home *** CD-ROM | disk | FTP | other *** search
/ Gold Medal Software 4 / Gold Medal Software - Volume 4 (Gold Medal) (1994).iso / virus / fp_213a.arj / VIRSTOP.DOC < prev    next >
Text File  |  1994-05-18  |  5KB  |  114 lines
  1.                               VIRSTOP
  2.  
  3. The primary purpose of the VIRSTOP.EXE program is to prevent the execution
  4. of programs infected with known viruses.
  5.  
  6. VIRSTOP installs itself in RAM as a standard TSR and intercepts the
  7. so-called "Load-and-execute" function.  This means that whenever an attempt
  8. is made to run a program VIRSTOP gets a chance to examine it first.
  9.  
  10. VIRSTOP uses a simple but fast search to check for viruses, but it does
  11. not make an accurate identification - F-PROT.EXE is necessary for that
  12. purpose.
  13.  
  14. IMPORTANT! ...  VIRSTOP does not detect the same number of viruses as
  15. F-PROT.  In particular, VIRSTOP does not detect most polymorphic viruses. 
  16. It is therefore recommended that VIRSTOP only be used as one component of
  17. the virus protection - do not rely on it alone.
  18.  
  19. If VIRSTOP finds a virus, it will abort the execution of the program,
  20. display a message and return an error.  For example, if you attempt to run
  21. a program infected with the Cascade virus, with VIRSTOP active in memory,
  22. you might see something like this:
  23.  
  24.  
  25.     This program is infected with the Cascade virus.
  26.     Cannot execute A:\INF-PROG.COM
  27.  
  28. VIRSTOP has a secondary function as well - it attempts to check for any
  29. active boot sector virus when it is run. 
  30.  
  31. Older versions of F-PROT (pre-2.0) contained two programs (F-DRIVER.SYS and
  32. F-NET.EXE) which are now replaced by VIRSTOP.EXE.  Using a .SYS program is
  33. in some ways preferable to using an .EXE program, in particular as it
  34. reduces the chances than an infected program is run before the monitoring
  35. program (VIRSTOP or F-DRIVER).  However, this caused problems on networked
  36. machines, as network software often takes over the "Load-and-execute"
  37. function, disabling the monitoring program.
  38.  
  39. VIRSTOP is supplied as an .EXE file, so that it can be run after the
  40. network software is installed (in AUTOEXEC.BAT).  On stand-alone machines
  41. the program may be loaded as a device-driver, with a command such as
  42.  
  43.                     DEVICE=C:\F-PROT\VIRSTOP.EXE
  44.  
  45. IMPORTANT! - If HIMEM.SYS is used, it must be loaded before VIRSTOP.
  46.  
  47. VIRSTOP.EXE includes one additional feature - it is designed to be able to
  48. detect if it has been infected by a "stealth" virus - an ability which
  49. is rather unusual.  It is also often (but not always) able to detect
  50. attempts to run "stealth"-virus infected programs, even though the virus is
  51. active in memory. 
  52.  
  53. In order to test if VIRSTOP is properly installed, the program F-TEST is
  54. provided.  It is NOT a virus, but it is detected by VIRSTOP the same way as
  55. a virus-infected program.
  56.  
  57. If VIRSTOP is not installed or not active, F-TEST will print out a message
  58. when run.  If it is active and working, VIRSTOP will display a message
  59. saying so, and return a code of 1, which can be checked with the
  60. ERRORLEVEL command.
  61.  
  62. VIRSTOP supports the following command-line switches:
  63.  
  64.     /DISK:X - do not store search strings in memory, but read them
  65.     in from disk when necessary.  This reduces the memory requirements
  66.     down to around 3500 bytes.  The :X indicates which drive to use for
  67.         store the two "swap" files, _VIRSTOP.TMP (which stores the part
  68.         of memory overwritten by VIRSTOP) and _VIRSTOP.SWP, which is a
  69.         copy of VIRSTOP.EXE, allowing the original copy to be updated
  70.     while VIRSTOP is running.
  71.  
  72.     Notes:
  73.         If the drive letter is not specified, it defaults to C:
  74.  
  75.         The drive should be a fast, local drive - not a network
  76.         drive.  RAMdisks are ideal.
  77.  
  78.         /DISK can now be used if you run VIRSTOP from a diskette
  79.         which is later removed, as the original file is not
  80.         accessed, just the _VIRSTOP.SWP copy.
  81.  
  82.         If this switch is used, and VIRSTOP is loaded from CONFIG.SYS,
  83.         it is critical that the full path name is given.
  84.  
  85.         DO NOT USE /DISK IF YOU USE DEVICEHIGH= TO LOAD VIRSTOP
  86.                 (LOADHI seems to work OK, though).
  87.  
  88.     /OLD - do not complain, even if the program has "expired".  Use of
  89.     this switch is generally not recommended.
  90.  
  91.         /REHOOK   Re-hook INT 21h, if VIRSTOP was loaded before Netware or
  92.       another similar program that takes over the "load-and-execute"    
  93.     function.
  94.  
  95.         /NOTRACE  Using this swith makes VIRSTOP work properly on machines
  96.         that are using old (and not 100% Intel-compatible) versions of the
  97.         Cyrix 486SLC processor.  It will also fix some compatibility
  98.         problems with the 386MAX and BlueMax memory managers. However,
  99.         this switch should not be used unless necessary, as it makes
  100.     VIRSTOP ineffective against stealth viruses that are run before
  101.         VIRSTOP is loaded.
  102.  
  103.         /NOMEM    Do not perform a memory scan when starting.
  104.  
  105.         /FREEZE   Stop the computer when a virus is found.
  106.  
  107.         /[NO]COPY [Do not] check files when they are accessed/copied.
  108.  
  109.         /[NO]BOOT [Do not] check boot sectors when a diskette is accessed.
  110.  
  111.         /[NO]WARM [Do not] check the diskette in drive A: when the user
  112.                   presses Ctrl-Alt-Del
  113.  
  114.