home *** CD-ROM | disk | FTP | other *** search
/ Garbo / Garbo.cdr / pc / virus / vcheck.arc / VCHECK.DOC next >
Text File  |  1988-11-29  |  8KB  |  211 lines
  1.  
  2.  
  3.                                    VCHECK V1.1E
  4.                            by Systemberatung A. Dunkel
  5.  
  6.  
  7.  
  8.        Introduction:
  9.        
  10.        As the danger of computer viruses rises from day to day,
  11.        VCHECK.EXE was developed as a virus detection program for IBM
  12.        (compatible) computers.
  13.        
  14.        Syntax:
  15.        
  16.           VCHECK <Path> [Options]
  17.        
  18.        Options:  /P <path>        : directory for data file
  19.                  /D <path+file>   : documentation file
  20.                  /DL <path+file>  : list all files in docu-file
  21.                  /DX <path+file>  : create new docu-file
  22.                  /S               : do only compare file sizes
  23.                  /SD              : calculate check sums only if not yet
  24.                                     done today
  25.        
  26.        Description:
  27.        
  28.        VCHECK.EXE creates a database of all executable files (*.EXE and
  29.        *.COM) and calculates check-sums of these files. Presumed that a
  30.        virus has to change the code of a program in order to infect it,
  31.        it is possible to detect the infection by either a change of the
  32.        programs' size or by a change of its checksum. This work of
  33.        watching and comparing file sizes/checksums is done by VCHECK.
  34.        
  35.        On every invokation of VCHECK, the program will compare the data
  36.        stored in the database with the current state of the files. If any
  37.        differences occur, VCHECK will give a warning. In this case,
  38.        VCHECK will also ask you to acknowledge the warnings by pressing a
  39.        key.
  40.        
  41.        The program can NOT decide, whether a given program is a virus,
  42.        but it will recognize changes in present programs.
  43.        
  44.        All recognized changes in programs will be documented in a
  45.        documentation file; all changes will be listed there together with
  46.        the date and time of the examination, affected file names, old and
  47.        new sizes, and old and new checksums.
  48.        
  49.        If the documentation file already exists, the new information will
  50.        be appended to file. By doing this, you will always have a history
  51.        of examinations and changes.
  52.        
  53.        In case a program changes (especially if more than one program
  54.        changes at one time) it is time to consider the possibility of the
  55.        presence of a virus. One has to keep in mind that there are
  56.        programs that change themself without being a virus (e.g.
  57.        configuration data).
  58.        
  59.        If you come to the conclusion, that there is a virus present, then
  60.        (to cut the matter short) reboot from a KNOWN DOS-disk, consider
  61.        the list of affected files and delete/restore them.
  62.        
  63.  
  64.  
  65.  
  66.                                        (1)
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.                                    VCHECK V1.1E
  74.                            by Systemberatung A. Dunkel
  75.  
  76.  
  77.  
  78.        AGAIN: the program can NOT prevent any virus to infect other
  79.        programs, so the most important thing is to keep backups of every
  80.        program!
  81.        
  82.        Syntax:
  83.        
  84.           VCHECK <Dir> [/P <path>] [/DXL <docu-file>] [/SD]
  85.        
  86.        <Dir>:
  87.        
  88.        VCHECK will examine all files in the given directory and its
  89.        subdirectories. For example 'C:\' if you want all (executable)
  90.        files on drive C: to be examined.
  91.        
  92.        /P <path>:
  93.        
  94.        VCHECK creates the file 'vcheck.dta' which will be used to store
  95.        the present state (size/checksum) of the files. With option '/P'
  96.        you may tell VCHECK in which directory to store this file.
  97.        
  98.        /D[LX] <path+filename>:
  99.        
  100.        All recogniced changes will be written into the documentation
  101.        file. If the file already exists, the new information will be
  102.        appended to the file. The file will look like the the following:
  103.        
  104.                                 Virus-Check V1.0E
  105.                          by Systemberatung Axel Dunkel
  106.        
  107.                                                Check Sum         Size
  108.        Filename                                old     new       old     new
  109.        =======================================================================
  110.        Date: 14.11.1988 Time:  9.26: No Changes
  111.        Date: 14.11.1988 Time: 20.45: (No check-sums tested)
  112.        D:\TMP\TEST.EXE                           -     00F6E8D2    -    158708
  113.        Date: 14.11.1988 Time: 22.12: (No check-sums tested) No Changes
  114.        
  115.        
  116.        The additional option 'X' will tell VCHECK to delete the
  117.        documentation file first if it already exists.
  118.        
  119.        If you give the additional option 'L', ALL files will be listed in
  120.        the documentation file, not only the one's that have changed.
  121.        
  122.        
  123.        /S[D] :
  124.        
  125.        VCHECK will only compare the file sizes and not calculate the
  126.        checksums.
  127.        
  128.        If you use the additional option 'D' (daily), VCHECK will
  129.        calculate checksums only if they were not yet calculated today.
  130.        This is especially useful in the AUTOEXEC.BAT, so that every day
  131.        the files will be checked completely once at startup, but not
  132.        every time you reboot the system (time saver).
  133.  
  134.  
  135.  
  136.                                        (2)
  137.  
  138.  
  139.  
  140.  
  141.  
  142.  
  143.                                    VCHECK V1.1E
  144.                            by Systemberatung A. Dunkel
  145.  
  146.  
  147.  
  148.        Distribution of VCHECK:
  149.        
  150.        This program is *NOT* public domain. It may be copied freely to
  151.        anyone if done so without charge and together with this
  152.        documentation. If you use VCHECK, send a registration of $25 to
  153.        
  154.                            Systemberatung Axel Dunkel
  155.                              Robert-Schuman-Ring 37
  156.                                  D 6239 Kriftel
  157.                                   West Germany
  158.        
  159.        You will then receive the next version of VCHECK, which will have
  160.        some additional features like CRC-checks, etc. Please add
  161.        information whether you need VCHECK on 5.25" or 3.5" disks.
  162.        
  163.        There is also a german version of VCHECK available.
  164.        
  165.        There is NO WARRENTY what-so-ever given by the author, it is
  166.        especially not guaranteed that VCHECK will detect every virus that
  167.        may come up.
  168.        
  169.        Remarks:
  170.        
  171.        - Comments and suggestions are welcome. Please mail them to:
  172.        ...!mcvax!unido!cosmo!ADSOFT or unido!cosmo!ADSOFT@uunet.uu.net
  173.        
  174.        - Equipment: VCHECK was tested on an IBM PS/2 Model 60 with
  175.        DOS 3.3
  176.        
  177.        - VCHECK will also access hidden files (like IBMDOS.COM) and read-
  178.        only files.
  179.        
  180.        - Since the checksum is calculated as an 32-bit checksum, there is
  181.        nearly no chance for a virus to modify a program without changing
  182.        its checksum. However, there will be an additional CRC-check
  183.        available in the next version of VCHECK.
  184.        
  185.        - Speed: On an IBM PS/2 Model 60, VCHECK calculates the checksums
  186.        of aprox. 5.4 MB/min or 90 KB/sec.
  187.        
  188.        - Since viruses most likely will infect only EXE- and COM-files
  189.        (so VCHECK itself can be infected as well) you may rename
  190.        VCHECK.EXE to e.g. VCHECK.PG and rename it just before using the
  191.        program. This will prevent viruses from trying to infect VCHECK.
  192.        You may then write a batchfile like the following:
  193.        
  194.           rename vcheck.pg vcheck.exe
  195.           vcheck c:\ /P c:\vcheck /D c:\vcheck\check.doc /SD
  196.           rename vcheck.exe vcheck.pg
  197.        
  198.        This will start VCHECK on drive C: in all directories, the data
  199.        file will be placed in the directory c:\vcheck, the documentation
  200.        will be appended to the file c:\vcheck\check.doc, and checksums
  201.        will only be calculated if not yet done today (this may be used in
  202.        your AUTOEXEC.BAT).
  203.  
  204.  
  205.  
  206.                                        (3)
  207.  
  208.  
  209.  
  210.  
  211.