home *** CD-ROM | disk | FTP | other *** search

---

/ CICA 1992 November / CICA_MS_Windows_CD-ROM_Walnut_Creek_November_1992.iso / win3 / programr / vwpd / virus.txt

< prev

next >

Wrap

Text File  |  1991-11-04  |  12KB  |  366 lines

---

1.  
2. VWPD.386
3.  
4. Virus/Trojan Detector
5. Runs in Protected Mode at Ring ZERO. The MOST secure of all the operating
6. modes, unlike old style DOS real mode virus detectors. This is the World's
7. First Windows Protected Mode Virus Detector. Runs constantly, but with
8. low overhead; minimal impact on system performance. 
9. Includes write protect feature for disk drives(see documentation for VWPD).
10. Includes special feature to protect DOS commands and programs from running.
11.  
12.  
13. Program and documentation file included.
14.  
15.  
16. ------------------------------------------------------------------------
17. Contains new features designed to provide enhanced VIRUS/TROJAN
18. protection.
19.  
20.  
21.  
22. Version 1.05 has:
23. Additional boot sector protection.
24. Protect sectors from partition sector to boot sector hard drive zero.
25. Fixes for INT 1Ah and CMOS, and the mouse disappearing.
26. Fix for access floppy disk hangs machine, requires reset.
27. Fix for DOS 5.0, call to PSP:5, if DOS loaded high.
28. Fixes for formatting of floppies.
29. Hardware trapping of format and reset commands at disk drive controller.
30. Attemps to remove system or hidden file attributes.
31.  
32. Modified hard drive protection, protects all hard drives
33.   from writes, except thru BIOS,
34.   and ALL formatting (even attempts direct to the controller port).
35.  
36. DOS "VER" command now prints Windows numbers +
37.   Dos version. (/W3 is highest level of warning, /W2 is next lower).
38.  
39. DOS "VWPD" command prints vwpd version and status message.
40.  
41. DOS "JOIN", "FDISK" command is disabled in Windows.
42. ALSO APPEND, SUBST, FORMAT, ASSIGN.
43.  
44. TIME & DATE must be changed from the Windows Control Panel.
45. They do not print out current time or date; this will be fixed.
46.  
47. Put in Dummy Command handler for hard disk controller(91h). Useful
48. for testing if hard disk controller is protected.
49.  
50. Removed most protection from floppy drives. Some protection to be
51. put back in.
52.  
53.  
54. Version 1.06 has:
55. FASTOPEN, APPEND commands is disabled.
56. Fix for BUG in 1.05 caused Windows to Hang, when DOS "HELP" command used.
57.  
58.  
59. See also WSAFE, our program to protect you from running certain DOS
60. programs like CHKDSK while Windows is running. Endorsed in Brian
61. Livingston's new book "Windows 3 Secrets", as Excellence in Windows
62. Shareware.
63.  
64. Incidently about Brian's book on Windows 3 Secrets, run, don't walk
65. to get a copy. It is excellent, maybe better than that. (By the way
66. I don't make anything from the sale of the book.)
67.  
68.  
69.  
70. INSTALLATION
71. ------------------------------------------------------------------------
72. See instructions for VWPD.DOC
73.  
74.  
75. In the documentation below, references to VWPD means the new version.
76.  
77.  
78. TIPS: -------------------------------------------------------------------
79.  
80. If a DOS application tends to cause more messages than you would like,
81. try running it in a window. The annoying screen switches that occur
82. when a message is displayed, when a Windows application or a DOS full
83. screen application are running, WILL NOT occur. (This work around is for
84. a poor implementation of message box handling in windows).
85.  
86. In other words if the application causes a lot of messages. WINDOW it
87. before you start it.
88.  
89.  
90. GENERAL
91. ------------------------------------------------------------------------
92. A warning message is displayed for the following occurances. In most
93. cases the message will allow for OK/CANCEL. OK allows the operation
94. to proceed as normal. Cancel stops the operation from succeding and 
95. where necessary forces the application to abort.
96.  
97.  
98.  
99. Mild warnings------------------------------------------
100.  
101. Attempts to terminate and stay resident.
102.  
103. Attempting to change the memory allocation strategy.
104.  
105. Attempts to read the hard disk partition table.
106.  
107. Attempting to reboot the system.
108.  
109. Attempting to get the DOS data segment.
110.  
111. Attempting to get the DOS list of lists
112.  
113. Attempting to create a Program Segment Prefix
114.  
115. Attempting to use int 40h, alternate disk handler
116.  
117. Attempting to change an interrupt vector
118.  
119. Some other obscure kinds of activity.
120.  
121.  
122.  
123. Intermediat warnings ----------------------------------
124.  
125. Attempt's to write sector one, head ZERO, track ZERO
126. any floppy disk. This is the boot sector.
127.  
128. Attempting to get/set the disk handler.
129.  
130.  
131. SEVERE errors -----------------------------------------
132.  
133. Attempts to clobber the CMOS RAM area.
134.  
135. Attempt's to write sector one, head ZERO, track ZERO
136. hard drive. This is the partition sector.
137. Also the boot sector, and on hard drive zero, all
138. the sectors between the partition and the boot.
139.  
140. Attempts to use FCB's to DELETE ALL file entries.
141.  
142. Attempts to Write to .COM, .EXE or .SYS files.
143.  
144.  
145.  
146.  
147. These measures prevent a virus from Terminating without warning,
148. or modifying the disk partition table or adding itself to the boot
149. sector on the floppy or HARD disk. (Hard disk boot sector protection 
150. is a recent addition). Or, modify executable files.
151.  
152.  
153. This protection ONLY applies when Windows is running in enhanced mode.
154.  
155.  
156.  
157. LIST OF Interrupts protected:-------------------------------------------
158.  
159. There is protection from calls to PSP:5.
160. INT 13h, 19h, 1Ah, 21h, 26h, 27h, 2Fh, 40h.
161.  
162.  
163. WARNING MESSAGES--------------------------------------------------------
164. If VWPD puts up a warning message this DOES NOT MEAN that a virus
165. is at work. In most cases, the application that is running is doing
166. something PERFECTLY HARMLESS. However, if you want the operation to FAIL
167. use the CANCEL button, else select OK.
168.  
169.  
170. There are 2 message levels of severity in VWPD. Most warnings will allow
171. the operation, if you select OK. In a couple of cases the operation will
172. NOT be allowed as it would cause severe damage. 
173.  
174. It is necessary at the present time to use your own judgement in deciding
175. what is and what is not a virus, in those cases where there is no obvious
176. damage being done.
177.  
178. THINGS to Watch out for. Programs attempting to terminate and go resident
179. especially if there is an attempt to change the memory allocation STRATEGY.
180.  
181.  
182.  
183.  
184.  
185.  
186.  
187. CAUTIONS: --------------------------------------------------------------
188. VWPD has been fixed to trap the backdoor into DOS thru CP/M call at PSP:5 if
189. DOS 5.0 has been loaded high.
190.  
191. But, There may be a similar problem with other DOS extender systems. If the
192. A20 line is enabled and wrap at 1 megabyte is disabled.
193.  
194. Formatting of floppies should only be done using a Windows application
195. such as File Manager. Using DOS format is NOT recommended.
196.  
197.  
198. TESTED WITH: -----------------------------------------------------------
199.  
200. This latest version has only been tested on DOS 3.30, 5.00,
201. under Windows 3.0a. It has been tested with Win3.1-2.
202.  
203. DISK system, using 32 megabyte or smaller logical drives.
204.  
205. It should not be capable of causing or contributing to disk corruption.
206. VWPD is basically a filter, that watches for certain kinds of activity.
207. It does nothing which should cause you any continuing problems.
208.  
209.  
210.  
211. DOS 4.x, 5.x -----------------------------------------------------------
212. I think VWPD is safe to use with DOS 5.0, it has been tested with it.
213. If you use it with 5.0 suggest you NOT use it if you have logical drives
214. larger than 32 megabytes. 
215.  
216. If you try it with over 32 megabyte logical drives, it should not be
217. capable of causing any damage, but it is possible that you might get
218. warning messages that I have not considered.
219.  
220.  
221.  
222. DISK Drives: -----------------------------------------------------------
223.  
224. (NOT included in this release!!).
225. A program for testing your disk drive is included. It is called TESTDISK.
226.  
227. It will display a report on your screen, and will indicate if VWPD 
228. will work properly with your disk drive.
229.  
230.  
231. 2 HARD DISKS: VWPD has not been tested with a system with 2 hard drives.
232. It may not provide as complete protection for drive 2 as drive 1.
233.  
234.  
235.  
236. VIRUS DETECTOR PROGRAMS ------------------------------------------------
237. You may if you want try installing Central Point Software's Virus Detector
238. or other such program in conjunction with VWPD. The other detector may
239. be installed before Windows is started in which case it will protect all 
240. activity or it may be installed after a DOS session is started in which
241. case it will protect only that DOS session.
242.  
243. Using a second detector like this has not been tested.
244.  
245. Suggest you DO NOT run other detectors at the same time, as they will 
246. affect performance.
247.  
248.  
249.  
250.  
251.  
252. PERFORMANCE: -----------------------------------------------------------
253. VWPD has been written to minimize it's impact on the overall system
254. performance. I believe you will find it is much less of a drag than
255. ANY other virus detector available.
256.  
257.  
258.  
259. SPECIAL OPTIONS:--------------------------------------------------------
260. The option VWPDWarn3 can be placed in the [386enh] section of system.ini.
261. The default is TRUE. Setting it equal to false or zero (0), will turn
262. off certain warning messages. But you will have less protection.
263. (Get List of Lists, Go TSR, Create PSP are presently the only warnings
264. turned off).
265.  
266. VWPDWarn3=False    ; default is TRUE.
267.  
268.  
269. A future version of VWPD will allow turning off more warnings, but
270. will use a smart system to detect a virus attack.
271.  
272. If Warn3 is off, then Warning level 2 is on. When you type the
273. DOS "VER" command, the message displayed will tell you whether the
274. warning level is /W3 or /W2. The "VER" command can be used whenever
275. you are in a DOS box and at the command line prompt.
276.  
277.  
278. TESTING: ---------------------------------------------------------------
279. A program to test and demonstrate the functionality of VWPD will be
280. included in a future release.
281.  
282.  
283.  
284. In the meantime, here are some suggested tests that YOU can perform.
285.  
286. Format a floppy disk. Should work ok. Use Windows Format in File Manager.
287.  
288. Copy some files to and from the floppy disk. Should work ok.
289.  
290. Attempt to change the time. Time or Date will display. Cannot change.
291.      Use Control Panel, to change.
292.  
293. Run Debug. Should give a warning.
294. Use the Mem command in DOS 5.0. Should give a warning.
295.  
296.  
297. Try the DOS commands that have been disabled or modified under
298. Windows 386 enhanced mode. Such as: DATE, TIME, JOIN, FDISK, FORMAT, etc.
299.  
300.  
301. Try the new DOS box command: VWPD.
302.  
303. Use the Norton or PC Tools utilities to change a byte on the disk.
304. DON'T try this unless you know what you are doing.
305.  
306.  
307.  
308.  
309. WARNINGS !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
310.  
311. FORMATTING of floppies should ONLY be done by File Manager.
312. DOS formatters run from a DOS BOX will not work correctly.
313. DOS Format is disabled.
314.  
315. DO NOT use VWPD with the high performance file system (HPFS)!
316. Has not been tested for the HPFS and it may not work correctly.
317.  
318. An attempt to do so is supposed to result in an explicit warning
319. message and Windows will return to the DOS prompt.
320.  
321.  
322.  
323.  
324. ISSUES not properly addressed in this version --------------------------
325.  
326. 1. Protected mode versus real mode operations have not been completely 
327. resolved.
328.  
329. 2. Consistent information messages appropriate to the level of protection
330. needed.
331.  
332. 3. How much more checking to do and what impact it will have on performance.
333.  
334. 4. NMI masking on port 70hex.
335.  
336. 5. DOS commands changed or disabled, do not check for options (CHKDSK /f).
337.  
338.  
339. PC Magazine AnitVirus Software Review, Oct 29, 1991 p.199
340. -------------------------------------------------------------------------
341.  
342. Features Provided by VWPD:
343.  
344. Monitors DOS interrupts
345. Protects COMMAND.COM & other .COM files
346. Protect Boot Sectors
347. Protects Hidden System files
348. Protects Partition Table
349. Protects .SYS & .EXE files
350. Protects CMOS
351. Detects on demand
352. Uses write traps
353. Uses read traps
354.  
355.  
356.  
357. FEEDBACK: --------------------------------------------------------------
358.  
359. Feedback and comments are welcome.
360.  
361. Mike Maurice
362.  
363. 503-355-2281
364. CIS 71171,47
365.  
366.