home *** CD-ROM | disk | FTP | other *** search
/ CICA 1993 August / CICA.cdr / unzipped / programr / vwpd / virus.txt < prev    next >
Encoding:
Text File  |  1991-11-04  |  11.6 KB  |  366 lines
  1.  
  2. VWPD.386
  3.  
  4. Virus/Trojan Detector
  5. Runs in Protected Mode at Ring ZERO. The MOST secure of all the operating
  6. modes, unlike old style DOS real mode virus detectors. This is the World's
  7. First Windows Protected Mode Virus Detector. Runs constantly, but with
  8. low overhead; minimal impact on system performance. 
  9. Includes write protect feature for disk drives(see documentation for VWPD).
  10. Includes special feature to protect DOS commands and programs from running.
  11.  
  12.  
  13. Program and documentation file included.
  14.  
  15.  
  16. ------------------------------------------------------------------------
  17. Contains new features designed to provide enhanced VIRUS/TROJAN
  18. protection.
  19.  
  20.  
  21.  
  22. Version 1.05 has:
  23. Additional boot sector protection.
  24. Protect sectors from partition sector to boot sector hard drive zero.
  25. Fixes for INT 1Ah and CMOS, and the mouse disappearing.
  26. Fix for access floppy disk hangs machine, requires reset.
  27. Fix for DOS 5.0, call to PSP:5, if DOS loaded high.
  28. Fixes for formatting of floppies.
  29. Hardware trapping of format and reset commands at disk drive controller.
  30. Attemps to remove system or hidden file attributes.
  31.  
  32. Modified hard drive protection, protects all hard drives
  33.   from writes, except thru BIOS,
  34.   and ALL formatting (even attempts direct to the controller port).
  35.  
  36. DOS "VER" command now prints Windows numbers +
  37.   Dos version. (/W3 is highest level of warning, /W2 is next lower).
  38.  
  39. DOS "VWPD" command prints vwpd version and status message.
  40.  
  41. DOS "JOIN", "FDISK" command is disabled in Windows.
  42. ALSO APPEND, SUBST, FORMAT, ASSIGN.
  43.  
  44. TIME & DATE must be changed from the Windows Control Panel.
  45. They do not print out current time or date; this will be fixed.
  46.  
  47. Put in Dummy Command handler for hard disk controller(91h). Useful
  48. for testing if hard disk controller is protected.
  49.  
  50. Removed most protection from floppy drives. Some protection to be
  51. put back in.
  52.  
  53.  
  54. Version 1.06 has:
  55. FASTOPEN, APPEND commands is disabled.
  56. Fix for BUG in 1.05 caused Windows to Hang, when DOS "HELP" command used.
  57.  
  58.  
  59. See also WSAFE, our program to protect you from running certain DOS
  60. programs like CHKDSK while Windows is running. Endorsed in Brian
  61. Livingston's new book "Windows 3 Secrets", as Excellence in Windows
  62. Shareware.
  63.  
  64. Incidently about Brian's book on Windows 3 Secrets, run, don't walk
  65. to get a copy. It is excellent, maybe better than that. (By the way
  66. I don't make anything from the sale of the book.)
  67.  
  68.  
  69.  
  70. INSTALLATION
  71. ------------------------------------------------------------------------
  72. See instructions for VWPD.DOC
  73.  
  74.  
  75. In the documentation below, references to VWPD means the new version.
  76.  
  77.  
  78. TIPS: -------------------------------------------------------------------
  79.  
  80. If a DOS application tends to cause more messages than you would like,
  81. try running it in a window. The annoying screen switches that occur
  82. when a message is displayed, when a Windows application or a DOS full
  83. screen application are running, WILL NOT occur. (This work around is for
  84. a poor implementation of message box handling in windows).
  85.  
  86. In other words if the application causes a lot of messages. WINDOW it
  87. before you start it.
  88.  
  89.  
  90. GENERAL
  91. ------------------------------------------------------------------------
  92. A warning message is displayed for the following occurances. In most
  93. cases the message will allow for OK/CANCEL. OK allows the operation
  94. to proceed as normal. Cancel stops the operation from succeding and 
  95. where necessary forces the application to abort.
  96.  
  97.  
  98.  
  99. Mild warnings------------------------------------------
  100.  
  101. Attempts to terminate and stay resident.
  102.  
  103. Attempting to change the memory allocation strategy.
  104.  
  105. Attempts to read the hard disk partition table.
  106.  
  107. Attempting to reboot the system.
  108.  
  109. Attempting to get the DOS data segment.
  110.  
  111. Attempting to get the DOS list of lists
  112.  
  113. Attempting to create a Program Segment Prefix
  114.  
  115. Attempting to use int 40h, alternate disk handler
  116.  
  117. Attempting to change an interrupt vector
  118.  
  119. Some other obscure kinds of activity.
  120.  
  121.  
  122.  
  123. Intermediat warnings ----------------------------------
  124.  
  125. Attempt's to write sector one, head ZERO, track ZERO
  126. any floppy disk. This is the boot sector.
  127.  
  128. Attempting to get/set the disk handler.
  129.  
  130.  
  131. SEVERE errors -----------------------------------------
  132.  
  133. Attempts to clobber the CMOS RAM area.
  134.  
  135. Attempt's to write sector one, head ZERO, track ZERO
  136. hard drive. This is the partition sector.
  137. Also the boot sector, and on hard drive zero, all
  138. the sectors between the partition and the boot.
  139.  
  140. Attempts to use FCB's to DELETE ALL file entries.
  141.  
  142. Attempts to Write to .COM, .EXE or .SYS files.
  143.  
  144.  
  145.  
  146.  
  147. These measures prevent a virus from Terminating without warning,
  148. or modifying the disk partition table or adding itself to the boot
  149. sector on the floppy or HARD disk. (Hard disk boot sector protection 
  150. is a recent addition). Or, modify executable files.
  151.  
  152.  
  153. This protection ONLY applies when Windows is running in enhanced mode.
  154.  
  155.  
  156.  
  157. LIST OF Interrupts protected:-------------------------------------------
  158.  
  159. There is protection from calls to PSP:5.
  160. INT 13h, 19h, 1Ah, 21h, 26h, 27h, 2Fh, 40h.
  161.  
  162.  
  163. WARNING MESSAGES--------------------------------------------------------
  164. If VWPD puts up a warning message this DOES NOT MEAN that a virus
  165. is at work. In most cases, the application that is running is doing
  166. something PERFECTLY HARMLESS. However, if you want the operation to FAIL
  167. use the CANCEL button, else select OK.
  168.  
  169.  
  170. There are 2 message levels of severity in VWPD. Most warnings will allow
  171. the operation, if you select OK. In a couple of cases the operation will
  172. NOT be allowed as it would cause severe damage. 
  173.  
  174. It is necessary at the present time to use your own judgement in deciding
  175. what is and what is not a virus, in those cases where there is no obvious
  176. damage being done.
  177.  
  178. THINGS to Watch out for. Programs attempting to terminate and go resident
  179. especially if there is an attempt to change the memory allocation STRATEGY.
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187. CAUTIONS: --------------------------------------------------------------
  188. VWPD has been fixed to trap the backdoor into DOS thru CP/M call at PSP:5 if
  189. DOS 5.0 has been loaded high.
  190.  
  191. But, There may be a similar problem with other DOS extender systems. If the
  192. A20 line is enabled and wrap at 1 megabyte is disabled.
  193.  
  194. Formatting of floppies should only be done using a Windows application
  195. such as File Manager. Using DOS format is NOT recommended.
  196.  
  197.  
  198. TESTED WITH: -----------------------------------------------------------
  199.  
  200. This latest version has only been tested on DOS 3.30, 5.00,
  201. under Windows 3.0a. It has been tested with Win3.1-2.
  202.  
  203. DISK system, using 32 megabyte or smaller logical drives.
  204.  
  205. It should not be capable of causing or contributing to disk corruption.
  206. VWPD is basically a filter, that watches for certain kinds of activity.
  207. It does nothing which should cause you any continuing problems.
  208.  
  209.  
  210.  
  211. DOS 4.x, 5.x -----------------------------------------------------------
  212. I think VWPD is safe to use with DOS 5.0, it has been tested with it.
  213. If you use it with 5.0 suggest you NOT use it if you have logical drives
  214. larger than 32 megabytes. 
  215.  
  216. If you try it with over 32 megabyte logical drives, it should not be
  217. capable of causing any damage, but it is possible that you might get
  218. warning messages that I have not considered.
  219.  
  220.  
  221.  
  222. DISK Drives: -----------------------------------------------------------
  223.  
  224. (NOT included in this release!!).
  225. A program for testing your disk drive is included. It is called TESTDISK.
  226.  
  227. It will display a report on your screen, and will indicate if VWPD 
  228. will work properly with your disk drive.
  229.  
  230.  
  231. 2 HARD DISKS: VWPD has not been tested with a system with 2 hard drives.
  232. It may not provide as complete protection for drive 2 as drive 1.
  233.  
  234.  
  235.  
  236. VIRUS DETECTOR PROGRAMS ------------------------------------------------
  237. You may if you want try installing Central Point Software's Virus Detector
  238. or other such program in conjunction with VWPD. The other detector may
  239. be installed before Windows is started in which case it will protect all 
  240. activity or it may be installed after a DOS session is started in which
  241. case it will protect only that DOS session.
  242.  
  243. Using a second detector like this has not been tested.
  244.  
  245. Suggest you DO NOT run other detectors at the same time, as they will 
  246. affect performance.
  247.  
  248.  
  249.  
  250.  
  251.  
  252. PERFORMANCE: -----------------------------------------------------------
  253. VWPD has been written to minimize it's impact on the overall system
  254. performance. I believe you will find it is much less of a drag than
  255. ANY other virus detector available.
  256.  
  257.  
  258.  
  259. SPECIAL OPTIONS:--------------------------------------------------------
  260. The option VWPDWarn3 can be placed in the [386enh] section of system.ini.
  261. The default is TRUE. Setting it equal to false or zero (0), will turn
  262. off certain warning messages. But you will have less protection.
  263. (Get List of Lists, Go TSR, Create PSP are presently the only warnings
  264. turned off).
  265.  
  266. VWPDWarn3=False    ; default is TRUE.
  267.  
  268.  
  269. A future version of VWPD will allow turning off more warnings, but
  270. will use a smart system to detect a virus attack.
  271.  
  272. If Warn3 is off, then Warning level 2 is on. When you type the
  273. DOS "VER" command, the message displayed will tell you whether the
  274. warning level is /W3 or /W2. The "VER" command can be used whenever
  275. you are in a DOS box and at the command line prompt.
  276.  
  277.  
  278. TESTING: ---------------------------------------------------------------
  279. A program to test and demonstrate the functionality of VWPD will be
  280. included in a future release.
  281.  
  282.  
  283.  
  284. In the meantime, here are some suggested tests that YOU can perform.
  285.  
  286. Format a floppy disk. Should work ok. Use Windows Format in File Manager.
  287.  
  288. Copy some files to and from the floppy disk. Should work ok.
  289.  
  290. Attempt to change the time. Time or Date will display. Cannot change.
  291.      Use Control Panel, to change.
  292.  
  293. Run Debug. Should give a warning.
  294. Use the Mem command in DOS 5.0. Should give a warning.
  295.  
  296.  
  297. Try the DOS commands that have been disabled or modified under
  298. Windows 386 enhanced mode. Such as: DATE, TIME, JOIN, FDISK, FORMAT, etc.
  299.  
  300.  
  301. Try the new DOS box command: VWPD.
  302.  
  303. Use the Norton or PC Tools utilities to change a byte on the disk.
  304. DON'T try this unless you know what you are doing.
  305.  
  306.  
  307.  
  308.  
  309. WARNINGS !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  310.  
  311. FORMATTING of floppies should ONLY be done by File Manager.
  312. DOS formatters run from a DOS BOX will not work correctly.
  313. DOS Format is disabled.
  314.  
  315. DO NOT use VWPD with the high performance file system (HPFS)!
  316. Has not been tested for the HPFS and it may not work correctly.
  317.  
  318. An attempt to do so is supposed to result in an explicit warning
  319. message and Windows will return to the DOS prompt.
  320.  
  321.  
  322.  
  323.  
  324. ISSUES not properly addressed in this version --------------------------
  325.  
  326. 1. Protected mode versus real mode operations have not been completely 
  327. resolved.
  328.  
  329. 2. Consistent information messages appropriate to the level of protection
  330. needed.
  331.  
  332. 3. How much more checking to do and what impact it will have on performance.
  333.  
  334. 4. NMI masking on port 70hex.
  335.  
  336. 5. DOS commands changed or disabled, do not check for options (CHKDSK /f).
  337.  
  338.  
  339. PC Magazine AnitVirus Software Review, Oct 29, 1991 p.199
  340. -------------------------------------------------------------------------
  341.  
  342. Features Provided by VWPD:
  343.  
  344. Monitors DOS interrupts
  345. Protects COMMAND.COM & other .COM files
  346. Protect Boot Sectors
  347. Protects Hidden System files
  348. Protects Partition Table
  349. Protects .SYS & .EXE files
  350. Protects CMOS
  351. Detects on demand
  352. Uses write traps
  353. Uses read traps
  354.  
  355.  
  356.  
  357. FEEDBACK: --------------------------------------------------------------
  358.  
  359. Feedback and comments are welcome.
  360.  
  361. Mike Maurice
  362.  
  363. 503-355-2281
  364. CIS 71171,47
  365.  
  366.