                             8
  656.  
  657.  
  658.  
  659.  
  660.  
  661.               Example 1:
  662.  
  663.               ***********************************
  664.               *          EXPEL DISKETTE         *
  665.               *                                 *
  666.               *                                 *
  667.               *                                 *
  668.               *          - EXPEL.EXE            * <-Program file.
  669.               *                                 *
  670.               *          - EXPEL.CFG            * <-Configuration file.
  671.               *                                 *
  672.               *          - CRC.D1               *  }
  673.               *          - CRC.D2               *  } Archives.
  674.               *          - CRC.D3               *  }
  675.               ***********************************
  676.  
  677.               Example 2:
  678.  
  679.               ***********************************
  680.               *          EXPEL DISKETTE         *
  681.               *                                 *
  682.               *                                 *
  683.               *                                 *
  684.               *          - EXPEL.EXE            * <-Program file.
  685.               *                                 *
  686.               *          - EXPEL.CFG            * <-Configuration file.
  687.               *                                 *
  688.               *                                 *
  689.               *                                 *
  690.               *                                 *
  691.               ***********************************
  692.  
  693.  
  694.               ***********************************
  695.               *            DISKETTE 1           *
  696.               *                                 *
  697.               *                                 *
  698.               *                                 *
  699.               *            - ARC.CRC            * <-Archive.
  700.               *                                 *
  701.               *      ***********************************
  702.               *      *            DISKETTE 2           *
  703.               *      *                                 *
  704.               *      *                                 *
  705.               ********                                 *
  706.                      *            - ARC.CRC            * <-Archive.
  707.                      *                                 *
  708.                      *      ***********************************
  709.                      *      *            DISKETTE 3           *
  710.                      *      *                                 *
  711.                      *      *                                 *
  712.                      ********                                 *
  713.                             *            - ARC.CRC            * <-Archive.
  714.                             *                                 *
  715.                             *                                 *
  716.                             *                                 *
  717.                             *                                 *
  718.                             *                                 *
  719.                             ***********************************
  720.  
  721.                                                                             9
  722.  
  723.  
  724.  
  725.  
  726.        3.3.2  Hard disks.
  727.  
  728.               You may create a sub-directory and copy all the EXPEL
  729.               related files into it. Later on you will be able to enter
  730.               all needed access paths from inside the program.
  731.  
  732.  
  733.  
  734.      3.4  Auto-protection.
  735.  
  736.           EXPEL.EXE is auto-protected, meening that the program will
  737.           not execute if something or someone modifies or adds to its
  738.           code. Like an extinguisher that would throw gazoline at a
  739.           fire, a contaminated security program is worthless; so this
  740.           virus control device spends a couple of seconds at load time
  741.           to make sure everyting is ok.
  742.  
  743.  
  744.  
  745.      3.5  Running the program.
  746.  
  747.           To load and run EXPEL, type EXPEL at the DOS prompt.
  748.           If you use a monochrome display card, the program should
  749.           detect it and adjust to black and white. If you have a
  750.           monochrome monitor connected to a color card, type
  751.           EXPEL /m to switch to mono.
  752.  
  753.           EXPEL will then verify its own integrity and look for the
  754.           file EXPEL.CFG in the current directory. If not found, the
  755.           program will use default settings for the archive name,
  756.           path, extensions and CRC security level.
  757.  
  758.  
  759.  
  760.  4.0  FUNCTIONS AND SETTINGS
  761.  
  762.  
  763.      4.1  The control panel.
  764.  
  765.           The functions and settings are choosen on the control panel
  766.           of EXPEL. Push the first letter of any button to operate or
  767.           set the device. No confirmation is ever needed, so just make
  768.           sure that you push the right button.
  769.  
  770.           For almost each button, pushing the ESCAPE key will abort
  771.           the current function.
  772.  
  773.  
  774.      4.2  Help system.
  775.  
  776.           There is two help systems. The first one is the lower bar,
  777.           where information is displayed as required by the current
  778.           context. The second is called via the Help button. You then
  779.           push the first letter of any other button to obtain a short
  780.           description of the corresponding setting or function, and
  781.           you push the ESCAPE key when you want to exit.
  782.  
  783.  
  784.  
  785.                         
  786.  
  787.                                                                             10
  788.  
  789.  
  790.  
  791.  
  792.      4.3  Write function.
  793.  
  794.           This function lets you to write the CRC numbers for the
  795.           selected files into the archive file. Push W to start, push
  796.           the ESCAPE key to abort.
  797.  
  798.           EXPEL will always include the CRC of COMMAND.COM (if found
  799.           in the root directory) at the beginning of the archive file,
  800.           because COMMAND.COM proved to be a preferred target for many
  801.           viruses.
  802.  
  803.           Before using the Write function, you must set some
  804.           parameters :
  805.  
  806.  
  807.        4.3.1  Paths setting.
  808.  
  809.               Push the Paths setting button to enter the source path and
  810.               the archive path and name.
  811.  
  812.  
  813.          4.3.1.1  Source path.
  814.  
  815.                   The source path is the access path used by EXPEL to
  816.                   select which files to monitor with a CRC. The path name
  817.                   can be made of a drive reference coupled with some
  818.                   sub-directories names.
  819.  
  820.                   - Entering C:\PUBLIC\TEST as the source path will ask
  821.                   EXPEL to include the files on drive C: that are in the
  822.                   \PUBLIC\TEST sub-directory.
  823.  
  824.                   - Entering C:\PUBLIC will ask to include files on drive C:
  825.                   that are in the \PUBLIC directory and also the
  826.                   sub-directories of \PUBLIC.
  827.  
  828.                   - Entering \ only will monitor all directories and
  829.                   sub-directories for the current drive.
  830.  
  831.  
  832.          4.3.1.2  Archive name.
  833.  
  834.                   Pushing ENTER after the source path entry brings you to
  835.                   the archive name field.
  836.  
  837.                   You may enter a path and an archive name. By default
  838.                   EXPEL will create an archive named CRC.CHK in the current
  839.                   directory. You can change this name by entering as needed
  840.                   a drive, path and name (It may be wise to select your
  841.                   own archive names, as an added security).
  842.  
  843.  
  844.          4.3.1.3  Saving all parameters.
  845.  
  846.                   When you are asked if you want to save the paths, type
  847.                   Y for yes or N for no to save or not the paths in a file
  848.                   named EXPEL.CFG (current directory).
  849.  
  850.  
  851.  
  852.  
  853.                                                                             11
  854.  
  855.  
  856.  
  857.                   Note that the CRC count setting and the extensions
  858.                   setting are also saved along with the paths.
  859.  
  860.                   Note also that the EXPEL.CFG file is automatically locked.
  861.  
  862.        4.3.2  CRC count setting (Adjust button).
  863.  
  864.               You can select the CRC speed and accuracy by choosing a
  865.               number from 1 to 9.
  866.  
  867.               With a value of 1, the CRC includes each and every byte of
  868.               the monitored files. It is the highest security level.
  869.  
  870.               With a value of 9, the CRC jumps 8 bytes and includes the
  871.               9th byte. It is the fastest check available.
  872.  
  873.               This means that if for example a CRC is computed every 6
  874.               bytes, a virus would have to be as small as 5 bytes to stay
  875.               undetected, which is very unlikely.
  876.  
  877.               So EXPEL gives you a gradient of security levels and speed
  878.               levels, but it also gives you 9 possible CRC numbers for the
  879.               same file, enough to fool an hypothetical virus trying to
  880.               adjust the CRC of a file in which he wants to hide.
  881.  
  882.               To exit the Adjust area, push a number or push the ESCAPE
  883.               key.
  884.  
  885.  
  886.        4.3.3  Extensions setting.
  887.  
  888.               Push the Ext. button to enter the extensions of the
  889.               monitored files. By default, EXPEL includes the .EXE, .COM,
  890.               .BAT, .SYS and .BAS extensions. They are all extensions of
  891.               executable files, because monitoring data files may take a
  892.               lot of time. Also only executable files are able to spread
  893.               an infection, and some viruses don't even duplicate in data
  894.               files.
  895.  
  896.               To change or add to the extensions, use the arrow keys to
  897.               position the cursor, then type the letters of the extension
  898.               (without a period). You may use wildcards (? or *), and you
  899.               have to use the ESCAPE key to exit.
  900.  
  901.               The extensions are used by the Write function, the Lock and
  902.               Unlock functions, and by the Track function.
  903.  
  904.  
  905.      4.4  Lock and Unlock functions.
  906.  
  907.           You may write-protect or unprotect a file or a whole
  908.           directory with the Lock and Unlock functions.
  909.  
  910.           Push L or U to call the selected function and enter the full
  911.           name of a file (path + node + extension).
  912.  
  913.           To select a directory, enter its name followed by a reverse
  914.           slash. Files will be selected if they have one of the
  915.           extensions entered via the Ext. button (you may use
  916.           wildcards).
  917.  
  918.  
  919.                                                                             12
  920.  
  921.  
  922.  
  923.           Examples :
  924.  
  925.           - To lock a file in drive B named ZZZ.EXE, type B:\ZZZ.EXE
  926.  
  927.           - To lock all files in the TEST directory, push the Ext.
  928.           button and enter * in an empty cell and push ESCAPE, then
  929.           push the Lock button and type \TEST\ followed by ENTER.
  930.  
  931.  
  932.           Note that it may be very unpractical to have each and every
  933.           files locked: data files often need to be written or erased.
  934.           We suggest to lock only the executable files (.EXE,.COM,...)
  935.  
  936.                    
  937.  
  938.      4.5  Verify function.
  939.  
  940.           This function will read the files names and CRC numbers from
  941.           the archive file and compare them with the current CRCs. In
  942.           case of discrepancy, EXPEL warns you of a possible viral
  943.           attack, and asks you to choose the next action. You can :
  944.  
  945.           - Delete the infected file.
  946.           But don't forget that you will need an infected file to
  947.           extract a virus sample later on. If you don't have a backup
  948.           copy of the file, this may be the only safe alternative.
  949.  
  950.           - Update the CRC in archive.
  951.           In some cases, files may change because of natural events.
  952.           (For example, programmers are known to be very natural and
  953.           may (eventually) cause files modifications).
  954.           So this choice permits you to approve the modification.
  955.  
  956.           - Print the file name.
  957.           Will print the name on LPT1, the parallel printer. Make sure
  958.           that the printer is well connected before printing.
  959.  
  960.           - Continue.
  961.           Keeps the file untouched and goes on with the verification.
  962.  
  963.  
  964.  
  965.      4.6  Filter function.
  966.  
  967.           The filter function is used to verify a program before
  968.           loading it. The program CRC must have been previously
  969.           recorded into an archive file. The filter function will also
  970.           verify COMMAND.COM, if found.
  971.  
  972.           Knowing the general virus behaviour, it may not be necessary
  973.           to do a full verification of all files at all times : A
  974.           virus will replicate when you load and execute one of its
  975.           vector programs, so all you may need is a verification of
  976.           the programs that you use.
  977.  
  978.           In case a filtered file is found to be infected, EXPEL will
  979.           alert you and will not load and execute the file.
  980.  
  981.  
  982.  
  983.  
  984.  
  985.                                                                             13
  986.  
  987.  
  988.  
  989.           There is three different ways to call the filter function :
  990.  
  991.           - From the EXPEL program, push the Filter button, then type
  992.           the name of the file, with the extension (It must be the
  993.           same path and name as recorded in the archive).
  994.  
  995.           - From the command line, type EXPEL /f followed by the name
  996.           of the file.
  997.  
  998.           - Or use the little utility program called EXP.EXE .
  999.           Type EXP /f (name of file). It is faster than the other
  1000.           ways because EXP.EXE is smaller and not auto-protected.
  1001.  
  1002.           Note that you must always enter the extension of the file,
  1003.           and also the full access path if different from the current
  1004.           directory.
  1005.  
  1006.      4.7  Sample function.
  1007.  
  1008.           This function is very simple to use : You need a modified
  1009.           file (infected) and a clean copy of the same file that will
  1010.           be used as reference.
  1011.  
  1012.           Push the Sample button and then type the path and name of
  1013.           the modified file, then type the path and name of the
  1014.           reference file.
  1015.           Just make sure not to invert the two names, or EXPEL will
  1016.           give you an error message : first the infected file, then
  1017.           the clean one.
  1018.  
  1019.           Example : If you have an infected copy of ZZZ.EXE in drive A
  1020.           and a clean copy of ZZZ.EXE in drive B, type A:ZZZ.EXE in
  1021.           the upper field and B:ZZZ.EXE in the lower field.
  1022.  
  1023.           EXPEL will then extract one or two samples from the infected
  1024.           file. The samples will have the same name as the infected
  1025.           file, and will be suffixed with S1 and S2 (Ex: ZZZ.S1).
  1026.  
  1027.           Note that the sample code is scrambled before being written
  1028.           into a file, as an increased security.
  1029.  
  1030.      4.8  Track function.
  1031.  
  1032.           The Track function is used to clean-up disks in case of
  1033.           infection.
  1034.  
  1035.           It will track the viruses on the source path that you submit
  1036.           via the Paths button, in each and every file that has one of
  1037.           the extensions entered via the Ext. button (you may use
  1038.           wildcards).
  1039.  
  1040.  
  1041.           When you push the Track button, EXPEL presents you a menu
  1042.           where the available samples are listed (created with the
  1043.           sample function). Use the arrow keys to select and push
  1044.           ENTER to start the search.
  1045.  
  1046.           Example: You have extracted a sample named ZZZ.S1 with the
  1047.           sample function and you want to genocide this alien code off
  1048.           you hard disk (one of the exceptional cases where killing
  1049.           may be good for health !).
  1050.  
  1051.                                                                             14
  1052.  
  1053.  
  1054.  
  1055.  
  1056.           - Push the Paths button and type C:\ to track the virus in
  1057.           all directories of drive C.
  1058.  
  1059.           - Push the Ext. button and enter * in an empty cell to
  1060.           select all files.
  1061.  
  1062.           - Push the Track button, select ZZZ.S1 and push ENTER.
  1063.  
  1064.           - EXPEL will start the search and ask you what to do if an
  1065.           infected file is found (It may not be wise to destroy data
  1066.           files).
  1067.  
  1068.           - Time to die ...
  1069.  
  1070.  
  1071.  
  1072.                              *         *         *
  1073.  
  1074.  
  1075.  
  1076.  
  1077.  
  1078.  
  1079.  
  1080.  
  1081.  
  1082.  
  1083.  
  1084.  
  1085.  
  1086.  
  1087.  
  1088.  
  1089.  
  1090.  
  1091.  
  1092.  
  1093.  
  1094.  
  1095.  
  1096.  
  1097.  
  1098.  
  1099.  
  1100.  
  1101.  
  1102.  
  1103.  
  1104.  
  1105.  
  1106.  
  1107.  
  1108.  
  1109.  
  1110.  
  1111.  
  1112.  
  1113.  
  1114.  
  1115.  
  1116.  
  1117.                                                                             15