home *** CD-ROM | disk | FTP | other *** search
/ Power Utilities / Power Utilities.iso / utility / pro8 / filesafe.doc < prev    next >
Encoding:
Text File  |  1993-03-14  |  44.0 KB  |  1,088 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.                                     FileSafe
  12.  
  13.  
  14.                                 Virus Detection
  15.  
  16.                                     Software
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.                                  User's Manual
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.                                  JAYAR Systems
  54.                                253 College Street
  55.                                    Suite 263
  56.                                 Toronto, Ontario
  57.                                 Canada   M5T 1R5
  58.                                  (416) 751-3284
  59.  
  60.  
  61.  
  62.                                     LICENSE
  63.  
  64.      The license for the Shareware evaluation (trial use) version of
  65.      FileSafe is contained in the file LICENSE.DOC.  This file has been
  66.      included for your convenience as an appendix to this manual.
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.                                     WARRANTY
  74.  
  75.      The Shareware evaluation (trial use) version of FileSafe is provided
  76.      AS IS.  JAYAR Systems MAKES NO WARRANTY OF ANY KIND, EXPRESSED OR
  77.      IMPLIED, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES OF
  78.      MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.                                  SUPPORT POLICY
  86.  
  87.      JAYAR Systems provides free support for this product.  We will answer
  88.      questions and fix serious bugs.  If you have any questions about or
  89.      problems with using this product, give us a call at the number on the
  90.      inside front cover of this manual.  Or, if you are not in a rush, send
  91.      us a letter.
  92.  
  93.      We would also appreciate hearing from you if you have any comments or
  94.      suggestions for improvements.
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.                    _______                    
  106.               ____|__     |               (R) 
  107.            --|       |    |-------------------
  108.              |   ____|__  |  Association of   
  109.              |  |       |_|  Shareware        
  110.              |__|   o   |    Professionals    
  111.            -----|   |   |---------------------
  112.                 |___|___|    MEMBER           
  113.  
  114.  
  115.                    FileSafe Copyright (C) 1993 JAYAR Systems
  116.                               All Rights Reserved
  117.  
  118.  
  119.  
  120.  
  121.                                    CONTENTS
  122.  
  123.         1       INTRODUCTION . . . . . . . . . . . . . . . . . . . . 2
  124.         2       INSTALLING FILESAFE  . . . . . . . . . . . . . . . . 2
  125.         3       USING FILESAFE . . . . . . . . . . . . . . . . . . . 3
  126.         3.1       FILESIG  . . . . . . . . . . . . . . . . . . . . . 3
  127.         3.2       CHCKSIG  . . . . . . . . . . . . . . . . . . . . . 5
  128.         3.2.1     Directory-level Signature File . . . . . . . . . . 5
  129.         3.2.2     External Master Signature File . . . . . . . . . . 8
  130.         3.3       GETSIG . . . . . . . . . . . . . . . . . . . . . . 8
  131.         4       STRATEGY . . . . . . . . . . . . . . . . . . . . . . 8
  132.  
  133.  
  134. APPENDIX A      COMPUTER VIRUSES AND FILESIG
  135.  
  136.  
  137. APPENDIX B      LICENSE
  138.  
  139.         B.1     TRIAL USE LICENSE: . . . . . . . . . . . . . . . . B-1
  140.         B.2     LIMITED DISTRIBUTION LICENSE:  . . . . . . . . . . B-2
  141.  
  142.  
  143. APPENDIX C      DEFINITION OF SHAREWARE
  144.  
  145.  
  146. APPENDIX D      HOW TO REGISTER
  147.  
  148. FileSafe User's Manual (JAYAR Systems)                          Page 2
  149. INTRODUCTION
  150.  
  151.  
  152.      1  INTRODUCTION
  153.  
  154.      FileSafe, if used conscientiously, is a practically foolproof virus
  155.      protection program.  It works by taking the fingerprint or signature
  156.      of all the executable files and the boot record of your disk.
  157.                                            _________ ____
  158.      FileSafe stores this information in a signature file in each
  159.      directory.  Periodically you check your files' current signatures
  160.      against the originals.  FileSafe reports any changes.
  161.  
  162.      Conventional virus detection programs of this type calculate a 32 bit
  163.      cyclical redundancy check (CRC) number for a file.  The CRC can be
  164.      inverted though--a clever virus can modify a file without changing its
  165.      CRC.  FileSafe on the other hand generates a 128 bit message digest as
  166.      a signature for each file.  The message digest cannot be inverted.  No
  167.      two files have the same message digest and it is not possible to
  168.      create a file that has a predetermined message digest.  FileSafe is so
  169.                                  ___
  170.      sensitive that changing one bit in a multi-megabyte file changes its
  171.      signature.
  172.  
  173.      Computer viruses work by attaching themselves to (infecting) an
  174.      executable or program file, or by modifying your disk's boot record.
  175.      The problem lies in determining if this has happened.  Clever viruses
  176.      may not change either the file's size or alter its timestamp.  That's
  177.      where FileSafe comes in--it will detect any change, no matter how
  178.      small or how well covered.
  179.  
  180.      FileSafe is easy to use and works best if you use it regularly.  This
  181.      manual explains how to protect yourself from viruses with FileSafe.
  182.  
  183.  
  184.       o  Section 2 describes how to install FileSafe.
  185.  
  186.       o  Section 3 shows how to use FileSafe.
  187.  
  188.       o  Section 4 suggests strategies for using FileSafe most effectively.
  189.  
  190.       o  Appendix A discusses how viruses work in more detail.
  191.  
  192.  
  193.  
  194.  
  195.      2  INSTALLING FILESAFE
  196.  
  197.      Installation of FileSafe couldn't be easier.  The distribution
  198.      diskette contains the three programs described below and a file called
  199.      README which you should check for any last minute updates that did not
  200.      make this manual.
  201.  
  202.      FileSafe is actually contained in three programs:
  203.  
  204.       o  FILESIG
  205.          calculates signatures for the executable files on your disk and
  206.          stores these signatures in signature files in the directories the
  207.          files are located in.
  208. FileSafe User's Manual (JAYAR Systems)                          Page 3
  209. INSTALLING FILESAFE
  210.  
  211.  
  212.       o  CHCKSIG
  213.          reads the original file signatures from the signature files in
  214.          your disk's directories and recalculates the signatures for each
  215.          of the files listed therein.  It writes a report file showing you
  216.          if any of the files have changed.
  217.  
  218.       o  GETSIG
  219.          is an optional utility that you receive when you register your
  220.          copy of FileSafe (see Appendix D).  GETSIG gathers all the
  221.          signature files from the directories on a disk and puts them into
  222.          one file, perhaps on a floppy diskette.  CHCKSIG can then use this
  223.          file as its source file to read the original signature
  224.          information.
  225.  
  226.  
  227.      The distribution diskette is not copy protected so you can copy the
  228.      programs to your hard disk (the suggested procedure)--a good location
  229.      would be the directory where you keep your utilities.  It should be a
  230.      directory that is pointed to by your PATH environment variable so they
  231.      will be easy to use.  For instance, if your hard disk is designated
  232.      drive C and you keep your utility programs in directory UTILS, then
  233.      insert the distribution diskette in drive A and type
  234.  
  235.         A> COPY A:*.EXE C:\UTILS
  236.  
  237.      It is also possible to use any of the FileSafe programs from a floppy
  238.      diskette.  A feature of FileSafe is that the component programs are
  239.      quite small and don't require a lot of memory or disk space so they
  240.      are convenient to use even from a diskette.
  241.  
  242.      In any event, don't execute the programs from the distribution
  243.      diskette.  Copy them to another disk and put the distribution diskette
  244.      away in a safe place.
  245.  
  246.  
  247.  
  248.      3  USING FILESAFE
  249.  
  250.      This section describes the operation of the FileSafe component
  251.      programs.
  252.  
  253.  
  254.  
  255.      3.1  FILESIG
  256.  
  257.      You execute FILESIG from a directory you want to fingerprint so that
  258.      you can check it later for virus infestation.
  259.  
  260.      FILESIG creates a file in the directory called dirname.SIG where
  261.      DIRNAME is the name of the directory.  If you are in the root
  262.      directory of the disk the file is named ROOT.SIG.  In this file
  263.      FILESIG writes a data record for every file in the directory that has
  264.      a filetype of .BIN, .COM, .EXE, .OVL or .SYS.  If you are executing
  265.      from the root directory and the disk is bootable then FILESIG also
  266. FileSafe User's Manual (JAYAR Systems)                          Page 4
  267. USING FILESAFE
  268.  
  269.  
  270.      writes a record for the boot sector of the disk.
  271.  
  272.      The data record for each file contains the file name, the file size,
  273.      date and time the file was last modified and the file's signature.
  274.      Here is a sample signature file, written for the root directory of a
  275.      bootable disk:
  276.  
  277.        IBMBIO.COM     16369 12-30-85 12:00:00  336ffd03c58e805aa1372671442f4a00
  278.        IBMDOS.COM     28477 12-30-85 12:00:00  04baa0c094ba88e833300d3b9a1f4f13
  279.       COMMAND.COM     23791 12-30-85 12:00:00  4302a424a58f1da9afbed9bd6ecc1e0a
  280.        CONFIG.SYS       159 05-27-90 21:44:22  904838eb1c3c8342c03f806eb6625019
  281.      FASTDISK.SYS      5804 09-26-85 09:01:21  f214518db5e3f37ccec4ce864fa2bacc
  282.          REMM.SYS      9021 06-18-86 18:10:07  281d88d6cc71ca4162d63e8c78f639c0
  283.           REX.SYS      2150 04-15-86 16:26:26  c3639a605d29bd800a0be702df4f00a8
  284.       RAMBIOS.SYS       590 07-19-89 11:35:10  9d3658e1de983321f4b66f3097305363
  285.       CONFIG1.SYS       159 01-07-90 16:56:07  a15226c76423c01a3c8f709450fed6e7
  286.       BOOT.RECORD       512                    c9a033d5aa3c497def0be28ac8c7034f
  287.  
  288.      Optionally, FILESIG will do this recursively for all subdirectories
  289.      below the one you are executing it from as well.  By default only
  290.      executable files (i.e., those with the file extensions listed above)
  291.      are checked, but FILESIG will optionally generate signature records
  292.      for all the files in a directory, or alternatively for any one, named
  293.      file.
  294.  
  295.      The syntax for executing FILESIG is
  296.  
  297.          [D:][PATH]FILESIG [-R] [-A] [-V] [-F filename]
  298.  
  299.      where items in [...] are optional.  The options are:
  300.  
  301.        D:PATH before FILESIG specifies the drive and path where the program
  302.           is located.  You will not need this if FILESIG is in a directory
  303.           on your hard drive and that directory is named in your PATH.  You
  304.           will likely use this option if executing FILESIG from a floppy
  305.           diskette.
  306.  
  307.        -R By default, FILESIG generates a signature file and checks files
  308.           for the current directory.  This option causes FILESIG to check
  309.           files in the current directory and in all directories below the
  310.           current one, and in all directories below those, etc.
  311.  
  312.        -A By default, FILESIG only checks executable files--those with
  313.           filetypes of .BIN, .COM, .EXE, .OVL or .SYS and the boot record
  314.           if it is executed from the root directory of a bootable disk.
  315.           This option causes FILESIG to check all files in the directories
  316.           it visits.  While non-executable files cannot be infected by a
  317.           virus, you may wish to record their signatures to alert you if
  318.           the files are ever modified.
  319.  
  320.        -V prints the version number of the program and quits.
  321.  
  322.           ________
  323.        -F filename causes FILESIG to generate a signature record for the
  324.           named file only.
  325. FileSafe User's Manual (JAYAR Systems)                          Page 5
  326. USING FILESAFE
  327.  
  328.  
  329.      FILESIG creates a new dirname.SIG file in a directory when it is
  330.      executed even if one already exists.  This is not the case if you use
  331.      the -F option.  If the dirname.SIG file exists, the record is appended
  332.      to the file.  Note that this may cause a dirname.SIG file to have
  333.      multiple entries for one file.  Feel free to edit the dirname.SIG
  334.      files that FILESIG produces and delete records for files you are not
  335.      interested in.
  336.  
  337.  
  338.  
  339.      3.2  CHCKSIG
  340.  
  341.      You use CHCKSIG to compare the signatures of files calculated at some
  342.      earlier time to their present signatures to see if the files have been
  343.      modified.  CHCKSIG can operate in one of two modes.  In the first it
  344.      looks in the current directory (and optionally, subdirectories below
  345.      it) for a signature file and then checks the files listed therein.  In
  346.      the second mode CHCKSIG checks the files listed in an external master
  347.      directory file that was created with GETSIG.  We will discuss the two
  348.      modes of operation separately.
  349.  
  350.  
  351.  
  352.      3.2.1  Directory-level Signature File - Once FILESIG has created a
  353.      signature file in a directory you use CHCKSIG to check the files
  354.      listed in the signature file to see if they have been changed.
  355.      Optionally, you can request that CHCKSIG recursively check signature
  356.      files in all subdirectories below the current one as well.
  357.  
  358.      When you execute CHCKSIG it looks in the directories it visits for a
  359.      file called dirname.SIG, where dirname is the name of the directory.
  360.      CHCKSIG reads the record for each file listed in the dirname.SIG file
  361.      and recalculates its signature.  CHCKSIG writes its findings in a file
  362.      called FILESAFE.RPT that it creates in the directory that you execute
  363.      it from.
  364.  
  365.      CHCKSIG checks each file for changes in the following attributes which
  366.      could indicate file modifications.  Section 4 discusses how to
  367.      interpret its findings in the context of a possible virus attack.
  368.  
  369.  
  370.          ____
  371.       o  size:  if the file's size has changed CHCKSIG prints the original
  372.          signature record and the file's current size and timestamp and a
  373.          warning that the size has changed.  This indicates a file
  374.          modification.  The file's signature is not recalculated.
  375.  
  376.          ____
  377.       o  date:  if the file's timestamp has changed, CHCKSIG recalculates
  378.          its signature and reports the old and new signature records for
  379.          the file.  A timestamp change alone does not necessarily mean the
  380.          file has been modified.
  381.  
  382.          _________
  383.       o  signature:  if the file's signature has changed, CHCKSIG reports
  384.          the old and new signature records for the file.  This means that
  385.          the file has been modified.
  386. FileSafe User's Manual (JAYAR Systems)                          Page 6
  387. USING FILESAFE
  388.  
  389.  
  390.      If CHCKSIG detects a change in a file's timestamp or signature but not
  391.      its size, it reports the file's old and new signature records in
  392.      FILESAFE.RPT and flags them with one, two or three asterisks (*).
  393.      These are interpreted as:
  394.  
  395.          
  396.  
  397.          * only the file's date changed--internally it is still the same.
  398.  
  399.          
  400.  
  401.          ** only the file's signature changed--it has been modified.
  402.  
  403.          *** the file's timestamp and signature changed--it has been
  404.          modified.
  405.  
  406.  
  407.      Following is an extract from a FILESAFE.RPT file and what the various
  408.      lines mean.
  409.  
  410.      F:\
  411.      ===
  412.            NE.COM     32375 09-20-87 22:03:20   ... OK
  413.  
  414.           BAC.COM      1392 09-03-86 19:57:14   ... OK
  415.  
  416.            DR.COM      3456 09-03-87 00:10:20  0c3900897b999754359758dc581a0e7e
  417.            DR.COM      7808 02-12-93 22:33:10   ** file size has changed
  418.  
  419.            RN.COM      4352 10-14-87 00:18:14   ... OK
  420.  
  421.            CO.COM  does not exist.
  422.  
  423.          JRCE.EXE     15978 01-01-93 00:00:01  d5ea1e4e710e281807ae74588aaf2134
  424.          JRCE.EXE     15978 01-01-93 00:00:01  616e85df3f52e12da7fe4c53469c1c35 * *
  425.  
  426.            SD.COM       320 09-03-86 19:57:15  291d40ced37b258f220945338c033eb5
  427.            SD.COM       320 02-12-93 22:34:09  291d40ced37b258f220945338c033eb5 *
  428.  
  429.          JRCL.EXE     13268 01-02-93 01:00:01   ... OK
  430.  
  431.         VTREE.COM       512 09-03-86 19:57:16  ffea28731f4a265674a7ec31cf2ce5e5
  432.         VTREE.COM       512 02-12-93 22:35:14  f05b513c59a53c59a1bec0af7a4033cd * * *
  433.  
  434.          DDIR.COM       800 09-01-92 22:45:22   ... OK
  435.  
  436.           JRC.EXE     29318 01-01-93 01:00:00  c5772d3d2dbdc76ce18f422207de2764
  437.           JRC.EXE     32774 01-01-93 01:00:00   ** file size has changed
  438.  
  439.      Note that this report has been created for the root directory on drive
  440.      F.  The files listed above therefore had entries in the signature file
  441.      F:\ROOT.SIG.  This disk was not bootable.
  442.  
  443.      From this report we can determine the following about the executable
  444. FileSafe User's Manual (JAYAR Systems)                          Page 7
  445. USING FILESAFE
  446.  
  447.  
  448.      files that were in this directory when FILESIG was executed
  449.      originally:
  450.  
  451.  
  452.       o  The file size and timestamp of DR.COM have changed--this is
  453.          probably an entirely new version of this file.
  454.  
  455.       o  File CO.COM has an entry in file ROOT.SIG but no longer exists in
  456.          this directory.
  457.  
  458.       o  The signature of file JRCE.EXE has changed, but the timestamp and
  459.          size are the same--note the two asterisks.
  460.  
  461.       o  The timestamp on file SD.COM has changed, but the file contents
  462.          have not--the size and signature are the same.  Note the single
  463.          asterisk.
  464.  
  465.       o  The timestamp and signature of file VTREE.COM have changed--note
  466.          the three asterisks.
  467.  
  468.       o  The size of file JRC.EXE has changed but the timestamp has
  469.          not--the file has nevertheless been modified.
  470.  
  471.       o  All files (marked with ...  OK) are unchanged.
  472.  
  473.  
  474.      The syntax for executing CHCKSIG is
  475.  
  476.          [D:][PATH] CHCKSIG [-R] [-V] [-O filename] [-F filename]
  477.  
  478.      where items in [...] are optional.  The options are:
  479.  
  480.        D:PATH before CHCKSIG specifies the drive and path where the program
  481.           is located.  You will not need this if CHCKSIG is in a directory
  482.           on your hard drive and that directory is named in your PATH.  You
  483.           will likely use this option if executing CHCKSIG from a floppy
  484.           diskette.
  485.  
  486.        -R By default, CHCKSIG looks for a dirname.SIG file and checks the
  487.           files listed in it for the current directory only.  This option
  488.           causes CHCKSIG to check files in the current directory and in all
  489.           directories below the current one, and in all directories below
  490.           those, etc.
  491.  
  492.        -V prints the version number of the program and quits.
  493.  
  494.           ________
  495.        -O filename by default CHCKSIG writes its findings in a file called
  496.           FILESAFE.RPT that it creates in the directory that was current
  497.           when it was executed.  You can override this behaviour with this
  498.           option.  This allows you to specify another name for the report
  499.           file, or by specifying a full drive, path, filename allows you to
  500.           place the report file in another location.
  501.  
  502.           ________
  503.        -F filename causes CHCKSIG to recalculate the signature for only the
  504. FileSafe User's Manual (JAYAR Systems)                          Page 8
  505. USING FILESAFE
  506.  
  507.  
  508.           named file.  This file must already have a record in the
  509.           dirname.SIG file.
  510.  
  511.  
  512.      If CHCKSIG fails to find a file called dirname.SIG in any of the
  513.      directories it visits, it issues a warning and continues.  If the
  514.      dirname.SIG signature file is empty, CHCKSIG proceeds without comment.
  515.      If a file listed in the signature file no longer exists in that
  516.      directory, CHCKSIG issues a warning and continues.
  517.  
  518.  
  519.  
  520.      3.2.2  External Master Signature File - With GETSIG you can collect
  521.      all the .SIG files from part of a directory tree and place them in an
  522.               ______ _________ ____
  523.      external master signature file (see Section 3.3) for enhanced
  524.      security.  You receive GETSIG when you register your copy of FileSafe
  525.      (see Appendix D).  You can then execute CHCKSIG from any directory and
  526.      check the files in the master signature file.  CHCKSIG does not check
  527.      directories for the presence of a dirname.SIG file in this case.
  528.  
  529.  
  530.  
  531.      3.3  GETSIG
  532.  
  533.      FILESIG creates a signature file in each directory it visits and
  534.      stores signature information in that file for every executable file in
  535.      that directory.  Normally, CHCKSIG visits a directory, reads the
  536.      signature file in that directory and checks the files listed therein.
  537.  
  538.      Optionally, you may use GETSIG to gather all the signature files
  539.      created by FILESIG in a particular directory subtree into a master
  540.      signature file.  This master file can be located anywhere--on a floppy
  541.      diskette for instance.  CHCKSIG can then be instructed to check the
  542.      files listed in the master signature file (see Section 3.2.2).
  543.      Register this copy of FileSafe and we will send you GETSIG along with
  544.      a typeset manual.
  545.  
  546.  
  547.  
  548.      4  STRATEGY
  549.  
  550.      In this section we outline the steps to follow to use FileSafe to make
  551.      yourself safe from virus attack.  For background on the information
  552.      presented in this section see Appendix A.
  553.  
  554.  
  555.      1.  Make frequent backups of your hard disk.  While this won't protect
  556.          you from viruses it makes things easier if you must restore files
  557.          that have been damaged by a virus.
  558.  
  559.      2.  Make a safe-boot floppy.  To do this, cold boot your computer
  560.          (i.e., turn off the power if it is already on) from the original
  561.          DOS startup disk that came with your system.  This disk has been
  562.          made by the manufacturer without a write-enable notch.  Now use
  563. FileSafe User's Manual (JAYAR Systems)                          Page 9
  564. STRATEGY
  565.  
  566.  
  567.          the DOS program DISKCOPY to copy this disk to a new one.  This
  568.          copy is your safe-boot floppy.  Put a write-protect tab on it.
  569.          Every time you use any of the FileSafe programs, cold boot your
  570.          computer from the safe-boot floppy.
  571.  
  572.      3.  Use FILESIG to create a signature file for the boot record and all
  573.          the executable files on you hard disk.  If your hard disk is drive
  574.          C, for example, do this by typing:
  575.  
  576.                    A> C:
  577.                    C> CD \
  578.                    C> FILESIG -R
  579.  
  580.  
  581.          Use GETSIG to collect the signature files into a master signature
  582.          file.  Put a freshly formatted floppy into drive A and
  583.  
  584.                    C> A:
  585.                    C> GETSIG -D C:\
  586.  
  587.  
  588.          This creates a master signature file called FILESAFE.DAT on the
  589.          floppy in drive A.  Put a write protect tab on this floppy.  It is
  590.          slightly more secure to use the master signature file to check
  591.          your files than the individual directory signature files on your
  592.          hard disk.
  593.  
  594.  
  595.      4.  Periodically use CHCKSIG to check your entire hard disk.  If you
  596.          use your computer frequently you should do this on a regular
  597.          basis, say once a week.  On a more frequent basis, say daily,
  598.          check the root directory on your hard disk.
  599.  
  600.          For the entire disk check, insert the floppy with the master
  601.          signature file into drive A and type
  602.  
  603.                    C> CHCKSIG -S A:FILESAFE.DAT
  604.  
  605.          or by typing
  606.  
  607.                    C> CD \
  608.                    C> CHCKSIG -R
  609.  
  610.          To check only the root directory type
  611.  
  612.                    C> CD \
  613.                    C> CHCKSIG
  614.  
  615.          In all cases CHCKSIG creates a file called FILESAFE.RPT that you
  616.          should read.  What are you looking for?  Any executable (program)
  617.          files whose contents have changed or a change in your boot record.
  618.          If this has happened and you don't know of any good reason why it
  619.                       ______ ___ ____ __ ____ ______ __ _________
  620.          should have--assume the file or boot sector is infected.  Be
  621.          particularly suspicious if the file's signature has changed but
  622. FileSafe User's Manual (JAYAR Systems)                         Page 10
  623. STRATEGY
  624.  
  625.  
  626.          its size or timestamp have not.
  627.  
  628.          In the root directory, the boot sector, the ROM-BIOS file
  629.          IBMBIO.COM, the DOS service routine file IBMDOS.COM, (or IO.SYS
  630.          and MSDOS.SYS for non-IBM systems) and the COMMAND.COM file should
  631.          never change unless you install a new version of the operating
  632.          system, in which case you should go back to step 2 and proceed
  633.          from there.
  634.  
  635.          Executable files should not change unless you install a new
  636.          version of them.  Executable files you create yourself by
  637.          programming in C or some other language will change every time you
  638.          compile and link a new version of them.
  639.  
  640.  
  641.      5.  If you install a new program or a new version of an old program,
  642.          you should create a new signature file for that directory:
  643.  
  644.                    C> CD dirname
  645.                    C> FILESIG
  646.  
  647.  
  648.                _______
  649.          where dirname is the name of the directory.  If you are just
  650.          updating an existing program and only one or two executable files
  651.          are involved it may be faster add signature records to the
  652.          existing signature file by invoking FILESIG with the -F option and
  653.          then editing the signature file to remove the old records.  Use
  654.          GETSIG to create a new master signature file for your disk as
  655.          described in step 3.
  656.  
  657.      6.  What if you find a program you suspect is infected?  Erase it and
  658.          restore a clean copy from the original manufacturer's disk, or
  659.          from your backups.  This includes the COMMAND.COM file.  If your
  660.          BIOS or DOS files have been corrupted you will have to reinstall
  661.          the system files as described in your DOS manual.
  662.  
  663.          What if your boot sector is corrupted?  If you find your boot
  664.          sector has been altered you must reformat your hard disk.  Backup
  665.          everything you want to keep if you have not done so already and
  666.          reformat it using your original DOS disk.
  667.  
  668.  
  669.  
  670.  
  671.  
  672.  
  673.  
  674.  
  675.  
  676.  
  677.  
  678.  
  679.  
  680.                                 APPENDIX A
  681.  
  682.                        COMPUTER VIRUSES AND FILESIG
  683.  
  684.  
  685.  
  686. A virus is a program that attaches itself to another program and then
  687. replicates itself and spreads.  A virus has two parts.  The first is the
  688. infector--this is the part that replicates the virus.  The second part is
  689. the detonator.  At some point the virus activates and does
  690. something--usually something harmful such as erasing data on your hard disk
  691. or making it inaccessible.
  692.  
  693. There are two general types of viruses:  boot sector viruses and executable
  694. file infectors.  The boot sector virus works by replacing all or part of
  695. the boot sector on your disk.  The boot sector normally contains a small
  696. program that your computer reads in the process of booting.  The notable
  697. thing about the boot sector is that it is not a file--it is a special
  698. section of the disk outside the file area.  If the boot sector is infected,
  699. that means that by the time your computer has booted, the virus is active.
  700.  
  701. The only way to get infected from a boot sector virus is to boot your
  702. computer from an infected floppy.  The virus then infects the boot sector
  703. of your hard disk.  The prevention is simple--don't.  Only boot your
  704. computer from its internal hard disk or from a safe-boot floppy as
  705. described in Section 4.  If a boot sector virus is active it will usually
  706. notice any time a bootable floppy is in one of the drives and infect it as
  707. well.  This is how it replicates itself.
  708.  
  709. The majority of viruses are boot sector viruses.  The rest are executable
  710. file infectors.  These viruses only become active when the infected program
  711. is run.
  712.  
  713. If the program has not run since you booted your computer, the virus is not
  714. active.  This type of virus can only infect executable files--that is,
  715. files with one of the following filetypes:  .COM, .EXE, .SYS, .BIN, or
  716. .OVL.  Data files, like text files, spreadsheet files or database files
  717. cannot become infected and present no danger.
  718.  
  719. Executable file infectors are harder to guard against.  They often install
  720. themselves as TSRs and infect every program that is run--eventually all
  721. your executable files will be infected.
  722.  
  723. A program that just replicates itself and spreads as described above is
  724.                   ____
  725. properly called a worm.  When it detonates, then you know you have a virus.
  726. COMPUTER VIRUSES AND FILESIG                                  Page A-2
  727.  
  728.  
  729.  
  730. How do you protect yourself from viruses?  One way conventional anti-virus
  731. programs do it is to scan the executable files on your disk looking for the
  732. "fingerprints" of known viruses.  The problem is that new viruses are being
  733. developed all the time so you must constantly get updates of the anti-virus
  734. program.  This tactic is also useless against a new class of self-mutating
  735. virus which essentially changes itself every time it replicates.  And then
  736. there are stealth viruses--when the anti-virus program reads the portion of
  737. disk where the stealth virus is installed, the virus, which has to be
  738. active, intercepts the read and returns to the anti-virus program the image
  739. of a virus-free disk.
  740.  
  741. Another tack anti-virus programs take is to install themselves as TSRs and
  742. watch for "virus-like" behaviour.  Unfortunately a lot of legitimate
  743. activity carried on by programs gets flagged this way and you get a lot of
  744. false alarms.  To get any work done you will probably deactivate the
  745. monitor.
  746.  
  747. The only foolproof method of detecting a virus infection is to monitor
  748. potential infection sites, the boot sector and executable files, for
  749. unexplained modification.  This means you have to know what the sites look
  750. like in their uninfected state, and have a guaranteed method of determining
  751. when a change has occurred.  This is where programs like FileSafe come in.
  752.  
  753. In order for a virus infection to occur a virus must attach itself either
  754. to your disk's boot sector or to an executable file.  In the simplest case
  755. this will result in an increase in the file size which is readily
  756. noticeable.  However, a clever virus can attach itself by overwriting part
  757. of the file so that the size doesn't change and it can also prevent the
  758. timestamp from changing.  Since the boot sector is not a file it doesn't
  759. have a timestamp or a size to change.  It is therefore necessary to take a
  760. "fingerprint" of the file or boot sector and compare this periodically to
  761. the original.
  762.  
  763. The fingerprint that is usually used is the cyclical redundancy check, or
  764. CRC, which is a 32-bit number calculated as a function of all the bytes in
  765. the file.  Unfortunately, this can be quite easily inverted.  For instance,
  766. a boot sector virus could calculate the CRC of the boot sector before
  767. infection, install itself and then determine what extra bytes to add to
  768. restore the original CRC.
  769.  
  770. FileSafe however, with its 128-bit message digest algorithm, computes a
  771. fingerprint for the file or boot sector that cannot be replicated.  If the
  772. contents of the file or boot sector change, so will its fingerprint.
  773.  
  774. This leaves only stealth viruses, which if active could fool FileSafe.  For
  775. this reason you should always cold boot your computer with your safe-boot
  776. floppy before running the FileSafe programs.  This will ensure that no
  777. virus is active when FileSafe is running.
  778.  
  779.  
  780.  
  781.  
  782.  
  783.  
  784.  
  785.  
  786.  
  787.  
  788.  
  789.  
  790.  
  791.                                 APPENDIX B
  792.  
  793.                                   LICENSE
  794.  
  795.  
  796.  
  797. This appendix contains important license information regarding the use of
  798. FileSafe, Version 1.00.  This information applies to individual users who
  799. wish to pass copies out to friends and associates.
  800.  
  801. User Groups, Computer Clubs, Disk Vendors and Distributors, Subscription
  802. Services, Disk-of-the-Month Clubs, etc., should refer to the VENDOR.DOC
  803. file for complete information relating to them.
  804.  
  805. BBS SYSOPs should refer to the SYSOP.DOC file for complete information
  806. relating to them.
  807.  
  808. PLEASE!  Show your support for Shareware by registering the programs you
  809. actually use.  JAYAR Systems depends upon and needs your support.  Thank
  810. you!
  811.  
  812.  
  813.  
  814. B.1  TRIAL USE LICENSE:
  815.  
  816. FileSafe is NOT a public domain program.  It is Copyright (C) 1993 by JAYAR
  817. Systems.  All rights reserved.
  818.  
  819. This software and accompanying documentation are protected by Canadian
  820. Copyright law and also by International Treaty provisions.  Any use of this
  821. software in violation of Copyright law or the terms of this limited license
  822. will be prosecuted to the best of our ability.  The conditions under which
  823. you may copy this software and documentation are clearly outlined below
  824. under "Distribution Restrictions".
  825.  
  826. JAYAR Systems hereby grants you a limited license to use this software for
  827. evaluation purposes for a period not to exceed sixty (60) days.  If you
  828. intend to continue using this software (and/or it's documentation) after
  829. the sixty (60) day evaluation period, you MUST make a registration payment
  830. to JAYAR Systems.
  831.  
  832. Using this software after the sixty (60) day evaluation period, without
  833. registering the software is a violation of the terms of this limited
  834. license.
  835.  
  836. Licensee shall not use, copy, rent, lease, sell, modify, decompile,
  837. LICENSE                                                       Page B-2
  838. TRIAL USE LICENSE:
  839.  
  840.  
  841. disassemble, otherwise reverse engineer, or transfer the licensed program
  842. except as provided in this agreement.  Any such unauthorized use shall
  843. result in immediate and automatic termination of this license.
  844.  
  845. All rights not expressly granted here are reserved to JAYAR Systems.
  846.  
  847. For information on registering your copy of FileSafe see Appendix D, "How
  848. to Register."
  849.  
  850.  
  851.  
  852. B.2  LIMITED DISTRIBUTION LICENSE:
  853.  
  854. As the copyright holder for FileSafe, JAYAR Systems authorizes distribution
  855. by individuals only in accordance with the following restrictions.
  856.  
  857. (User Groups, Computer Clubs, Disk Vendors and Distributors, Subscription
  858. Services, Disk-of-the-Month Clubs, etc., should refer to the VENDOR.DOC
  859. file for complete information relating to them.)
  860.  
  861. (BBS SYSOPs should refer to the SYSOP.DOC file for complete information
  862. relating to them.)
  863.  
  864. Individuals are hereby granted permission by JAYAR Systems to copy the
  865. FileSafe diskette for their own use (for evaluation purposes) or for other
  866. individuals to evaluate, ONLY when the following conditions are met.
  867.  
  868. The FileSafe package is defined as containing all the material listed in
  869. the PACKING.LST text file.  If any files listed in the PACKING.LST text
  870. file, or the PACKING.LST file itself, are missing, then the package is not
  871. complete and distribution is forbidden.  Please contact us to obtain a
  872. complete package suitable for distribution.
  873.  
  874.       o  The FileSafe package--including all related program files and
  875.          documentation files - CANNOT be modified in any way and must be
  876.          distributed as a complete package, without exception.  The
  877.          PACKING.LST text file contains a list of all files that are part
  878.          of the FileSafe package.
  879.  
  880.       o  No price or other compensation may be charged for the FileSafe
  881.          package.  A distribution cost may be charged for the cost of the
  882.          diskette, shipping and handling, as long as the total (per disk)
  883.          does not exceed $10.00.
  884.  
  885.       o  The FileSafe package CANNOT be sold as part of some other
  886.          inclusive package.  Nor can it be included in any commercial
  887.          software packaging offer, without a written agreement from JAYAR
  888.          Systems.
  889.  
  890.       o  The PRINTED User's Guide may not be reproduced in whole or in
  891.          part, using any means, without the written permission of JAYAR
  892.          Systems.  In other words, the disk-based documentation may not be
  893.          distributed in PRINTED (hardcopy) form.
  894. LICENSE                                                       Page B-3
  895. LIMITED DISTRIBUTION LICENSE:
  896.  
  897.  
  898.       o  The FileSafe package cannot be "rented" or "leased" to others.
  899.  
  900.       o  Licensee shall not use, copy, rent, lease, sell, modify,
  901.          decompile, disassemble, otherwise reverse engineer, or transfer
  902.          the licensed program except as provided in this agreement.  Any
  903.          such unauthorized use shall result in immediate and automatic
  904.          termination of this license.
  905.  
  906.       o  U.S.  Government Information:  Use, duplication, or disclosure by
  907.          the U.S.  Government of the computer software and documentation in
  908.          this package shall be subject to the restricted rights applicable
  909.          to commercial computer software as set forth in subdivision
  910.          (b)(3)(ii) of the Rights in Technical Data and Computer Software
  911.          clause at 252.227-7013 (DFARS 52.227-7013).  The
  912.          Contractor/manufacturer is JAYAR Systems, 253 College Street,
  913.          Suite 263, Toronto, Ontario, CANADA M5T 1R5.
  914.  
  915. All rights not expressly granted here are reserved to JAYAR Systems.
  916.  
  917.  
  918.  
  919.  
  920.  
  921.  
  922.  
  923.  
  924.  
  925.  
  926.  
  927.  
  928.                                 APPENDIX C
  929.  
  930.                           DEFINITION OF SHAREWARE
  931.  
  932.  
  933.  
  934. Shareware distribution gives users a chance to try software before buying
  935. it.  If you try a Shareware program and continue using it, you are expected
  936. to register.  Individual programs differ on details--some request
  937. registration while others require it, some specify a maximum trial period.
  938. With registration, you get anything from the simple right to continue using
  939. the software to an updated program with printed manual.
  940.  
  941. Copyright laws apply to both Shareware and commercial software, and the
  942. copyright holder retains all rights, with a few specific exceptions as
  943. stated below.  Shareware authors are accomplished programmers, just like
  944. commercial authors, and the programs are of comparable quality.  (In both
  945. cases, there are good programs and bad ones!) The main difference is in the
  946. method of distribution.  The author specifically grants the right to copy
  947. and distribute the software, either to all and sundry or to a specific
  948. group.  For example, some authors require written permission before a
  949. commercial disk vendor may copy their Shareware.
  950.  
  951. Shareware is a distribution method, not a type of software.  You should
  952. find software that suits your needs and pocketbook, whether it's commercial
  953. or Shareware.  The Shareware system makes fitting your needs easier,
  954. because you can try before you buy.  And because the overhead is low,
  955. prices are low also.  Shareware has the ultimate money-back guarantee--if
  956. you don't use the product, you don't pay for it.
  957.  
  958.                            ASP OMBUDSMAN POLICY
  959.  
  960. This program is produced by a member of the Association of Shareware
  961. Professionals (ASP).  ASP wants to make sure that the shareware principle
  962. works for you.  If you are unable to resolve a shareware-related problem
  963. with an ASP member by contacting the member directly, ASP may be able to
  964. help.  The ASP Ombudsman can help you resolve a dispute or problem with an
  965. ASP member, but does not provide technical support for members' products.
  966. Please write to the ASP Ombudsman at 545 Grover Road, Muskegon, MI 49442 or
  967. send a CompuServe message via CompuServe Mail to ASP Ombudsman 70007,3536.
  968.  
  969.  
  970.  
  971.  
  972.  
  973.  
  974.  
  975.  
  976.  
  977.  
  978.  
  979.  
  980.                                 APPENDIX D
  981.  
  982.                               HOW TO REGISTER
  983.  
  984.  
  985.  
  986. FileSafe is a "shareware program" and is provided at no charge to the user
  987. for evaluation.  Feel free to share it with your friends, but please do not
  988. give it away altered or as part of another system.  The essence of
  989. "user-supported" software is to provide personal computer users with
  990. quality software without high prices, and yet to provide incentive for
  991. programmers to continue to develop new products.  If you find this program
  992. useful and find that you are using FileSafe and continue to use FileSafe
  993. after a reasonable trial period, you must make a registration payment of
  994. US$29.00 (Cdn$34.00) to JAYAR Systems.  The registration fee will license
  995. one copy for use on any one computer at any one time.
  996.  
  997. When you register you receive the following:
  998.  
  999.       o  You will get the latest version of FileSafe,
  1000.  
  1001.       o  The registered version of FileSafe does not display a banner
  1002.          (registration reminder notice) when it runs,
  1003.  
  1004.       o  You will get a typeset manual,
  1005.  
  1006.       o  You will get the utility GETSIG that gathers signature files from
  1007.          a directory tree and stores them in a master signature file.  This
  1008.          makes using FileSafe somewhat more secure and convenient.
  1009.  
  1010.       o  You will be informed of updates and given a reduced upgrade cost.
  1011.  
  1012.  
  1013. You must treat this software just like a book.  An example is that this
  1014. software may be used by any number of people and may be freely moved from
  1015. one computer location to another, so long as there is no possibility of it
  1016. being used at one location while it's being used at another.  Just as a
  1017. book cannot be read by two different persons at the same time.
  1018.  
  1019. Commercial users of FileSafe must register and pay for their copies of
  1020. FileSafe within 30 days of first use or their license is withdrawn.  Your
  1021. registration fee purchases a single user license.  If you need to use
  1022. multiple copies, significant savings can be had by purchasing a site
  1023. license rather than registering multiple individual copies.  Even a
  1024. two-user site license saves you money.  See the file SITELICE.DOC for
  1025. details.
  1026. HOW TO REGISTER                                               Page D-2
  1027.  
  1028.  
  1029.  
  1030. Anyone distributing FileSafe for any kind of remuneration must first
  1031. contact JAYAR Systems at the address given in DESCRIBE.DOC for
  1032. authorization.  This authorization is automatically granted to distributors
  1033. and vendors who are members of the Association of Shareware Professionals
  1034. (ASP).  See files VENDOR.DOC and SYSOP.DOC for details.
  1035.  
  1036. You are encouraged to pass a copy of FileSafe along to your friends for
  1037. evaluation.  Please encourage them to register their copy if they find that
  1038. they can use it.  All registered users will receive a copy of the latest
  1039. version of the FileSafe system.
  1040.  
  1041. Send in the following form to register your copy of FileSafe:
  1042. HOW TO REGISTER                                               Page D-3
  1043.  
  1044.  
  1045.  
  1046. REGISTRATION FORM
  1047. Send to:  JAYAR Systems                  GST Registration Number:
  1048.           253 College Street             R124607193
  1049.           Suite 263
  1050.           Toronto, Ontario
  1051.           Canada   M5T 1R5
  1052.  
  1053. Name       ___________________________________________
  1054.  
  1055. Address    ___________________________________________
  1056.  
  1057.            ___________________________________________
  1058.  
  1059.            ___________________________________________
  1060.  
  1061.            ___________________________________________
  1062.  
  1063. Telephone  __________________________
  1064.  
  1065. +--------+------------------------+------------+------------+
  1066. Quantity | Product                | Each       |   Total    |
  1067. +--------+------------------------+------------+------------+
  1068. |        |                        | US$29.00   |            |
  1069. |        | FileSafe               |    or      |            |
  1070. |        |                        |Cdn$34.00   |            |
  1071. +--------+------------------------+------------+------------+
  1072. |               Canadian residents add 7% GST  |            |
  1073. +----------------------------------------------+------------+
  1074. |                Ontario residents add 8% PST  |            |
  1075. +----------------------------------------------+------------+
  1076. |      Outside Canada/U.S.A.,   add shpg/hndlg |   $5.00    |
  1077. +----------------------------------------------+------------+
  1078. |                                       TOTAL  |            |
  1079. +----------------------------------------------+------------+
  1080.  
  1081. Please remit by cheque (we will accept cheques in your local currency at
  1082. the appropriate rate of exchange) or by money order.  We will accept your
  1083. company's purchase order.  We also accept payment by Visa or Mastercard.
  1084.  
  1085. P.O. Number  ______________________________________ (P.O. to follow)
  1086.  
  1087.      +------------------------------------------------------------------+
  1088.      | Note - Fill out the following ONLY if you are making payment by  |
  1089.      |        credit card.  You may also call (416) 751-3284 for credit |
  1090.      |        card registrations.                                       |
  1091.      |                                                                  |
  1092.      | Master Card [ ]  Visa [ ] Card Number ______ ______ _____ ______ |
  1093.      |                                                                  |
  1094.      | Name on the Card (print) _______________________________________ |
  1095.      |                                                                  |
  1096.      | Expires ____/____                                                |
  1097.      |                    Signature ___________________________________ |
  1098.      |                                                                  |
  1099.      +------------------------------------------------------------------+
  1100.