home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
The Original Shareware 1.1
/
The Original Shareware (WeMake CDs)(Volume 1.1)(CDs, Inc)(1993).iso
/
30
/
tbscnx29.zip
/
TBSCANX.DUT
< prev
next >
Wrap
Text File
|
1991-06-24
|
40KB
|
939 lines
DOCUMENTATIE VOOR TBSCANX V2.9
Reglementen met betrekking tot gebruik en distributie van TbScanX
-----------------------------------------------------------------
Het programma TbScanX alsmede de begeleidende documentatie is
SHARE-WARE. Dit betekent kortweg dat het programma onder de
copieerrechten van ESaSS valt, maar gebruikt en verspreid mag
worden zolang onderstaande regels in acht worden genomen:
+ Voor de distributie en verspreiding van het TBSCAN programma
mogen geen administratie en/of verzendkosten worden berekend
die het bedrag van Fl 7,50 overschrijden.
+ Het programma mag niet worden geleverd met, of als deel van
een commercieel pakket.
+ Verspreiding van het programma mag alleen geschieden indien
zowel het programma als de documentatie ongewijzigd zijn, en
mits het gehele pakket wordt geleverd. Het programma mag dus
niet los van deze documentatie worden verspreid.
+ ESaSS aanvaart geen enkele verantwoordelijkheid voor het niet
of slecht functioneren van het programma.
+ ESaSS kan nimmer aansprakelijk worden gesteld voor schade,
direct of indirect voortvloeiende uit het gebruik van TbScanX.
+ Gebruik van TbScanX betekent dat u accoord gaat met deze
bepalingen.
Beschrijving TbScanX
--------------------
TbScanX is een programma dat werd gemaakt om virussen, Trojan
Horses en andere bedreigingen van uw kostbare gegevens op te sporen
en te identificeren. Het is een zogenaamde virusscanner.
Een virusscanner is een programma dat naar een vooraf bepaalde
tekenreeks in programma's kan zoeken. De meeste virussen bestaan
uit een unieke tekenreeks, zodat we aan het al dan niet voorkomen
van de tekenreeks kunnen zien of een programma is besmet.
Door alle programmabestanden op uw machine af te zoeken naar de
tekenreeksen van alle reeds geidentificeerde virussen kan op een
eenvoudige manier worden vastgesteld of uw systeem is besmet en zo
ja, met welk virus.
Er bestaan inmiddels veel virusscanners. Het probleem van deze
virusscanners is dat je ze dient uit te voeren. Stel dat u een
virusscanner automatisch laat opstarten via uw autoexec.bat
bestand. Indien er geen virussen worden aangetroffen wordt uw
systeem vrij van virussen geacht. Maar om er zeker van te zijn dat
niet alsnog virussen uw systeem kunnen binnensluipen dient u
eigenlijk iedere keer dat u een bestand naar uw vaste schijf
kopieert de virusscanner weer uit te voeren. Maar wie doet dat in
de praktijk?
TbScanX is een scanner die dit probleem voor u oplost: het blijft
permanent in het geheugen van uw PC en zal AUTOMATISCH ieder
bestand scannen dat wordt uitgevoerd, gekopieerd, gemodificeerd,
uitgepakt, gedownload, etc.
Hetzelfde geldt voor de bootsectorvirussen: iedere keer dat u een
diskette in een drive stopt wordt deze automatisch gecontroleerd.
Indien de diskette besmet is met een virus wordt u gewaarschuwd.
Wellicht denkt u dat een geheugenresidente virusscanner veel
geheugen kost, uw systeem traag maakt, en een bron van ellende zal
blijken. Maar indien u onze TBSCAN virusscanner reeds kent dan weet
u dat deze scanner gemiddeld tien maal sneller is dan andere
virusscanners. Ook TbScanX haalt deze snelheid, en is zelfs nog een
stuk sneller omdat hij de te scannen bestanden niet meer hoeft in
te lezen. Deze bestanden zijn namelijk al in het geheugen van uw PC
aanwezig!
Daarnaast gebruikt TbScanX slechts 8 Kb aan geheugen, en dat is
inclusief de handtekeningen (signatures) waarvoor het moet waken.
Indien er "expanded memory" op uw machine aanwezig is kan het
geheugengebruik zelfs worden beperkt tot nog geen 1Kb.
TbScanX heeft dezelfde eigenschappen als zijn broertje TBSCAN:
+ TbScanX is volledig programmeerbaar door middel van een
databestand.
Virussen verspreiden zich vaak snel. Er is vaak geen tijd om na
de ontdekking van een nieuw virus een virusscanner om te bouwen
zodat het ook dit nieuwste virus herkent. Daarom gebruikt
TbScanX een databestand waarin de tekenrijen van de virussen
staan. Dit bestand kan snel worden aangepast, eventueel door u
zelf naar aanleiding van een bericht via de media. TbScanX
ondersteunt onder andere het formaat dat wordt gebruikt in het
bestand "virscan.dat". Dit bestand wordt regelmatig aangepast
en is op veel databanken te verkrijgen.
+ TbScanX ondersteunt jokers in de zoekreeks.
Veel virussen versleutelen zichzelf, zodat de tekenreeks er
iedere keer anders uitziet. Er is echter een deel van het virus
dat niet kan worden versleuteld: de routine die het
versleutelde deel van het virus moet "uitpakken".
Het is echter een misvatting dat dit deel van het virus er
altijd hetzelfde uit zou moeten zien. Er zijn namelijk virussen
die de uitpak-routine doorspekken met zinloze (en geen effect
sorterende) instructies, die ze iedere keer vervangen door
andere onzinnige instructies. Hoewel de uitpak-routine
functioneel altijd hetzelfde blijft ziet het er door die
veranderende nep-instructies niet altijd hetzelfde uit!
Door in de tekenrij in het databestand op de plaatsen waar de
nep-instructies voorkomen jokers te plaatsen kan een dergelijk
virus toch worden opgespoord en geidentificeerd. Op de plaats
van de joker mag namelijk een willekeurig teken voorkomen.
Ook is het mogelijk een variabel aantal tekens over te laten
slaan in de zoekreeks.
+ TbScanX ondersteunt gewone tekst als zoekreeks.
De meeste tekenreeksen worden in ASCII-HEX ingegeven. U kunt
echter indien u dat wenst ook een gewone tekst als zoekreeks
opgeven. U plaatst de tekst dan tussen dubbele quotes: ["].
+ TbScanX biedt andere programmatuur een universele manier om
gegevens te laten doorzoeken op virussen. Indien u een
programmeur bent kunt u uw programma's zo aanpassen dat ze
gegevens die ze vanaf schijf lezen eerst laten onderzoeken op
virussen alvorens de gegevens te gebruiken.
Gebruik van het programma
-------------------------
TbScanX is eenvoudig in het gebruik: toets gewoon "TBSCANX". Het
programma kan ook vanuit de config.sys worden opgestart via het
commando "device=TBSCANX.COM". Het voordeel van de laatste methode
is dat TbScanX een gunstiger positie in het werkgeheugen krijgt en
al eerder zijn beschermende werking kan uitvoeren. Bovendien
gebruikt TbScanX minder geheugen wanneer het als device driver is
opgestart. (LET OP: Indien u TbScanX als device driver opstart
dient de uitgang .COM te worden opgegeven!)
Indien u MS-Windows gebruikt kunt u het beste TbScanX aanroepen
VOORDAT u Windows opstart. U heeft dan slechts een enkele kopie van
TbScanX nodig in het werkgeheugen, terwijl toch alle DOS-windows
van de beveiliging profiteren. TbScanX detecteert namelijk het
opstarten van Windows en schakelt indien nodig om in multi-tasking
mode.
Het behoort tot de mogelijkheden om zogenaamde opties mee te geven
op de commando regel. TbScanX herkent optie-letters en
optie-woorden. De woorden zijn eenvoudiger te onthouden, en worden
daarom in deze handleiding gebruikt.
De volgende opties zijn beschikbaar:
-help, -h =toon helpscherm
-off, -d =stel TbScanX buiten werking
-on, -e =activeer TbScanX
-remove, -r =verwijder TbScanX uit het geheugen.
-noexec, -n =nooit scannen bij uitvoering
-allexec, -a =altijd scannen bij uitvoering
-noboot, -s =controleer geen bootsectoren
-quiet, -q =druk niet *Scanning* af
-expanded, -me =gebruik EMS geheugen
-umb, -mu =gebruik hoog geheugen
-herchalf, -mh =gebruik Hercules-half geheugen
-hercfull, -mf =gebruik Hercules-full geheugen
-cga, -mc =gebruik CGA/EGA/VGA geheugen
-yes, -y =altijd antwoord Yes
-valid, -u =ongeauthorizeerde handtekeningen toegestaan
[-data] <filename>, [-f] <filename> =gebruik opgegeven databestand
-help
Wanneer deze optie wordt opgegeven laat TbScan het helpscherm zien.
Het helpscherm laat bovenstaand stukje tekst zien waarin alle
opties staan weergegeven.
-off
Met deze optie kunt u TbScanX tijdelijk uitschakelen. TbScanX
blijft echter in het geheugen aanwezig.
-on
Gebruik deze optie om TbScanX weer opnieuw te aktiveren nadat het
met behulp van de -off optie was uitgeschakeld.
-remove
Deze optie kan worden gebruikt om TbScanX weer uit het geheugen van
uw PC te verwijderen. Al het geheugen dat TbScanX in gebruik nam
wordt dan weer vrijgegeven. Helaas is het niet altijd mogelijk een
TSR als TbScanX uit het geheugen te verwijderen. Indien een andere
TSR na TbScanX is opgestart kan TbScanX niet worden verwijderd.
TbScanX controleert of dit het geval is en zal dan TbScanX volledig
inactiveren. Indien het karakter-device "SCANX" bestaat dan zal
dit worden hernoemd naar "$CANX". Indien op een later tijdstip
TbScanX opnieuw wordt aangeroepen wordt het device automatisch
hernoemd en opnieuw gebruikt.
-data
Met deze optie kunt u de bestandsnaam van het signaturebestand
opgeven.
TbScanX zoekt op de volgende wijze naar het databestand:
1) Het gebruikt het bestand dat is opgegeven m.b.v. de -data optie.
2) Het kijkt of het in de actieve directory een bestand met de
naam "TBSCAN.DAT" kan vinden.
3) Het zoekt naar "TBSCAN.DAT" in de zelfde directory als waar
het programmabestand "TBSCAN.COM" zelf staat (alleen DOS 3+).
4) Het zoekt in de actieve directory naar een bestand met de naam
"VIRSCAN.DAT"
Indien TbScanX niet in staat is het juiste databestand te vinden
kunt u de optie -data gebruiken.
-noexec
TbScanX controleert programma's op diskettes ook vlak voor ze
worden uitgevoerd. Indien u dat niet op prijs stelt kunt u het met
deze optie uitschakelen tijdens de eerste aanroep van TbScanX.
-allexec
TbScanX controleert uit te voeren programma's alleen maar wanneer
ze op diskettes staan. Programma's op de vaste schijf worden
vertrouwd, omdat ze immers eerst op de harde schijf moeten zijn
gecopieerd of ge-download. En als dat gebeurt is heeft TbScanX ze
al automatisch gecontroleerd. Maar indien u wilt dat ieder bestand
ook nog een keer wordt gecontroleerd wanneer het wordt uitgevoerd,
ongeacht het feit dat het programma op diskette staat of op een
vaste schijf, kunt u deze optie opgeven bij de eerste aanroep van
TbScanX.
-noboot
Iedere keer dat de bootsector van een diskette wordt gelezen
controleert TbScanX deze sector automatisch op virussen. Indien u
de diskette verwisselt zal DOS altijd als eerste de bootsector
opnieuw inlezen omdat DOS anders niet kan weten wat voor soort
diskette er in het station zit. En zodra DOS de bootsector inleest
controleert TbScanX deze sector op virussen. Indien u dit niet op
prijs stelt, of het problemen oplevert kunt u het afzetten door
tijdens de eerste aanroep van TbScanX de optie -noboot op te geven.
In dat geval wordt er geheugen bespaard omdat de signatures die
betrekking hebben op bootsectorvirussen niet worden opgeslagen.
-quiet
TbScanX drukt normaal een rechthoek met "*Scanning*" af in de
linkerbovenhoek van uw scherm wanneer het aan het scannen is. U
kunt dit onderdrukken door tijdens het opstarten van TbScanX deze
optie op te geven.
-valid
TbScanX controleert het handtekeningenbestand op "echtheid". Indien
het bestand is gewijzigd geeft TbScanX een waarschuwing. Indien u
geen prijs stelt op de waarschuwing gebruik dan de optie -valid
-yes
Indien u systeembeheerder bent kunt u de mogelijkheid om door te
gaan nadat TbScanX een virushandtekening heeft aangetroffen buiten
werking stellen. Normaal wordt aan de gebruiker de vraag gesteld of
de verdachte operatie moet worden afgebroken, maar indien tijdens
het opstarten de optie -yes is opgegeven zal TbScanX zich altijd
gedragen alsof de gebruiker "Y" heeft ingetoetst.
-umb
Deze parameter maakt het mogelijk TbScanX te laden in zogenaamd
Upper memory. Dit is geheugen dat op veel 80386 machines wordt
aangemaakt met bijvoorbeeld QEMM. TbScanX laadt zichzelf
zelfstandig in upper memory, gebruik dus geen highload programma's.
Indien deze parameter wordt gebruikt in combinatie met een andere
dan wordt het resterende deel van TbScanX dat nog in conventioneel
geheugen staat naar upper memory verplaatst. U kunt dus
gelijktijdig Expanded en Upper memory laten gebruiken. Voordeel is
dan dat de hoeveelheid upper memory dat gebruikt wordt eveneens
wordt geminimaliseerd.
-expanded
Indien u deze parameter opgeeft gebruikt TbScanX expAnded geheugen
om de signatures en een deel van zichzelf te bewaren. Expanded
geheugen kan echter slechts worden gebruikt in stukken van 16Kb,
dus de minimale hoeveelheid expanded geheugen die u verliest
bedraagt 16Kb. Maar aangezien conventioneel werkgeheugen van meer
waarde is voor uw programma's dan expanded geheugen is deze optie
altijd aan te raden.
-herchalf
Indien u deze parameter opgeeft gebruikt TbScanX een deel van het
Hercules videogeheugen om de signatures te bewaren. Zolang de
videokaart in de tekstmodus staat wordt er namelijk slechts een
deel van het videogeheugen gebruikt. De rest kan dan worden
gebruikt voor... TbScanX. Videogeheugen is echter vrij traag,
dus TbScanX wordt dan wel iets langzamer. Indien er toch een
grafisch programma wordt uitgevoerd zet TbScanX zichzelf gewoon
buiten werking. TbScanX kan daarna opnieuw worden geactiveerd door
het opnieuw op te starten. Gedeelten van TbScanX die nog in het
geheugen aanwezig waren worden dan automatisch eerst verwijderd.
-hercfull
Deze optie doet hetzelfde als optie -herchalf, alleen wordt de
Hercules videokaart eerst in de zogenaamde full-mode gezet. TbScanX
gebruikt dan videogeheugen dat zelfs door de meeste grafische
pakketten NIET wordt gebruikt! U kunt dan dus toch grafische
programma's draaien en tegelijkertijd TbScanX het videogeheugen
laten gebruiken. Let echter op: Indien u TWEE videokaarten in uw
machine heeft zitten gebruik deze optie dan NIET!
-cga
Deze parameter doet hetzelfde als optie -herchalf, alleen wordt nu
een deel van het CGA/EGA/VGA videogeheugen gebruikt.
Voorbeelden:
c:\utils\tbscanx -data c:\tb\tbscan.dat -expanded -umb
of:
device=c:\utils\tbscanx.com -data c:\tb\tbscan.dat -umb -noboot
Wanneer er geprobeerd wordt om te schrijven naar een uitvoerbaar
bestand (bestanden met de uitgang .COM en .EXE) ziet u kort de
tekst "*Scanning*" in de linker bovenhoek van uw scherm
verschijnen. Zo lang als TbScanX aan het scannen is zo lang wil
deze melding blijven staan. Omdat TbScanX niet veel tijd nodig
heeft om een bestand te scannen zal de melding maar erg kort te
zien zijn.
Zodra TbScanX een virus detecteert in een bestand drukt het de
volgende melding af:
WARNING, <filename> is infected with <virus name>!
Abort? (Y/n)
Toets "N" om door te gaan, of druk op een andere toets om de
gevaarlijke activiteit af te breken.
Zodra TbScanX een virus detecteert in een bootsector drukt het de
volgende melding af:
WARNING, Disk in <drive> is infected with <virus name>!
Press a key...
Hoewel er een virus schijnt te zitten in de bootsector van de
aangegeven diskette, kan het virus niets doen. Echter, wanneer u de
machine herstart met de bewuste diskette in het station zal het
virus uw vaste schijf besmetten!
Om de naam van het virus af te kunnen drukken heeft TbScanX het
signaturebestand opnieuw nodig. Het gebruikt automatisch hetzelfde
bestand dat het gebruikte toen het werdt opgestart. Indien het
signaturebestand niet meer bestaat (omdat u het heeft hernoemd of
verwijderd) of door een of andere oorzaak niet kan worden
gebruikt, detecteert TbScanX nog steeds virussen, maar kan niet
meer de naam van het virus afdrukken. Het drukt inplaats van de
naam "[name unknown]" af.
Indien TbScanX als device driver is opgestart heeft het een
zogenaamd "character device" aangemaakt met de naam "SCANX".
Wanneer u gegevens naar dit device stuurt worden deze automatisch
onderzocht op virussen. Toets bijvoorbeeld in:
copy testvir.com scanx /b
Er wordt geen bestand met de naam "scanx" aangemaakt, maar de
invoer (in dit geval afkomstig van het bestand "testvir.com") wordt
doorzocht op virussen. Op deze manier kunt u een willekeurig
bestand (ook de niet uitvoerbare bestanden) laten doorzoeken op
virussen zonder er een speciaal programma voor op te starten.
Indien het device "scanx" een signature herkent in de invoer
simuleert het een DOS "write protect error".
De "/b" optie is absoluut nodig, omdat DOS anders de tekens een
voor een naar het device stuurt. Dit kost veel tijd en bovendien
worden er geen signatures gevonden in een tekenreeks bestaande uit
slechts 1 teken.
REGISTREREN
-----------
De ongeregistreerde versie van TbScanX vraagt u om een toets in te
drukken tijdens het opstarten, behalve wanneer er een
Thunderbyte-kaart in de machine zit. Hoe u TbScanX kunt registreren
ziet u in de register.doc file.
Eenmaal geregistreerd kunnen alle toekomstige versies van TbScanX
zonder extra kosten worden gebruikt!
--> U HOEFT TBSCANX NIET TE REGISTREREN VOOR GEBRUIK IN EEN MACHINE
WAARIN EEN THUNDERBYTE-KAART IS GEINSTALLEERD!
Opmaak van het databestand
--------------------------
Het databestand (met de naam "TBSCAN.DAT" of "VIRSCAN.DAT") kan met
iedere ASCII-editor gelezen en/of gewijzigd worden.
Alle regels die beginnen met het teken ";" zijn commentaarregels.
TBSCAN negeert deze regels volkomen. Wordt het teken ";" gevolgd
door een procentteken dan wordt de rest van de regel op het scherm
afgedrukt. Er kunnen maximaal 15 regels worden afgedrukt op het
scherm. Handig for "HOT NEWS"...
Als eerste regel wordt de naam van een virus verwacht. De tweede
regel bevat dan een of meer van de volgende woorden:
BOOT SYS EXE COM HIGH LOW
Deze woorden mogen worden gescheiden door spaties, tabs, of
komma's.
TbScanX zoekt alleen naar virussen die het sleutelwoord COM, EXE of
BOOT bevatten. De andere sleutelwoorden worden genegeerd en alleen
gebruikt in de niet-geheugenresidente versie: TBSCAN. TbScanX maakt
ook geen onderscheid tussen COM en EXE bestanden. Alle uitvoerbare
bestanden worden doorzocht op beide soorten virussen. Dit bespaart
geheugen.
BOOT geeft aan dat het virus een BOOT-sector virus is. SYS, EXE,
en COM geven aan dat het virus in bestanden met de genoemde
uitgangen kan voorkomen. Overlay bestanden (bestanden met de
uitgang .OV?) worden doorzocht op EXE virussen. HIGH geeft aan dat
het virus in het geheugen van de PC kan voorkomen, en wel in het
geheugen BOVEN het TBSCAN programma zelf. LOW geeft aan dat het
virus in het geheugen van de PC kan voorkomen, en wel in het
geheugen ONDER het TBSCAN programma zelf.
Als derde regel wordt de tekenreeks in ASCII-HEX verwacht. Ieder
virusteken wordt beschreven door middel van twee tekens. In plaats
van twee hex-tekens mogen ook twee vraagtekens voorkomen. Dat
laatste betekent dan dat het teken op die positie door het virus
gewijzigd kan worden en elk teken dus voldoet. Een tekenreeks kan
er dus als volgt uitzien:
A5E623CB??CD21??83FF3E
Een enkel vraagteken mag ook voorkomen in combinatie met een
ASCII-hex teken. In dat geval geldt de joker slechts voor de met
het vraagteken corresponderende helft van het byte.
Ook kunt u het sterretje gevolgd door een byte gebruiken om een
aantal tekens in de zoekreeks over te laten slaan. De byte bestaat
uit een ASCII-HEX teken, en geeft het aantal tekens dat
overgeslagen kan worden. Een tekensreeks kan er dus als volgt
uitzien:
A5E623CB*3CD2155??83FF3E?BCD
De volgende tekenreeks wordt dan als virus herkend:
A5E623CB142434CD21554583FF3E3BCD
Een procentteken gevolgd door een ASCII-HEX teken geeft aan dat het
resteren deel van de te zoeken tekenreeks een stukje verderop moet
worden gezocht. Het ASCII-HEX teken bepaalt de maximale afstand
waarop het resterende deel geldig is.
TbScan herkent ook een dubbel sterretje ("**"), hetgeen betekent
dat het navolgende deel van de tekenreeks een willekeurige
ongelimiteerd eind verderop kan voorkomen.
Het is toegestaan spaties in de tekenreeks op te nemen.
In plaats van een tekenreeks in ASCII-HEX kunt u ook een gewone
tekst opgeven. Deze dient dan wel tussen dubbele aanhalingstekens
geplaatst te worden. Een geldige tekenreeks is:
"Ik heb je te pakken!"
Deze opeenvolging van drie regels dient voor ieder virus te worden
herhaald. Tussen alle regels mogen commentaarregels voorkomen.
Zie verder het meegeleverde databestand.
Limieten
--------
+ 128Kb aan vrij geheugen is minimaal vereist om het programma
te starten (10Kb wanneer het programma resident is geworden).
+ DOS versie vanaf 3.0 is vereist.
+ De lengte van het databestand mag maximaal 64Kb bedragen.
+ De naam van een virus mag 30 tekens lang zijn.
+ De ASCII-HEX tekenreeks mag maximaal 80 tekens lang zijn.
+ Er mogen tot 600 verschillende signatures worden opgegeven.
+ Alle bestandsnamen hebben een maximale lengte van 48 tekens.
Foutmeldingen
-------------
De volgende foutmeldingen kunnen voorkomen:
+ Not enough memory
Er is niet genoeg geheugen vrij om te kunnen scannen.
+ Error in data file at line <nummer>
Er zit een fout in het databestand op de vermelde regel.
+ Limit exceeded
Het databestand was te lang, of er staan te veel
virus-signatures in.
+ Data file not found
TBSCAN kon het databestand niet vinden.
+ Processor type does not match.
De betreffende versie van TbScanX is processor-type afhankelijk
en kan niet worden uitgevoerd met de huidige processor.
SPECIALE VERSIES
----------------
TBSCANX.COM is een volledig functionerende versie. We hebben echter
twee speciale versies van TbScanX toegevoegd die gebruikt kunnen
worden in combinatie met bepaalde processor types. Indien u de 286
of 386 versie gebruikt haalt u het meeste uit het uw processor voor
wat betreft geheugengebruik en snelheid. Indien u de 286 versie
wenst te gebruiken dan moet u het bestand TBSCANX.286 hernoemen
naar TBSCANX.COM. Hetzelfde geldt voor de 386 versie.
TBSCANX.COM: Universele versie. Werkt op alle soorten machines.
Ondersteunt Windows "386-enhanced-mode".
Gebruikt wat meer geheugen dan de andere versies en
is iets minder snel.
TBSCANX.286: Werkt op machines met een NEC-V20, NEC-V30, 80286,
80386 of 80486 processor.
Ondersteunt NIET de Windows "386-enhanced-mode".
Deze versie gebruikt ongeveer 100 bytes minder
geheugen dan de andere versies en is ietwat sneller.
TBSCANX.386: Werkt op machines met een 80386 of 80486 processor.
Ondersteunt Windows "386-enhanced-mode".
Gebruikt minder geheugen dan de standaard versie,
maar meer dan de 286 versie door de Windows
ondersteuning. Het is de snelste versie.
Applicatie Interface
--------------------
Indien u een softwareontwikkelaar bent kunt u TbScanX gebruiken om
gegevens te controleren op virussen. Een programma kan bijvoorbeeld
een zelfcontrole uitvoeren nadat het is opgestart door zichzelf aan
TbScanX aan te bieden. Een programma dat uitvoerbare bestanden (of
delen daarvan) verwerkt (bijvoorbeeld scrambled of comprimeert) zou
voor het het andere programma bewerkt even kunnen kijken of het
geen virus aan het verwerken is.
High-level aansturing
De hier beschreven methode is het meest geschikt voor de meeste
zogenaamde high-level programmeertalen en talen die geen
voorzieningen hebben om interrupts te genereren.
Open een bestand met de naam "SCANX." Indien dit bestand bestaat is
TbScanX als device driver opgestart en in het geheugen aanwezig.
Open het bestand in de binaire modus. Schrijf vervolgens de te
onderzoeken gegevens naar het bestand "SCANX". Indien de gegevens
een virus bezitten zal TbScanX een DOS "write protect error" als
resultaat geven. Gebeurt er niets (de invoer wordt geacepteerd)
dan was er geen signature herkend.
Low-level aansturing
Deze methode is ingewikkelder, doch biedt meer mogelijkheden.
Indien uw programmeertaal het genereren van interrupts toestaat
kunt u deze methode gebruiken. Deze methode werkt ook indien
TbScanX niet als device driver is opgestart.
De interface bestaat uit een serie multiplex calls (int 2Fh). In
register AH dient CAh te staan, en in register AL het sub-functie-
nummer.
De volgende sub-functies zijn aanwezig:
AL=0 InstallationCheck
Return value:
AL=0 TbScanX niet geinstalleerd.
AL=FFh TbScanX geinstalleerd.
Indien BX gelijk was aan 'TB' dan is hij nu veranderd in 'tb'.
AL=1 GetStatus
Return value:
AH Versie nummer TbScanX in BCD. (CAh indien versie < 2.2)
AL=1 TbScanX actief
AL=0 TbScanX inactief
BX Segment swap-area. Nul indien niet geswapped.
CX Aantal signatures waarop wordt gezocht.
DX EMS_Handle. -1 indien geen EMS geheugen in gebruik.
AL=2 SetStatus
BL=1 Activeer TbScanX
BL=0 Zet TbScanX uit.
Return value:
geen.
AL=3 ScanBuffer
DS:DX Adres van de te doorzoeken buffer
CX Lengte van de te doorzoeken buffer
Return value:
No Carry flag set Geen signatures gevonden in buffer
Carry: Signature gevonden!
ES:BX ASCIIZ-reeks bestaande uit naam virus.
Registers gewijzigd:
AX,BX,CX,DX,ES
Buffer blijft altijd ongewijzigd.
AL=4 ScanFile
DS:DX Naam van het te doorzoeken uitvoerbare bestand
LET OP! Er dient minimaal 4Kb vrij geheugen aanwezig te zijn om
deze functie te kunnen laten uitvoeren!
Return value:
No Carry flag set Geen signature gevonden in programma
Carry: Signature gevonden!
ES:BX ASCIIZ-reeks bestaande uit naam virus.
Registers gewijzigd:
AX,BX,CX,DX,ES
Assembler voorbeeld:
mov ah,0CAh ;Multiplex nummer
mov al,0
int 02Fh ;Installatie controle
cmp al,0FFh ;Indien AL=FFh dan TbScanX aanwezig
jne notinstalled ;Anders is TbScanX niet geinstalleerd.
lea dx,buffer ;Adres van de buffer in DS:DX
mov cx,512 ;Lengte van onze buffer
mov ah,0CAh ;Multiplex nummer
mov al,3
int 02Fh ;ScanBuffer
jnc notinfected ;Geen carry? Dan geen virus gevonden!
call print ;Virus gevonden. Druk naam af ES:BX
notinfected:
Thunderbyte
-----------
Virusscanners kennen een aantal zeer grote nadelen:
+ Ze kunnen geen besmetting voorkomen.
Virusscanners kunnen slechts vertellen of uw systeem besmet is
of niet, en als uw systeem inderdaad besmet is is er al schade
ontstaan. Alleen een goede backup kan u dan nog redden.
+ Ze kunnen slechts reeds geidentificeerde virussen herkennen.
Wanneer er een nieuw virus gelanceerd wordt duurt het een
tijdje voor het door iemand wordt ontdekt. Daarna duurt het nog
even voordat er een betrouwbare tekenreeks uit het virus is
gedestilleerd, en vervolgens duurt het nog een tijd voordat u
de laatste virscan.dat in huis heeft. Al met al loopt u een
reele kans dat u systeem wordt besmet op een moment dat
virusscanners "uw" virus nog niet herkennen!
Virussen worden steeds geavanceerder. Onder andere door de aandacht
die door de media aan het verschijnsel computervirus wordt
geschonken is er een ware sport onder zieke geesten ontstaan om
computervirussen te schrijven. Er zijn nu al virussen ontdekt die
geen vaste tekenreeks meer hebben. Doordat TBSCAN jokers in het
databestand toestaat kan TBSCAN dit soort virussen vaak nog wel
opsporen. Het duurt echter niet lang meer voor er virussen
rondwaren die in het geheel geen herkenningspunt meer bieden, en
dan biedt zelfs TBSCAN geen soelaas meer.
Ook zijn er reeds virussen die op dezelfde manier als TBSCAN het
DOS entry-point opzoeken, op een effectieve manier beschermings-
programma's omzeilend.
Ook het van een checksum voorzien van programma's is geen
oplossing: Virussen kunnen zodra een bestand wordt ingelezen deze
desinfecteren, zodat ieder besmet programma er uitziet als een niet
besmet exemplaar.
Er is echter EEN oplossing voor bovengenoemde problemen:
Thunderbyte!
Thunderbyte werd ontwikkeld om Personal Computers tegen
computervirussen, Trojan Horses, en andere bedreigingen van
kostbare gegevens te beschermen. Het is een hardwarematige
beveiliging, bestaande uit een insteekkaart, een installatie- en
configuratieprogramma, en een duidelijke handleiding. De werking
van Thunderbyte is niet gebaseerd op de kennis van specifieke
virussen, zodat Thunderbyte ook tegen toekomstige virussen
beschermt.
Een hardwarematige beveiliging biedt een bescherming die vele malen
groter is dan die van een softwarematige. Thunderbyte wordt al
actief nog voordat het besturingssysteem (DOS) wordt geladen, zodat
de computer direct na het inschakelen volledig is beschermd.
Door de ruime configuratiemogelijkheden en de intelligente
algoritmen wordt het gebruik van Thunderbyte nooit een last: in een
virusvrije omgeving zal er hoogst zelden iets van de aanwezigheid
van Thunderbyte worden gemerkt.
De voordelen van een hardwarematige beveiliging zijn:
+ De beveiliging gebruikt weinig (1Kb) RAM.
+ De beveiliging is al actief tijdens het opstarten van de PC,
beschermt daarom de PC ook tegen bootsectorvirussen. Dit is met
een softwarematige beveiliging per definitie NIET mogelijk,
simpelweg omdat een softwarematige beveiliging dan nog niet is
opgestart.
+ De beveiling is gegarandeerd actief VOORDAT een virus opgestart
kan worden, een softwarematige beveiliging heeft weinig nut als
het opgestart wordt nadat een virus reeds de controle over de
machine heeft overgenomen.
+ De vaste schijf van de PC kan niet meer rechtstreeks benaderd
worden. Dit omdat de bekabeling van de vaste schijf nu via de
Thunderbyte-kaart loopt. Een softwarematige blokkade tegen
formatteer- en schrijfacties kan altijd softwarematig worden
omzeild.
+ Het Thunderbyte systeem kan nooit worden vergeten op te
starten, zelfs niet indien de PC met behulp van een diskette
wordt opgestart.
Thunderbyte biedt u vele soorten bescherming:
+ Bescherming tegen gegevensverlies
Thunderbyte wordt aangesloten tussen de kabel van de vaste
schijf. Het bewaakt de vaste schijf tegen ongeoorloofd
formatteren. Thunderbyte detecteert bovendien alle rechstreekse
schijfoperaties die tot doel hebben gegevens te wijzigen c.q.
te verminken en controleert welk programma de opdracht voor die
operaties geeft. Alleen het besturingssysteem (DOS) is
zondermeer gerechtigd tot het uitvoeren van modificaties.
DOS heeft standaard al de mogelijkheid om bestanden tegen
overschrijven en modificeren te beschermen door middel van het
read-only attribuut. Deze bescherming is softwarematig echter
zeer eenvoudig uit te schakelen. Thunderbyte voorkomt evenwel
dat deze beveiliging ongemerkt ongedaan gemaakt kan worden,
zodat u uw bestanden nu toch via een standaard methode
doeltreffend kan beveiligen.
+ Bescherming tegen besmetting
Thunderbyte beschermt programma's (bestanden met de uitgang
"EXE", "COM", of "SYS") tegen besmetting, door ale modificaties
te beoordelen op hun bedoeling. De functionaliteit wordt
hierdoor niet beinvloed. Compileren, linken, e.d. worden
ongemoeid gelaten, en programma's die hun configuratie intern
bewaren worden ook niet beinvloed. Bovendien kan software
beveiligd worden met het read-only attribuut.
Wijzigingen in de bootsector worden ondervangen zodat ook de
zogevreesde bootsectorvirussen geen kans meer krijgen. Let wel:
softwarematig is de bootsector niet of nauwelijks te
beschermen. Thunderbyte wordt daartegen al actief nog voordat
het systeem probeert op te starten!
+ Detectie virussen
Thunderbyte detecteert de aanwezigheid van virussen, behalve op
de reeds genoemde manieren, ook doordat deze vaak een aantal
speciale handelingen uitvoeren; handelingen waar andere
programma's zich nooit zullen wagen. Zulke handelingen, zoals
het aanbrengen van een markering om reeds besmette programma's
te herkennen, worden gedetecteerd. Ook pogingen van een virus
om zich op een verdachte manier in het geheugen achter te laten
worden herkend, evenals abnormale manipulaties met
interruptvectoren.
+ Wachtwoordbescherming
Thunderbyte geeft u de mogelijkheid een wachtwoord te
installeren. U kunt twee soorten wachtwoorden opgeven: een
wachtwoord dat altijd gevraagd wordt, of een wachtwoord dat
slechts gevraagd wordt wanneer er gepoogd wordt van een
diskette in plaats van de vaste schijf op te starten.
+ Hoge veiligheid
Aan de veiligheid van Thunderbyte is ruime aandacht geschonken.
De programmacode van Thunderbyte bevindt zich in ROM en kan op
geen enkele manier worden gewijzigd.
Thunderbyte kan op geen enkele manier softwarematig worden
uitgeschakeld. Alle belangrijke instellingen worden
gerealiseerd met behulp van schakelaartjes op de insteekkaart.
En virussen kunnen, al hun verspilde intelligentie ten spijt,
nu eenmaal geen schakelaartjes omzetten of de uitlezing ervan
beinvloeden.
De virussen die de controller van de vaste schijf rechtstreeks
benaderen komen van een koude kermis thuis: Thunderbyte geeft
schrijfoperaties slechts door indien het schrijfcommando de
normale (gecontroleerde) weg heeft bewandeld.
Van Thunderbyte bestaan vele verschillende (doch functioneel
identieke) versies, die op basis van willekeur worden geleverd.
Hierdoor is kennis van 1 Thunderbyte systeem niet toereikend om
de beveiligende werking ervan aan te tasten of teniet te doen.
Thunderbyte controleert zijn eigen variabelen met een per verie
verschillend soort controlegetal. Ook de geheugenplaatsen waar
de variabelen worden bewaard is per Thunderbyte versie
verschillend.
+ Extra mogelijkheden
Thunderbyte biedt u een aantal interressante extra's, zoals
opstarten van drive B:.
Tot slot
--------
Verbaast u uzelf over de relatief grote kracht en inventiviteit van
zo'n kleine virusscanner? Schaf Thunderbyte aan, dan blijft u
uzelf verbazen!
Wanneer u het programma TbScanX waardeert, of wanneer het u al eens
duidelijkheid heeft verschaft in een benarde situatie:
Stuur ons geen geld, maar schaf Thunderbyte aan of registreer
TbScanX.
NAMEN EN ADRESSEN
-----------------
Meer informatie over Thunderbyte kunt u aanvragen bij:
ESaSS B.V. Tel.: 080 - 787 771
P.o. box 1380 Fax.: 080 - 777 327
6501 BJ Nijmegen Data: 085 - 212 395 (2:280/200@fidonet)
TbScanX is geschreven door Frans Veldman.
TbScanX en de signature bestanden zijn beschikbaar op ESaSS /
Thunderbyte support BBS, Tel: 085-212395 (300/1200/2400 bps).
Wanneer u operator van een electronic mail systeem bent kunt u een
file-request sturen voor TBSCAN om de laatste versie van TBSCAN.COM
te krijgen, TBSCANX voor de laatste update van de
geheugen-residente automatische versie van TBSCAN, en VIRUSSIG voor
een kopie van de meest recente herziening van het signature-bestand.