home *** CD-ROM | disk | FTP | other *** search
/ The World of Computer Software / World_Of_Computer_Software-02-385-Vol-1of3.iso / i / i-m131d.zip / I-M.DOC < prev    next >
Text File  |  1992-12-03  |  211KB  |  4,191 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.                   I N T E G R I T Y     M A S T E R (tm)
  10.  
  11.  
  12.                              Version  1.31d
  13.  
  14.  
  15.       An easy to use, data integrity and anti-virus program which also
  16.        provides PC security, change control and disk error detection.
  17.  
  18.  
  19.  
  20.              Users Guide plus Data Integrity and Virus Guide
  21.  
  22.              ________________________________________________
  23.  
  24.  
  25.                 Copyright 1990 - 1992 by Wolfgang Stiller
  26.                            All rights reserved
  27.                            ___________________
  28.  
  29.                              Stiller Research
  30.                             2625 Ridgeway St.
  31.                          Tallahassee, Florida 32310
  32.                                  U.S.A.
  33.  
  34.        Electronic mail to:
  35.  
  36.                 CompuServe: 72571,3352
  37.                 InterNet, Bitnet, etc.: 72571.3352@compuserve.com
  38.                 Uunet: uunet!compuserve.com!72571.3352
  39.  
  40.    Integrity Master (tm)              -  2  -                 Version 1.31d
  41.  
  42.     Third Edition November 1992
  43.     Copyright 1990-1992 Wolfgang Stiller.  All Rights reserved.
  44.  
  45.     The following paragraph does not apply where such provisions are
  46.     inconsistent with law:
  47.  
  48.     Stiller Research provides this document "AS IS" without warranty of
  49.     any kind, either express or implied, including, but not limited to the
  50.     warranties of merchantability or fitness for a particular purpose.
  51.  
  52.     This document may include technical inaccuracies or typographical
  53.     errors. We continually update and correct this document with the
  54.     latest available information.
  55.  
  56.     Note to U.S. Government users:  Use, duplication, or disclosure by
  57.     the U.S. Government of the computer software and documentation in
  58.     this package shall be subject to the restricted rights applicable to
  59.     commercial computer software as set forth in subdivision (b)(3)(ii) of
  60.     Rights in Technical Data and Computer Software clause at 252.227-
  61.     7013 (DFARS 52.227-7013).  The manufacturer is  Stiller Research,
  62.     2625 Ridgeway St., Tallahassee, Florida 32310-5169.
  63.  
  64.     Integrity Master and Integrity Advisor are trademarks of Stiller
  65.     Research.  Microsoft, Windows and MS/DOS are trademarks of
  66.     Microsoft corporation.  IBM and OS/2 are trademarks of
  67.     International Business Machines Corporation. Vines is a trademark of
  68.     BANYAN Inc.  NetWare is a trademark of Novell Inc.  Unix is a
  69.     trademark of AT&T. Sidekick is a trademark of Borland
  70.     International.
  71.  
  72.  
  73.     A P P R E C I A T I O N
  74.  
  75.     There are far too many individuals who have contributed to the
  76.     development of Integrity Master and this accompanying book to thank
  77.     individually.  Please accept my heartfelt appreciation!  I would like to
  78.     express my appreciation to those who have freely given of their time
  79.     and expertise to help us and other researchers: Vesselin Vladimirov
  80.     Bontchev, Henri Delger, Paul Ferguson, Sara Gordon, Ross
  81.     Greenberg, Frans Hagelaars, Glenn Jordan, Bill Lambdin, Yisrael
  82.     Radai, Martin Roesler, Fridrik Skulason, Rob Slade, Harry Thijssen,
  83.     Righard Zwienenberg, and Ken van Wyk.  All of you have made
  84.     contributions which have made this book possible -- thank you!
  85.  
  86.  
  87.  
  88.     Integrity Master (tm)              -  3  -                 Version 1.31d
  89.  
  90.     Use of Integrity Master(tm) (also known as IM) requires acceptance of
  91.     the following license terms and warranty disclaimer.
  92.  
  93.  
  94.     L I C E N S E    T E R M S
  95.  
  96.     TO USE INTEGRITY MASTER, YOU MUST AGREE TO AND
  97.     UNDERSTAND THE FOLLOWING LICENSE TERMS AND WARRANTY
  98.     DISCLAIMER, OTHERWISE DO NOT USE THIS PROGRAM.
  99.  
  100.     Each PC must have its own licensed copy.  EACH COPY MAY
  101.     ONLY BE USED ON ONE PC.  It may be removed from that PC
  102.     and installed on another PC but IT MAY NOT BE INSTALLED ON
  103.     MORE THAN ONE PC AT A TIME.  To use  Integrity Master on
  104.     more than one PC, you must license extra copies.
  105.  
  106.  
  107.     W A R R A N T Y    D I S C L A I M E R:
  108.  
  109.     INTEGRITY MASTER AND ALL ASSOCIATED PROGRAMS ARE
  110.     LICENSED "AS-IS".  STILLER RESEARCH AND WOLFGANG STILLER
  111.     MAKE NO WARRANTIES, EITHER EXPRESSED OR IMPLIED, WITH
  112.     RESPECT TO THESE PROGRAMS, THEIR QUALITY, PERFORMANCE,
  113.     MERCHANTABILITY, OR FITNESS FOR ANY PARTICULAR PURPOSE.
  114.     IN PARTICULAR,  INTEGRITY MASTER IS NOT GUARANTEED TO
  115.     PREVENT OR DETECT DAMAGE TO YOUR DATA OR PROGRAMS. IN
  116.     NO EVENT SHALL STILLER RESEARCH OR WOLFGANG STILLER BE
  117.     LIABLE  FOR ANY CLAIMS FOR LOST PROFITS OR ANY DAMAGE,
  118.     INCLUDING BUT NOT LIMITED TO SPECIAL, INCIDENTAL,
  119.     CONSEQUENTIAL OR OTHER DAMAGE.  SOME STATES DO NOT
  120.     ALLOW THE  EXCLUSION OR LIMITATION OF INCIDENTAL OR
  121.     CONSEQUENTIAL DAMAGES, SO THE ABOVE LIMITATION OR
  122.     EXCLUSION MAY NOT APPLY TO YOU.
  123.  
  124.     IF YOU USE INTEGRITY MASTER (IM), YOU ASSUME EXCLUSIVE
  125.     RESPONSIBILITY AND LIABILITY FOR ANY LOSS OR DAMAGE
  126.     DIRECTLY OR INDIRECTLY ARISING OUT OF  THE USE OF THE
  127.     PROGRAM.
  128.  
  129.     IN NO CASE SHALL STILLER RESEARCH'S OR WOLFGANG STILLER'S
  130.     LIABILITY EXCEED THE LICENSE FEES PAID FOR THE RIGHT TO USE
  131.     THE LICENSED SOFTWARE.
  132.  
  133.     THE LICENSE AGREEMENT AND WARRANTY DISCLAIMER SHALL BE
  134.     CONSTRUED, INTERPRETED AND GOVERNED BY THE LAWS OF THE
  135.     STATE OF FLORIDA.
  136.  
  137.     Integrity Master (tm)              -  4  -                 Version 1.31d
  138.                                                
  139.         T A B L E    O F    C O N T E N T S
  140.        -----------------------------------
  141.  
  142.                                tm
  143.     PART ONE - Integrity Master    User Guide
  144.  
  145.        License and Warranty Terms .......................  3
  146.  
  147.        Chapter One - Why Integrity Master
  148.         Welcome! .................................... 7
  149.         Don't Read This ............................. 7
  150.         Why the User Guide .......................... 8
  151.         What Can Integrity Master Do? ............... 8
  152.         How Does Integrity Master Do These Things?... 9
  153.         What Makes Integrity Master Special?......... 9
  154.         Requirements and Limitations ............... 10
  155.  
  156.        Chapter Two - Installing Integrity Master
  157.         Special Quick Install....................... 11
  158.         Full Installation........................... 11
  159.         Vital Files ................................ 12
  160.         Screen Colors .............................. 13
  161.         Using Integrity Master Menus................ 14
  162.  
  163.        Chapter Three - Running Integrity Master
  164.         Integrity Master Screen Contents ........... 15
  165.         Initializing Integrity Data................. 15
  166.         What Is Integrity Data? .................... 16
  167.         The Check Menu ............................. 16
  168.         The Report File ............................ 18
  169.         System Sectors ............................. 19
  170.            Reloading ............................... 19
  171.         The Commands Menu .......................... 20
  172.            Disk Change and Directory Change ........ 20
  173.            Quit - Exit the Integrity Master ........ 20
  174.            Uninstall - Delete Integrity Data ....... 21
  175.         The Statistics Summary ..................... 21
  176.         Virus Checking Procedure ................... 22
  177.            Scanning for Viruses .................... 23
  178.            Detecting Viruses ....................... 23
  179.            Detecting Unknown (new) viruses ......... 24
  180.            The Integrity Master virus report ....... 25
  181.            False Alarms ............................ 26
  182.            Destroying Viruses ...................... 26
  183.            Data Corruption ......................... 27
  184.         Integrity Master and Disk Problems  ........ 27
  185.         Integrity Master for PC Security ........... 28
  186.         Integrity Master for Change Control ........ 29
  187.         Command Line (BATCH) Execution ............. 30
  188.            Syntax .................................. 30
  189.            Error Levels  ........................... 31
  190.         Using IMCHECK .............................. 31
  191.         Other Operating Systems .....................33
  192.            Microsoft Windows and OS/2............... 34
  193.            Networks ................................ 34
  194.  
  195.     Integrity Master (tm)              -  5  -                 Version 1.31d
  196.  
  197.        Chapter Four - Customizing
  198.         The Parameter (Options) File ................ 35
  199.         Options Menu ................................ 36
  200.         Options in SETUPIM .......................... 41
  201.         Integrity Data Options ...................... 42
  202.         Updating Your Hardware Configuration ........ 43
  203.         The Advanced Option Menu..................... 44
  204.  
  205.        Chapter Five -  Errors
  206.         Error Recovery .............................. 47
  207.         Solving Problems ............................ 47
  208.         Answers to Common Questions ................. 48
  209.  
  210.     PART TWO - Data Integrity and Viruses
  211.  
  212.        Chapter One - Threats to your data
  213.         Introduction - Viruses Get All The Glory .... 51
  214.         Hardware Problems............................ 52
  215.         Finger Checks ... ........................... 52
  216.         Malicious or Careless Damage................. 52
  217.         Software Problems ........................... 53
  218.         Software Attacks ............................ 53
  219.             Logic Bombs ............................. 53
  220.             Trojans ................................. 54
  221.             Worms ................................... 54
  222.             Viruses ................................. 54
  223.                General Virus Behavior................ 55
  224.                System Sector Viruses................. 57
  225.                   Boot Sectors ...................... 57
  226.                   Partition Sectors ................. 57
  227.                File Viruses ......................... 58
  228.                   Miracle Infections ................ 59
  229.         How Many Viruses Are There?.................. 60
  230.         How Serious are Viruses?..................... 61
  231.  
  232.        Chapter Two - Protection for your PC
  233.         Hardware Protection ......................... 63
  234.         "Fixing" your disk .......................... 63
  235.         Goof Protection  ............................ 64
  236.         Intrusion Protection......................... 64
  237.         Virus Defenses  ............................. 65
  238.            Scanners ................................. 65
  239.            Disinfectors ............................. 66
  240.            Interceptors ............................. 67
  241.            Inoculators .............................. 67
  242.            ROM and Encryption ....................... 68
  243.            Integrity Checkers ....................... 68
  244.            Gadgets .................................. 70
  245.            Prevention................................ 70
  246.  
  247.     Integrity Master (tm)              -  6  -                 Version 1.31d
  248.  
  249.          Chapter Three - Virus Myths
  250.           Mythical Sources ............................ 71
  251.           Quick and Easy Cures ........................ 72
  252.           Silly Tricks ................................ 72
  253.           Certified Software? ......................... 72
  254.           Retail Software Only? ....................... 73
  255.           Write-Protecting Your Hard Disk ............. 73
  256.           Safe Computing (Safe Hex?)................... 74
  257.           Software Is Useless Against Viruses.......... 74
  258.  
  259.          Chapter Four - Virus Realities
  260.           The ONLY Real Source of Viruses ............. 75
  261.           Shareware Is as Safe or Safer ............... 75
  262.           Few Virus Free Programs ..................... 76
  263.           Write-Protecting Floppies ................... 76
  264.           Beware the CE and the Demo! ................. 76
  265.           Viruses Are Going to Get Worse .............. 76
  266.  
  267.          Chapter Five - What to do - Some Suggestions
  268.           Action is Vital - Now! ...................... 77
  269.           Backup Policy ............................... 77
  270.           Integrity Checking Policy ................... 78
  271.           Run CHKDSK .................................. 78
  272.           Determining Causes of Corruption ............ 79
  273.           Education ................................... 80
  274.              Signs of Software Problems ............... 80
  275.              Signs of Viruses ......................... 80
  276.           Responsibility .............................. 81
  277.           Policy and Routine .......................... 81
  278.           Networks and Viruses ........................ 81
  279.           Guidelines for Using Anti-virus Software..... 82
  280.  
  281.          Chapter Six - Handling a virus attack
  282.           Don't Panic and Don't Believe the Virus ..... 83
  283.           Report the Attack ........................... 83
  284.           Play Detective............................... 83
  285.           Clean House (Steps to Remove the Virus)...... 84
  286.           Guard the House ............................. 84
  287.  
  288.     INDEX ............................................  85
  289.  
  290.  
  291.     Integrity Master (tm)              -  7  -                 Version 1.31d
  292.  
  293.                                tm
  294.     Part One - Integrity Master   Users Guide
  295.  
  296.     C H A P T E R   O N E   -   I N T R O D U C T I O N
  297.     ____________________________________________________________________
  298.  
  299.  
  300.     WELCOME!
  301.  
  302.     Welcome to the family of Integrity Master(tm) users!  Integrity Master
  303.     (also known as IM) is the fastest, most powerful data integrity and
  304.     anti-virus software available for any price.  I hope that you'll find
  305.     Integrity Master an indispensable part of your PC tool kit.  From now
  306.     on, you'll be back in control of all the data on your PC.
  307.  
  308.  
  309.     DON'T READ THIS!
  310.  
  311.     Most people should never need to read the Integrity Master Users
  312.     Guide.  If you're reading this to learn how to use Integrity Master,
  313.     you're here for the wrong reason.  Just copy your files onto your
  314.     hard disk and execute SetupIM.  The tutorial should tell you all you
  315.     need to know to get started.  For additional help when using Integrity
  316.     Master (IM), just hit F1 and select the index.  The odds are, what you
  317.     need to know is there.
  318.  
  319.     While I think most people won't need to read Part One -
  320.     Integrity Master Users Guide  (this part), I think everyone needs to
  321.     read  chapters one through six of Part Two - Data Integrity and
  322.     Viruses. This will help you understand the different threats to your
  323.     PC and what you can do about them.  You'll understand more clearly
  324.     how viruses work, how dangerous they are, and how to use Integrity
  325.     Master or other products to protect yourself.
  326.  
  327.     Integrity Master (tm)              -  8  -                 Version 1.31d
  328.  
  329.  
  330.     WHY READ THE USERS GUIDE?
  331.  
  332.     I've written this users guide for three reasons:
  333.  
  334.     1) To provide more information on how to get the greatest benefit out
  335.        of Integrity Master.  You'll learn how to:
  336.  
  337.        o use IM to detect totally new viruses
  338.  
  339.        o tell if file damage is likely due to a hardware problem or
  340.          possibly a virus or a trojan
  341.  
  342.        o use IM to protect your PC from unauthorized tampering, etc.
  343.  
  344.     2) To explain certain aspects of Integrity Master in more detail and in
  345.        different terms than the explanation available from IM's internal
  346.        help screens.
  347.  
  348.     3) To satisfy people who prefer to read things on paper.  If you prefer
  349.        to read things on paper, then you're here for the right reason.
  350.        Although, I'll bet the tutorial in SetupIM will surprise you.  (Give
  351.        it a try!)
  352.  
  353.  
  354.     WHAT CAN INTEGRITY MASTER DO?
  355.  
  356.     1) Detect and remove viruses.  IM will even detect viruses that are
  357.        not known to exist at this point.  For known viruses, IM will
  358.        recognize them by name and describe what they do.
  359.  
  360.     2) Detect possible file corruption due to hardware or software
  361.        problems.   This type of file damage is apparently at least 100
  362.        times more likely than virus infection, yet it usually goes
  363.        undetected.
  364.  
  365.     3) Supplement or replace any PC security programs you have.  IM
  366.        will inform you if anyone changes something on your PC's disk
  367.        while you were gone.
  368.  
  369.     4) You just compressed your disk or you restored your files from a
  370.        backup. Are all the files really OK?   IM will tell you.
  371.  
  372.     5) You wanted to delete all your .BAK files, but you entered: "DEL
  373.        *.BAT" by mistake.  Oops!  IM will tell you exactly which files
  374.        you need to restore.
  375.  
  376.     6) You need a change management system to keep track of growth on
  377.        your hard disk.  Where is all that disk space going?  IM will tell
  378.        you.
  379.  
  380.     7) You're having problems with your disk drive.  Your diagnostic
  381.        programs say all is OK . . . now.  But were some files damaged
  382.        last night?  IM tells you!
  383.  
  384.     Integrity Master (tm)              -  9  -                 Version 1.31d
  385.  
  386.     8) Your hard disk is having problems.  DOS will not even recognize
  387.        it as a disk.  IM can reload your partition and boot sectors to "fix"
  388.        your disk!
  389.  
  390.  
  391.     HOW DOES INTEGRITY MASTER DO ALL THESE THINGS?
  392.  
  393.     1) It reads files as well as parts of the operating system on your disk
  394.        known as system sectors.  The first time you use IM, you will run
  395.        an "initialize" that will read your disk and calculate cryptographic
  396.        signatures for each file and system sector.  While it's doing this,
  397.        IM is also checking for signs of known viruses.
  398.  
  399.     2) This signature data, along with other information such as the file
  400.        size, is encrypted and recorded in the "integrity data" file.  IM
  401.        creates one such file for each directory on your disk.
  402.  
  403.     3) On subsequent checks, the files and system sectors are read again
  404.        and the computed integrity data is compared with the prior values.
  405.        This allows IM to determine if anything has changed, even if the
  406.        time and date stamps reveal no change.
  407.  
  408.     4) IM detects changes that a virus may make to associate itself
  409.        (companion and cluster viruses) with an existing program.
  410.  
  411.     A virus can only infect your PC by associating itself with your
  412.     programs or system sectors.  Each of these actions results in changes
  413.     to data on your disk.  IM will detect these changes if a virus tries to
  414.     infect your system.
  415.  
  416.     WHAT MAKES INTEGRITY MASTER SPECIAL?
  417.  
  418.     1) Integrity Master is not just an anti-virus product but a complete
  419.        data integrity system.  Viruses are but one threat to the integrity
  420.        of your PC. With Integrity Master you have a complete solution.
  421.  
  422.     2) Unlike other integrity check programs, Integrity Master contains
  423.        extensive information regarding known viruses.  If IM recognizes
  424.        part of a known virus, it will identify the specific virus and
  425.        provide specific steps to remove it (offering to do this
  426.        automatically) and check for possible damage.  If it detects other
  427.        file changes that are characteristic of a virus, it will alert you to
  428.        that fact and provide appropriate instructions.
  429.  
  430.     3) Unlike a virus scanner, Integrity Master allows you to detect
  431.        unknown as well as known viruses.
  432.  
  433.     Integrity Master (tm)              - 10 -                 Version 1.31d
  434.  
  435.     4) Unlike anti-virus products that merely find known viruses,
  436.        Integrity Master also detects files and sectors damaged (not just
  437.        infected!) by viruses.
  438.  
  439.  
  440.     5) Integrity Master is fast!  We wrote it in 100% highly optimized
  441.        assembler language.
  442.  
  443.     6) Integrity Master checks and protects areas on your disk known as
  444.        system sectors (the DOS boot and partition sectors), not just the
  445.        files.  If these sectors become infected or damaged, Integrity
  446.        Master can quickly repair them.
  447.  
  448.     7) Integrity Master utilizes easy to use menus with lots of help. You
  449.        don't have to fully understand some of the more complex areas of
  450.        data integrity, such as system sectors, yet you can be fully
  451.        protected.
  452.  
  453.     8) The Integrity Advisor(tm) component of Integrity Master understands
  454.        special files important to DOS and will give you special advice,
  455.        with step by step instructions, if these files have changed.
  456.  
  457.      INTEGRITY MASTER REQUIREMENTS AND LIMITATIONS:
  458.  
  459.     o IM requires a PC with 225K of available memory and DOS 2 or
  460.       later.  (At least 350 thousand free bytes are needed for maximum
  461.       speed.)
  462.  
  463.     o IM supports super large disks and files.
  464.  
  465.     o IM supports a maximum of 2621 files in a single directory.
  466.  
  467.     o Do not use the DOS APPEND, SUBST or ASSIGN commands
  468.       together with IM.  These can cause results that are misleading if
  469.       you don't carefully consider the effects of these commands.
  470.  
  471.     Integrity Master (tm)              - 11 -                 Version 1.31d
  472.  
  473.     CHAPTER TWO - INSTALLING INTEGRITY MASTER
  474.     ____________________________________________________________________
  475.  
  476.  
  477.     SPECIAL QUICK INSTALL PROCEDURE
  478.  
  479.     Since you may be wanting to do a quick evaluation of Integrity
  480.     Master to see how it meets your needs, we offer this short cut install
  481.     procedure.  In contrast, the full install procedure is intended to guard
  482.     against unknown viruses already infecting your system or an attack by
  483.     a sophisticated user and is not necessary for an evaluation under
  484.     normal circumstances.
  485.  
  486.  
  487.     QUICK INSTALL:
  488.  
  489.     1) Type "SETUPIM" and hit ENTER.  Answer all the questions that
  490.        SetupIM will ask.  SetupIM will prepare a customized full install
  491.        procedure for you and save it on a file.   Rather than follow the
  492.        full procedure just continue with this quick install.
  493.  
  494.     2) Simply copy your IM files, IM.EXE and IM.PRM, to a convenient
  495.        location.   ("COPY IM.* A:" would copy them to a floppy)
  496.  
  497.     3) Enter the command: "IM /IE /Dc"  Substitute for "c", in the
  498.        "/Dc" parameter, the disk you wish to check.  That's it!
  499.  
  500.     The command line parameters (/IE, /Dc) are optional; to execute IM,
  501.     just enter "IM".  The menus will guide you from there.
  502.  
  503.  
  504.  
  505.     FULL INSTALLATION
  506.  
  507.    1) Make sure your Integrity Master files are located somewhere other
  508.       than drive A.  If they are on drive A, simply copy them to your
  509.       hard drive or a diskette that you can insert in one of the other
  510.       drives.  Here's an example of how to copy the IM files to your
  511.       hard drive from the diskette in drive A:
  512.  
  513.              C:           <ENTER>
  514.              CD \         <ENTER>
  515.              MD IMASTER   <ENTER>
  516.              CD IMASTER   <ENTER>
  517.              COPY A:*.*   <ENTER>
  518.  
  519.     Integrity Master (tm)              - 12 -                 Version 1.31d
  520.  
  521.    2) Now, to begin the actual install process, type:
  522.  
  523.              SETUPIM      <ENTER>
  524.  
  525.         Or, if you have an older (CGA type) LCD display, you may want
  526.       to enter:
  527.              SETUPIM /L    <ENTER>
  528.  
  529.       (most modern laptops work fine in color or monochrome mode
  530.       "/M")
  531.  
  532.       If you have a two-color display on a color adapter, you may wish
  533.       to try:
  534.              SETUPIM /M    <ENTER>
  535.  
  536.        for a more readable display.  SetupIM automatically senses the
  537.        type of video adapter you are using but the above two combinations
  538.        can fool it occasionally.
  539.  
  540.     3) SetupIM will guide you from there.  SetupIM will provide you a full
  541.        tutorial on using Integrity Master menus and give you an overview of
  542.        how Integrity Master works.  SetupIM will then analyze your needs and
  543.        check out your hardware configuration. SetupIM's Integrity
  544.        Advisor(tm) component will customize IM's options so that it will
  545.        work best to meet your needs.  The Integrity Advisor will also
  546.        prepare a custom designed procedure to finish the install and a plan
  547.        for day-to-day use of IM.  In addition to displaying this plan on
  548.        your screen, the Integrity Advisor will write the plan to file
  549.        IMPROC.TXT. You can use your favorite utility to read IMPROC.TXT or
  550.        you can enter the command IMVIEW IMPROC.TXT to read it, or the
  551.        command IMPRINT IMPROC.TXT to print the file.
  552.  
  553.  
  554.      VITAL FILES
  555.  
  556.      Please check file README.DOC for a full list of files that come
  557.      with Integrity Master and what's important about each file.  To read
  558.      README.DOC, type: "IMVIEW README.DOC" and hit ENTER.  If this file is
  559.      not present, don't use your copy of IM.
  560.  
  561.      After you install Integrity Master, there will be only two files you
  562.      absolutely need to use Integrity Master:
  563.  
  564.      IM.EXE  - Integrity Master itself
  565.  
  566.      IM.PRM  - The parameter file which controls how IM works
  567.              - This file is created by SETUPIM.EXE
  568.  
  569.     Integrity Master (tm)              - 13 -                 Version 1.31d
  570.  
  571.      If you want to reinstall IM, or change advanced features of IM, you
  572.      will need:
  573.  
  574.      SETUPIM.EXE The setup and install program (It creates
  575.                     and updates IM.PRM)
  576.  
  577.      When you install IM, SetupIM will create these files:
  578.  
  579.      IMPROC.TXT  Instructions on how finish installation and run IM
  580.  
  581.      IM.PRM           The parameter file (all option settings are stored
  582.                       here)
  583.  
  584.  
  585.      SCREEN COLORS
  586.  
  587.      IM normally automatically detects the type of video  adapter you have
  588.      and uses appropriate colors for your equipment.  There are two things
  589.      that can confuse IM:
  590.  
  591.     1) Some programs change the DOS video mode from color to
  592.        monochrome or vice-versa.  To correct this, just enter the
  593.        appropriate mode command (e.g., "MODE CO80")
  594.  
  595.     2) Some equipment appears to have a different display than it really
  596.        has, such as an LCD display on a laptop.
  597.  
  598.     If you find your display hard to read, you may want to override IM's
  599.     choice of video mode (colors).  The best way to do this is to experiment
  600.     by using the command line parameters to specify an alternate set of
  601.     colors.  Try each option and choose what looks the most pleasing.
  602.  
  603.     Both IM and SetupIM accept these command line parameters:
  604.  
  605.     /L  - For older CGA liquid crystal displays (e.g., Toshiba 1000 laptops)
  606.     /M  - Forces monochrome mode
  607.     /C  - Forces color mode
  608.     /A  - Forces automatic video detection mode (default).
  609.  
  610.     Example: "IM /M" will use colors appropriate for a monochrome
  611.     display even if the display appears to be of a color display.
  612.  
  613.     Once you've found the colors that work the best, it's usually best to
  614.     use SetupIM to select that video mode so that you don't have to remember
  615.     to enter the command line parameter.
  616.  
  617.     Integrity Master (tm)              - 14 -                 Version 1.31d
  618.  
  619.     USING INTEGRITY MASTER MENUS
  620.  
  621.     Integrity Master (IM) and SetupIM both employ an advanced menu system.
  622.     When you first install using SetupIM, it will offer you  an extensive
  623.     guided tour of how these menus work.  This is the best way to learn how
  624.     to use the menus.  Within Integrity Master, just hit F1 and select "Help
  625.     using the menus" from the help menu for assistance.
  626.  
  627.     On most menus you will see one selection shown in a different color (or
  628.     underlined) than the other selections.  The different color (highlight)
  629.     indicates that this is the chosen line.  You can use the arrow (cursor)
  630.     keys to select any of the items on the menu.  Each menu line has a
  631.     single capitalized letter showing in a different color. Pressing the key
  632.     matching that letter will also select that menu item. On many menus, an
  633.     extended explanation automatically appears as you select any menu line.
  634.     After you have chosen the appropriate menu item, you must hit the ENTER
  635.     key before anything will happen.
  636.  
  637.     Integrity Master (tm)              - 15 -                 Version 1.31d
  638.  
  639.     CHAPTER THREE - RUNNING INTEGRITY MASTER
  640.     ____________________________________________________________________
  641.  
  642.     INTEGRITY MASTER SCREEN CONTENTS
  643.  
  644.     The top part of the Integrity Master screen tells you what options are
  645.     in effect and what IM is currently doing.  The menus appear below this.
  646.     Be sure to go through the tutorial in SetupIM to learn how to use the
  647.     menus.  When IM is busy checking your files, the report screen pops up
  648.     and replaces the lower half of the screen including the menu area.
  649.  
  650.     The best way to get familiar with the information presented to you on
  651.     the IM screen is by hitting the F1 (help) key and selecting the
  652.     "Explanation of the display" entry.  This will give you a step by step
  653.     guided tour of IM's display.
  654.  
  655.  
  656.     INITIALIZING INTEGRITY DATA
  657.  
  658.     Before you can check your disk, you must initialize the integrity data
  659.     that describes the disk.  You can use either the command line parameter
  660.     (/IE) or the Initialize menu within IM.  Hit "I" or alt/I (hold down the
  661.     ALT key and press "I") to get to the Initialize menu.
  662.  
  663.     .-----------------------------.----------.------------------------.
  664.     |   Help    Options   Check   |Initialize|    ReLoad    CoMmands  |
  665.     .-------------------------- .-.          .-------------------. ---.
  666.                                 |  Entire disk integrity         |
  667.                                 |  Files on current Disk         |
  668.                                 |  Current and Lower directories |
  669.                                 |  Current diRectory only        |
  670.                                 |  Boot sector                   |
  671.                                 |  Partition sector              |
  672.                                 .--------------------------------.
  673.  
  674.     From this menu, you create (initialize) the integrity data that
  675.     describes your files and system sectors.  While IM is initializing the
  676.     integrity data, it will (unless you turned virus checking off) check for
  677.     known viruses, and check for other indications of viruses or system
  678.     problems.  For the system (boot and partition) sectors, IM will save
  679.     reload information.  This enables you to restore your system sectors
  680.     (using the ReLoad menu) if anything should ever infect or damage them.
  681.     IM writes the reload data to files BOOT.SRL and PART.SRL for the DOS
  682.     boot and partition sectors respectively.  Be sure to read the section in
  683.     Part Two, Chapter One, that explains why system sectors are important.
  684.  
  685.     When you first use IM, please select "Entire disk integrity" initialize
  686.     the integrity data for all files and system sectors (the boot or partition
  687.  
  688.     Integrity Master (tm)              - 16 -                 Version 1.31d
  689.  
  690.     sectors) that exist on the current disk.  IM will also create the system
  691.     sector reload files (BOOT.SRL and PART.SRL).  Be sure to save a copy of
  692.     these files on diskette to help you recover when your hard disk fails.
  693.     (Not all disks have both boot and partition sectors).
  694.  
  695.     The other options on this menu correspond to matching options on the
  696.     CHECK menu.
  697.  
  698.  
  699.     WHAT IS INTEGRITY DATA?
  700.  
  701.     When IM checks a file, it uses each byte of the file in a calculation to
  702.     compute cryptographic signatures for that file.  A change to any part of
  703.     a file will result in a different signature.  These signatures, along
  704.     with other significant information such as file size, are what I call
  705.     integrity data.  IM writes an integrity data file for each directory on
  706.     your disk. These files can be stored with the files that they describe
  707.     or stored on separate diskettes.
  708.  
  709.     When you first install, SetupIM chooses, at random, a unique algo-
  710.     rithm to compute the cryptographic signatures, and also chooses a
  711.     unique algorithm to encrypt your integrity data files.
  712.  
  713.  
  714.     WHAT ARE CRYPTOGRAPHIC SIGNATURES?
  715.  
  716.     Just as your signature uniquely identifies you, the cryptographic
  717.     signatures serve to identify the contents of each file.  If a virus or a
  718.     hardware problem changes a file, the signature computed for that file
  719.     will be different, although the file size and time and date stamps may
  720.     be the same. A change or the rearrangement of data in a file will result
  721.     in a different signature.  When you execute SetupIM, it will randomly
  722.     select a unique algorithm for computing the cryptographic signatures.
  723.  
  724.  
  725.  
  726.     THE CHECK MENU
  727.  
  728.     From the Check menu, you can check files or system sectors for changes.
  729.     Use the up and down arrow keys to select the type of checking you'd like
  730.     to do. You may choose to check only specific things on your disk, such
  731.     as the system sectors or individual files, or you could check everything
  732.     on the entire disk.  IM will report any added,  deleted, or changed
  733.     files as well as any signs of viruses or other known problems.  If
  734.     integrity checking is on, IM will read the files and check for any
  735.     changes.  Use the Options menu to control whether full integrity
  736.     checking is on and the type of files to check. The fourth line at the
  737.     top of the screen shows the current status of integrity checking
  738.     including the type of files to be checked.  If you
  739.  
  740.     Integrity Master (tm)              - 17 -                 Version 1.31d
  741.  
  742.     see: "Integrity check: On", this indicates that full checking will be
  743.     done on all files.
  744.  
  745.  
  746.     You can reach the Check menu by hitting "C" or alt/C.
  747.  
  748.     /---------------------/-----\-------------------------------------\
  749.     |   Help    Options   |Check|   Initialize    ReLoad    CoMmands  |
  750.     \----- /--------------/     \------------\ -----------------------/
  751.           |  Entire disk integrity         |
  752.           |  Files on current Disk         |
  753.           |  Current and Lower directories  |
  754.           |  Current diRectory only        |
  755.           |  Specific file(s)              |
  756.           |  Boot sector                 |
  757.           |  Partition sector              |
  758.           |  Disk for known Viruses        |
  759.           \---------------------------------/
  760.  
  761.     Entire disk integrity
  762.       Selecting this option and hitting the ENTER key will check any
  763.       system sectors (the boot or partition sectors) that exist on the
  764.       current disk for changes and then check all files in all directories.
  765.  
  766.     Files on current Disk
  767.       Selecting this option and hitting the ENTER key will check only
  768.       files on the current disk.  System sectors will not be checked.
  769.  
  770.     Current and Lower directories
  771.       Selecting this option and hitting the ENTER key will check files in
  772.       the current directory and any files in any directories which are
  773.       defined descendant from the current directory.  If the current
  774.       directory happens to be the root directory (e.g., C:\) then all files
  775.       on that disk will be checked since all other directories are
  776.       descendant from the root directory.  Another example: if you're in
  777.       directory \DOS, directories such as \DOS\A, \DOS\UTILS or \DOS\A\B
  778.       would be checked in addition to \DOS.
  779.  
  780.     Current diRectory only
  781.       Selecting this option and hitting the ENTER key will check only
  782.       files in the current directory.
  783.  
  784.     Specific file(s)
  785.       Selecting this option and hitting the ENTER key allows you to
  786.       enter the name of a specific file to check.
  787.  
  788.     Boot sector
  789.       Selecting this option and hitting the ENTER key will read the DOS
  790.       boot sector and check it for any changes.  Please see the
  791.       explanation of system sectors later in this guide.
  792.     Integrity Master (tm)              - 18 -                 Version 1.31d
  793.  
  794.     Partition sector
  795.       Selecting this option and hitting the ENTER key will read the
  796.       partition sector (also known as the master boot record) and check it
  797.       for any changes.  Please see the explanation of system sectors later
  798.       in this guide.
  799.  
  800.     Disk for known Viruses
  801.       The option to check "Disk for known Viruses" is intended only for
  802.       one-time quick virus scans or to do checks of all files (not just
  803.       those identified as executable files) for known viruses.  You can do a
  804.       one-time quick virus scan on just the current directory or on the
  805.       entire disk.  If you choose the entire disk, then the appropriate
  806.       system sectors will be checked as well as all executable files.
  807.       Checking all types of files is useful as a double check in the event
  808.       that IM detects an existing virus.  This is suggested since it's
  809.       possible that you may have a program somewhere that uses a file with a
  810.       nonstandard extension to store executable code (e.g., overlays).  If
  811.       you are aware of a program that uses extensions which IM does not
  812.       recognize as executable, then you may wish to use the Advanced menu in
  813.       SetupIM to add this extension to the list of extensions recognized by
  814.       IM. You generally won't need the virus scanning option except in these
  815.       special cases, since IM automatically checks for viruses during its
  816.       normal processing.  You can also use the /VA, /VO, or /VR command line
  817.       parameters to perform a virus scan.
  818.  
  819.  
  820.     IMPORTANT REMINDERS BEFORE CHECKING:
  821.  
  822.     o Before using IM, be sure that you've run SetupIM (new install) and
  823.       followed the directions provided for you in file IMPROC.TXT.
  824.  
  825.     o Before checking your files run an "Entire disk integrity" initialize.
  826.  
  827.     o For protection against previously unknown viruses, be sure you
  828.       cold boot from a write-protected floppy before checking.
  829.  
  830.  
  831.     T H E   R E P O R T   F I L E
  832.  
  833.     In addition to seeing a report of IM's findings on screen, you may wish
  834.     to save a report on disk or on paper.  The Options menu in both IM and
  835.     SetupIM allows you to set the type of report (if any) IM will create.  I
  836.     recommend that you allow IM to write its findings to an "auto-named"
  837.     disk file.  By saving these report files, you can discover what changed
  838.     last April 1 or when you last changed a particular file.  Each time you
  839.     run IM, it will write its findings to the end of the report file for
  840.     that day.  For example, on June 1, 1992 the report would be on file
  841.     ")(0601.REP".  By saving the report files, you can maintain a complete
  842.     change history for your PC.  If you ever want to find out what happened
  843.     to a file, the full history will be
  844.  
  845.     Integrity Master (tm)              - 19 -                 Version 1.31d
  846.  
  847.     available. If you wish to keep more than  one year of history on-line,
  848.     try copying all the report files (COPY *.REP) to another disk or
  849.     subdirectory.
  850.  
  851.     If you choose an "auto-named" report file, you can elect that IM place
  852.     the file in the root directory of whatever disk is being checked or you
  853.     may choose to place it on a specific disk of your choice.  You can also
  854.     give the report file absolutely any name you wish.  If you choose a
  855.     specific filename, you may include the disk and directory as part of the
  856.     filename.  If you do not specify a disk or directory as part of the
  857.     filename, then IM will create this file in the current directory at the
  858.     time you execute IM.
  859.  
  860.     If you elect printed output, IM will ask you to choose LPT1, 2,  or 3.
  861.     In the rare event that this does not work with your printer, you may
  862.     also print by asking IM to write the report to a specific file name such
  863.     as "PRN" (the printer).  If you use "PRN", you will get less
  864.     sophisticated error handling and messages since DOS drives the
  865.     printer rather than IM.
  866.  
  867.  
  868.     S Y S T E M   S E C T O R S
  869.  
  870.     System sectors are special areas on your disk containing programs
  871.     that are executed when you boot your computer.  These sectors are
  872.     invisible to normal programs but are vital for correct operation of
  873.     your PC.  They are a common target for viruses.  Please read the
  874.     detailed description of Boot and Partition sectors in Chapter one of
  875.     PART TWO - Data Integrity and Viruses.
  876.  
  877.  
  878.     R E L O A D I N G
  879.  
  880.     You can reach the ReLoad menu by hitting "L" or alt/L from any of
  881.     the other primary IM menus.
  882.  
  883.     .-------------------------------------------.------.--------------.
  884.     |   Help    Options   Check   Initialize    |ReLoad|    CoMmands  |
  885.     .---------------------------------------- .-.      .------------. .
  886.                                               |  Boot sector        |
  887.                                               |  Partition sector   |
  888.                                               |  Missing partition  |
  889.                                               .---------------------.
  890.  
  891.     From the ReLoad menu, you may reload your DOS boot sector or your
  892.     partition sector (master boot record), in the event that they have
  893.     become damaged or infected with a virus.  The "reload Missing partition"
  894.     option must be used if you have a disk so badly damaged that DOS will
  895.     not recognize that the disk exists. You will then be prompted to
  896.     identify the disk on which to reload. You can identify it either by the
  897.     logical disk letter (A-Z) or by the physical device number (0 for the
  898.     first physical hard drive, 1 for the second and so on).  If the disk you
  899.     are about to reload is not the same disk from
  900.  
  901.     Integrity Master (tm)              - 20 -                 Version 1.31d
  902.  
  903.     which the reload data was saved, IM will warn you, but will give you
  904.     the option to continue with the reload.  You can take advantage of this
  905.     if you need to reload the boot sector of multiple floppy diskettes:
  906.  
  907.    o Locate a clean diskette of the type that is infected
  908.  
  909.    o Initialize integrity data for the boot sector of that floppy.
  910.  
  911.    o Make sure that the BOOT.SRL file you just created is the only one
  912.      IM can find.  (Temporarily move any other .SRL files)
  913.  
  914.    o Turn the report file off
  915.  
  916.    o Change to the drive containing an infected floppy (CoMmands
  917.      menu).
  918.  
  919.    o Tell IM to reload the boot sector.
  920.  
  921.    o Insert and another diskette and keep reloading. IM will locate the
  922.      BOOT.SRL file on one of your other disks and reload the sectors
  923.      on each floppy diskette.
  924.  
  925.  
  926.     The Commands Menu
  927.  
  928.     You can reach the "CoMmands menu" by hitting "M" or alt/M from
  929.     any of the other primary IM menus.
  930.  
  931.     .----------------------------------------------------.--------.---.
  932.     |   Help    Options   Check    Initialize    ReLoad  |CoMmands|   |
  933.     .------------------------ .--------------------------.        .-. .
  934.                               |  Temporarily Shell out to DOS       |
  935.                               |  Quit - exit the Integrity Master   |
  936.                               |  Disk change                        |
  937.                               |  DiRectory change                   |
  938.                               |  Uninstall - delete integrity data  |
  939.                               .-------------------------------------.
  940.  
  941.     Temporarily Shell out to DOS
  942.       This allows you to exit IM to the DOS prompt, but leaves Integrity
  943.       Master loaded in memory so you can quickly return by using the
  944.       Exit command.  Shelling allows you to exit IM, and execute most
  945.       other programs at the DOS prompt (such as copying files or
  946.       formatting disks).
  947.  
  948.     Disk Change and DiRectory Change
  949.       You'll mostly use this menu to change the current disk or
  950.       directory.  (You can also use the "/D" command line option to
  951.       change to one or more other disks.)
  952.  
  953.     Quit - exit the Integrity Master
  954.       In addition to using the "Quit - exit the Integrity Master" option on
  955.       the CoMmands menu, you can use the ESCape and alt/X keys to
  956.       terminate IM from any point.  The ESCape key allows you to
  957.  
  958.     Integrity Master (tm)              - 21 -                 Version 1.31d
  959.  
  960.       terminate most IM menus without taking any action and return to
  961.       the prior menu.  The only exceptions to this are menus which
  962.       require a response one way or the other.  These are usually the
  963.       result of a detected error of some type.  If you hit ESCape enough
  964.       times, IM will ask if you really want to quit.  You must select
  965.       "Yes" and hit enter to exit.  The fastest way to exit IM, is by hit-
  966.       ting alt/X (hold the ALTernate key down and hit the "X" key).
  967.       This allows you to quickly exit without the final "Do you really want
  968.       to quit?" prompt.
  969.  
  970.     Uninstall - delete integrity data
  971.       If you have integrity data files in each directory of your hard disk,
  972.       you can quickly delete these files by selecting Uninstall on the
  973.       CoMmands menu.  If your integrity data is stored on a different
  974.       disk than the files it describes (such as a floppy) then this option
  975.       will have no effect.
  976.  
  977.  
  978.     THE STATISTICS SUMMARY
  979.  
  980.     Whenever you finish checking files, IM will show you a summary of its
  981.     findings.  Since the summary contains a time and date stamp, you can use
  982.     the report file as a chronological log of all changes on your PC even if
  983.     you have it going to the printer.  The summary shows statistics for all
  984.     file changes as well as system sector and memory checking.  IM reports
  985.     the number of times it checked a file's integrity data against the DOS
  986.     directory information, as "files processed". It also reports a separate
  987.     count of the number of files actually read and checked.  IM resets all
  988.     statistics (with the exception of the memory check results) each time
  989.     after it displays the summary statistics.  This means that on subsequent
  990.     file checks, the system sectors will be indicated as "Not checked" even
  991.     though they were indicated as checked on the prior display.  Why is
  992.     this?   IM does this because some disks are removable and disk X may
  993.     suddenly be a different disk.  IM shows the statistics for any viruses,
  994.     suspicious files, or system corruption (which includes file open and
  995.     read errors) in red.
  996.  
  997.  
  998.     VIRUSES - WHAT ARE THEY?
  999.  
  1000.     Viruses are but one of many threats to your data.  You are far less
  1001.     likely to be hurt by a virus than the other causes of data damage such
  1002.     as software conflicts and general glitches of various types.
  1003.  
  1004.     Viruses are programs that attach themselves to other programs  in such a
  1005.     way that when the other program is executed, the virus code will also
  1006.     execute.  The infected program usually appears to execute normally but
  1007.     the virus may be attaching itself to additional programs each time the
  1008.     infected program runs.  Many viruses are triggered by some event (such
  1009.     as a particular time or date) into an attack phase,
  1010.  
  1011.     Integrity Master (tm)              - 22 -                 Version 1.31d
  1012.  
  1013.     resulting in anything from music to serious file damage.  Viruses
  1014.     often wait a long time before attacking; their goal is to spread as far
  1015.     as possible before revealing their presence.  Some viruses go resident
  1016.     in your PC's memory, taking over your PC.  This enables them to infect
  1017.     at will and elude detection attempts.
  1018.  
  1019.     A virus may attach itself to programs in two ways that many people
  1020.     are not aware of.  The first way is to infect the programs that are in
  1021.     the system (boot and partition) sectors of your PC.  The second way is
  1022.     by changing system information on your PC so that the virus code is
  1023.     executed before the intended program. The most obvious way to do this
  1024.     depends on the fact that if both a .COM and .EXE file have the same
  1025.     name, DOS will execute the .COM file instead of the .EXE file. Such a
  1026.     virus is commonly called a companion or spawning virus. These viruses
  1027.     locate .EXE files and then plant themselves as .COM files of the same
  1028.     name.  The virus (the .COM file) can execute, spread further, and then
  1029.     run the .EXE program so that everything appears normal. (Don't worry; IM
  1030.     detects all types of viruses!) Please read PART TWO Data Integrity and
  1031.     Viruses to learn more about viruses.
  1032.  
  1033.  
  1034.     VIRUS CHECKING PROCEDURE
  1035.  
  1036.     When you install Integrity Master using SetupIM, the Integrity Advisor
  1037.     will prepare a complete procedure for running IM.  If you indicated that
  1038.     you wanted to detect viruses, then this procedure would include the
  1039.     steps you need to check for viruses.  This step by step procedure is
  1040.     customized to your own preferences, so be sure to read file IMPROC.TXT
  1041.     first.
  1042.  
  1043.     To be certain of detecting even unknown viruses, it is vital to cold
  1044.     boot from your write-protected floppy containing IM before checking for
  1045.     viruses.  Do NOT use Ctrl/alt/del to boot, but turn your PC off and then
  1046.     on.  Some PCs have a reset button that will force a cold boot.
  1047.  
  1048.     Whenever you engage in any activity that changes or rearranges many
  1049.     files, run at least a "Quick integrity update", so that your integrity
  1050.     data accurately reflects the status of your PC.  Use the Options menu to
  1051.     change the type of integrity checking.
  1052.  
  1053.    o With Integrity "CHECK ON", do a full integrity check (rather than
  1054.      a "quick update") of all files at least once a month to detect any
  1055.      unexpected changes.
  1056.  
  1057.    o If your work exposes you to programs that may be infected with viruses,
  1058.      do a daily full check of your disk for any unauthorized changes.  To
  1059.      save time, use the Options menu to limit checking to executable
  1060.      programs.  Check at least the current directory if you have executed
  1061.      any new or "strange" programs.
  1062.  
  1063.     Integrity Master (tm)              - 23 -                 Version 1.31d
  1064.  
  1065.    o After installing any new software, IMMEDIATELY run IM to
  1066.      initialize the integrity data for the new files you have created.  Be
  1067.      sure that you save a write-protected disk containing a copy of the
  1068.      software.  It is vital that you do this before you start to use the
  1069.      software.
  1070.  
  1071.    o It is critical to do extra checking any time you copy programs (e.g.,
  1072.      *.EXE or *.COM files).  When you copy programs, be sure to copy your
  1073.      integrity data also.  For example, if you are doing something like a
  1074.      "COPY  *.EXE   D:\DOS", then also enter a command to copy the integrity
  1075.      data to "D:\DOS".  (If you're not sure what the names of your integrity
  1076.      data files are, check your IMPROC.TXT file or select "Integrity data
  1077.      options" on the SetupIM Change menu.)  If you simply copy all files
  1078.      (COPY *.*), then you won't have to worry; the integrity data will
  1079.      automatically be copied along with the programs.  Afterwards, run IM to
  1080.      check that the files were copied without damage or virus infection.
  1081.      Naturally, IM will report any files that weren't copied as deleted when
  1082.      you run this check.
  1083.  
  1084.  
  1085.     SCANNING FOR VIRUSES
  1086.  
  1087.    To quickly do nothing but scan one or more disks for known viruses:
  1088.  
  1089.    o Use the CoMmands menu or the "/Dx" command line parameter to change to the
  1090.      drive you want to scan.
  1091.  
  1092.    o Use the Options menu to turn the report off or to set the report to go to
  1093.      the printer or your hard disk.
  1094.  
  1095.    o Select the Check menu to check "Disk for known Viruses".  Hit ENTER and
  1096.      select "One-time screening". Hit ENTER again.
  1097.  
  1098.    o This scans the first disk.  Insert the next diskette and hit ENTER four
  1099.      times to scan that disk for known viruses.
  1100.  
  1101.    To scan a disk for known viruses AND to get data integrity protection:
  1102.  
  1103.    o Use the Options menu and set the "Files to iNitialize" option to
  1104.      "Executable programs."
  1105.  
  1106.    o Use the Initialize menu to initialize "Entire disk integrity".
  1107.  
  1108.    The command line options: /VA, /VO and /VR are also available for scanning.
  1109.    Remember that virus scanning will detect only viruses known at the time this
  1110.    program was written.  As with any scan program, you should have the latest
  1111.    version if you intend to rely upon scanning for serious protection.
  1112.  
  1113.  
  1114.     DETECTING VIRUSES
  1115.  
  1116.    o Make sure that you specified that you wanted virus protection when
  1117.      you installed IM.  If you didn't, then run SetupIM and select
  1118.      "Reinstall".
  1119.  
  1120.    o Make sure you carefully followed SetupIM's instructions in
  1121.      IMPROC.TXT.
  1122.  
  1123.    o If a virus is found on your PC, IM will almost always recognize it
  1124.      by name and explain how to remove it.  IM will also advise if viral
  1125.      signs are present on changes that don't match known viruses.
  1126.  
  1127.     Integrity Master (tm)              - 24 -                 Version 1.31d
  1128.  
  1129.    o Whenever IM reports a change to an executable program, it's important
  1130.      to discover the cause.  Some programs modify themselves when you change
  1131.      their options; some programs change themselves every time they run.
  1132.      Changes to executable programs are indicated in red on the report
  1133.      screen and are bracketed by "...." to make these changes obvious.
  1134.  
  1135.    o If only a single program has changed and IM does not reveal this to be
  1136.      corruption, then you probably do NOT have a virus.  If you have any
  1137.      doubt that a program change may be a virus, be very careful and run
  1138.      full checks with IM after executing this program. (Cold boot (power off
  1139.      and on) from a floppy before running IM)  Any program changes detected
  1140.      at this point indicate a virus.  Please report this (see file
  1141.      VIRREP.DOC for complete details).
  1142.  
  1143.    o For speed, use the Options menu to limit checking to executable files.
  1144.  
  1145.  
  1146.     DETECTING UNKNOWN (NEW) VIRUSES
  1147.  
  1148.     IM has the capability to detect infection by an unknown (new) virus
  1149.     as well as the ability to identify known viruses and their
  1150.     characteristics.  If IM detects an unknown virus, it clearly can't
  1151.     provide the detailed information that it provides when it detects a
  1152.     known virus.  Because of some of the generic detection techniques used
  1153.     in IM, there's a good chance that it will identify and describe a new
  1154.     virus.  How is this possible?  This is only possible if the virus is not
  1155.     totally new but a modification of an existing virus.  In this case, IM
  1156.     may identify the "new" virus as a virus it knows about because someone
  1157.     created the new virus by simply making some changes to an existing
  1158.     virus.  (Most "new" viruses are created in exactly this way.) IM will
  1159.     usually notice the code from the old virus still present in the new
  1160.     virus and identify it in this way.
  1161.  
  1162.     What about totally new viruses?   These are a little more work to
  1163.     identify.  In this case, IM will inform you that it has detected a
  1164.     change in a file or a system sector, but won't announce that a virus is
  1165.     present, unless it's similar to a known virus.
  1166.  
  1167.     How do we decide whether a virus is responsible for the detected
  1168.     change?  Consider the following factors:
  1169.  
  1170.     o Has IM identified virus-like symptoms with this change?  Such
  1171.      symptoms include an unusual value in the DOS time or date stamp,
  1172.      and file corruption detected (no change to the time and date stamp
  1173.      but a change to the file).
  1174.  
  1175.     o Are numerous unrelated executable files changed?
  1176.  
  1177.     If the answer to one or both of these questions is "yes" then it's time
  1178.     to do some more checking to see if it's really a virus.  Please read the
  1179.  
  1180.     Integrity Master (tm)              - 25 -                 Version 1.31d
  1181.  
  1182.     section on Virus Signs and Playing Detective in Part Two - Data
  1183.     Integrity and Viruses.  Following these procedures will let you
  1184.     determine if you have encountered a brand new virus (lucky you!).  If
  1185.     you have encountered a virus, or you are not sure, please contact us;
  1186.     see file VIRREP.DOC for details on reporting viruses.
  1187.  
  1188.  
  1189.     THE INTEGRITY MASTER VIRUS REPORT
  1190.  
  1191.     When IM detects a known virus it will optionally present at least one
  1192.     full screen of information.   The virus report screen gives you the
  1193.     following information:
  1194.  
  1195.    o The name of the virus.  This is usually the name used by the UK's Virus
  1196.      Bulletin but in some cases we use an abbreviated or more common name.
  1197.      This name corresponds to an entry in file VTEXT.DOC.  Many viruses have
  1198.      been built as modifications to existing viruses. By identifying common
  1199.      (hard to change) code elements in the base virus, IM can identify
  1200.      multiple viruses by spotting their common characteristics.  This means
  1201.      for example that if IM reports the Jerusalem virus, it could also be
  1202.      the Anarkia, Anarkia-B or the Payday virus. Since viruses go by many
  1203.      names, alternate names for the same virus are listed in this table too.
  1204.  
  1205.    o IM lists the type of files or system sectors infected by this virus.
  1206.  
  1207.    o If the virus is known to seriously interfere with normal operation of
  1208.      your PC, this is mentioned.  We don't classify messages, bouncing balls,
  1209.      or music as serious interference. We do consider slowing execution of
  1210.      your PC or halting the system as serious.
  1211.  
  1212.    o IM will mention if the virus is known to either deliberately or
  1213.      inadvertently damage data on your disk.  Beware, though, some idiot
  1214.      could, at any point in time, modify a previously harmless viruses to do
  1215.      something destructive.  An example of this is the Cascade virus
  1216.      (letters cascade down on your screen when this virus activates).  The
  1217.      first version of this virus was harmless but someone created a variant
  1218.      that will format your disk.  In this case, IM makes a special check for
  1219.      the dangerous variant of the virus and warns you if it's detected.  In
  1220.      spite of this, please, NEVER assume that a virus is harmless.  If we
  1221.      don't mention that a virus is known to damage files, it means only that
  1222.      no one has reported damage from this virus.  Be careful; you may have a
  1223.      variant of the virus that might very well be dangerous!
  1224.  
  1225.    o IM presents step by step removal instructions for the virus.
  1226.  
  1227.     Sometimes IM presents additional screens describing necessary or suggested
  1228.     actions.  This is true if the virus is detected in memory. When IM first
  1229.     starts, it checks the memory of the PC for presence of known viruses
  1230.     (unless you deactivate this check using SetupIM or the "/B" (bypass)
  1231.  
  1232.     Integrity Master (tm)              - 26 -                 Version 1.31d
  1233.  
  1234.     command line parameter); if IM detects a virus, it will ask you to
  1235.     immediately cold boot your PC.  Checking further at this point could be
  1236.     very dangerous since it might spread the virus.  Other special viruses
  1237.     such as companion or cluster viruses (see PART TWO for details) will
  1238.     generate an extra screen identifying that specific virus and mentioning
  1239.     alternate ways to remove the virus.
  1240.  
  1241.  
  1242.     FALSE ALARMS
  1243.  
  1244.     If IM announces detection of a known virus, could this be a false alarm
  1245.     (not really a virus)?  If IM has checked this file before or if it has
  1246.     found more than one file infected, then you very likely have a REAL
  1247.     VIRUS!  If this is the first time that IM checked this file, and if it
  1248.     found only one file infected after checking your entire disk, then it's
  1249.     probably a false alarm.  Although it is very unlikely, it IS possible
  1250.     that a legitimate program could contain code that matches a virus.
  1251.  
  1252.     IF YOU THINK YOU HAVE A FALSE ALARM, PLEASE NOTIFY STILLER RESEARCH.
  1253.     WE WILL DETERMINE IF A VIRUS IS PRESENT; IF IT IS A FALSE ALARM, WE
  1254.     WILL, IF POSSIBLE, SEND A CORRECTED VERSION OF IM.
  1255.  
  1256.     Some anti-virus programs contain unencrypted virus fragments that IM may
  1257.     detect.  It's usually safe to assume these programs are not infected.
  1258.     Some of these programs also leave virus fragments in memory that IM may
  1259.     then detect and announce as a memory resident virus.  Please do not take
  1260.     any chances in such a case and follow IM's instructions to cold boot,
  1261.     even though it's likely to be a false alarm.
  1262.  
  1263.     If you have just read an infected disk or a file, there is a chance that
  1264.     IM may detect a piece of this file in memory and announce a resident
  1265.     virus when one really isn't resident.  In such cases, it's best to play it
  1266.     safe and cold boot from a write-protected diskette.
  1267.  
  1268.  
  1269.     DESTROYING VIRUSES
  1270.  
  1271.     If IM detects a known virus, it will display the steps to remove the
  1272.     virus and offer to remove it automatically.
  1273.  
  1274.     If IM detects program or system sector changes that may be due  to a
  1275.     virus, please follow these steps:
  1276.  
  1277.     o Save at least one infected diskette or file and report this to us. This
  1278.       will allow us update IM to recognize this virus and hopefully track
  1279.       down the source of the virus!  See file VIRREP.DOC for complete
  1280.       details.
  1281.  
  1282.     o Cold boot your PC (power off and on) from a write-protected
  1283.       floppy disk.
  1284.  
  1285.     Integrity Master (tm)              - 27 -                 Version 1.31d
  1286.  
  1287.     o Run an "Entire disk integrity" check, noting any changed programs
  1288.       or other possible damage by the virus.
  1289.  
  1290.     o You can allow IM to remove the virus or follow its directions to
  1291.       remove the virus manually.  Restore infected files from the original
  1292.       program diskettes if possible.
  1293.  
  1294.     o Reload your system sectors if they were damaged.
  1295.  
  1296.     o Restore any damaged files or programs from the original diskettes
  1297.       if possible.
  1298.  
  1299.     o Very carefully, check any floppies you've used.
  1300.  
  1301.     o Run an "Entire disk integrity" check daily for a while.
  1302.  
  1303.  
  1304.     DATA CORRUPTION
  1305.  
  1306.     If a program changes a file by normal means, the file's time and date
  1307.     stamp will be updated to reflect this change.  On the other hand, if a
  1308.     virus or a hardware or software problem causes a file to be changed,
  1309.     there is often no change to file's time and date stamps. IM calls this
  1310.     file corruption and raises a special alarm if it detects this.  If you
  1311.     find a corrupted file, the odds are it's NOT a virus.  The most likely
  1312.     cause of corrupted files is software conflicts.  The next most common
  1313.     cause is hardware problems.  In any case, if you have a corrupted file,
  1314.     it's essential you find what the cause is.  In Part Two - Data Integrity
  1315.     and Viruses", I have a chapter titled Determining the Cause of Data
  1316.     Corruption.  Please read that chapter very carefully when (not if!) you
  1317.     detect a corrupted file. The next section describes using IM when you
  1318.     are having suspected disk hardware problems.
  1319.  
  1320.  
  1321.     INTEGRITY MASTER AND DISK PROBLEMS
  1322.  
  1323.     It's an unfortunate fact of life that all disk drives will eventually
  1324.     fail; sometimes at the worst possible moment!  Before disk drives
  1325.     totally fail, they usually start exhibiting signs of problems, such as
  1326.     inability to reliably read and write certain areas on the disk.
  1327.     Unfortunately, these failures tend to be intermittent. The result may be
  1328.     that you have damaged files, but when you run your disk diagnostic
  1329.     software, no problems are found.  By using IM to do periodic full
  1330.     checks, you can detect these problems when they first begin and prevent
  1331.     more major disk problems, such as total failure,  from taking you by
  1332.     surprise.  If you have an MFM, RLL, or ESDI type of disk drive you
  1333.     probably can extend its life slightly by doing a low level format, or
  1334.     using a product such as Steve Gibson's SpinRite(R) that can do a
  1335.     nondestruc- tive low level format.  The key here is to detect disk
  1336.     problems early before any serious damage is done.
  1337.  
  1338.     Integrity Master (tm)              - 28 -                 Version 1.31d
  1339.  
  1340.     IM replaces the DOS critical error handler with its own more advanced
  1341.     routine.  If a disk error occurs, you will see a warning screen
  1342.     explaining what has happened, rather than the dreaded "Abort, retry, or
  1343.     fail" message that DOS provides.  IM may also present a menu offering
  1344.     you additional options (depending upon the type of error and the
  1345.     circumstances) such as repeating (retrying) the operation.
  1346.  
  1347.     If an error occurs while IM is checking files, it will report either
  1348.     "Read fail" or "Open fail" in place of the normal signature data on its
  1349.     report:
  1350.                            Name and    Signature     File     Update   Update
  1351.          Status: Type:     Extension:  Val1: Val2:   Size:    Date:    Time:
  1352.          ------- --------  ----------   ---- ---- ---------- -------- --------
  1353.          Added   File      NORMAL   EXE 0D83 4E93       2048 11/05/92 14:00:56
  1354.          Added   File      DISKERR  EXE Read fail     140792 11/05/92 14:01:02
  1355.          Added   File      CANTOPN  FIL Open fail        123 10/05/91 10:11:20
  1356.  
  1357.  
  1358.     In addition to "Read fail" or "Open fail" appearing in the IM report,
  1359.     additional information regarding the type of error will also appear and
  1360.     be recorded in the report file (or printout) as well in the on screen
  1361.     report.
  1362.  
  1363.     Whenever IM encounters an error reading a file, it  will NOT replace the
  1364.     original integrity data with the current (in error) data. This means
  1365.     that if you have a read error on a file, and you either "fix" the file
  1366.     using some utility or restore the file from a backup, you can then run a
  1367.     check on that file and know whether or not your file was correctly
  1368.     restored.
  1369.  
  1370.     If you run IM in an environment where more than one program can have a
  1371.     file open, you may get an "Open fail" or "IO error" due to another
  1372.     program having this file open.  This can happen on networks (LANs), with
  1373.     OS/2, or with windows. When this error occurs, you will see a detailed
  1374.     explanation along with a menu offering several options.  I recommend you
  1375.     select the option to ignore any further open errors; this way you will
  1376.     still see detailed information on any other problems discovered by IM.
  1377.     You can avoid this error display and most others by using the "/NE"
  1378.     command line parameter (pause on emergencies only).
  1379.  
  1380.  
  1381.     INTEGRITY MASTER FOR PC SECURITY
  1382.  
  1383.     Although there are no 100 percent reliable techniques to prevent
  1384.     someone from making unauthorized changes to your data while you
  1385.     are away, IM does offer a 100 percent reliable way of detecting these
  1386.     changes.
  1387.  
  1388.     If you specified that security was important when you first executed
  1389.  
  1390.     Integrity Master (tm)              - 29 -                 Version 1.31d
  1391.  
  1392.     SetupIM, its Integrity Advisor will make recommendations on how to use
  1393.     IM to get the level of protection you need.  It saves these
  1394.     recommendations on file IMPROC.TXT.  By storing your integrity data on
  1395.     diskettes and keeping these diskettes in a safe location, you can detect
  1396.     any changes that occur on your PC.  This should provide you protection
  1397.     even against a user who understands how IM works and is technically
  1398.     adept.  For most situations this is probably overkill!
  1399.  
  1400.     Keeping the integrity data on diskette may provide more protection than
  1401.     you need.  Simply keeping your parameter file (IM.PRM) on a diskette
  1402.     will provide a very high level of protection.  Since a user breaking
  1403.     into your PC will not be able to tell how the integrity data is
  1404.     computed, this user will not be able to change a file and then adjust
  1405.     the integrity data to hide the changes, even if they have a copy of the
  1406.     IM program.  This provides almost as much protection as keeping the
  1407.     integrity data on diskettes.
  1408.  
  1409.     If you keep the parameter file on the same disk with the files you
  1410.     check, it's possible that someone could modify your files and then run
  1411.     IM to update the integrity data, in this way covering their tracks. This
  1412.     person would obviously have to have enough knowledge about your PC to
  1413.     know that you use IM.  If you'd like to keep your parameter file on the
  1414.     diskette with your files you can still achieve a high degree of security
  1415.     by renaming IM.PRM and locating it in an unlikely directory.  When you
  1416.     invoke IM you will have to specify the name of the directory and the new
  1417.     name for the parameter file.  For example, the command: "IM
  1418.     D:\DOS\UTILS\BORING.DAT" will read the IM parameter information from
  1419.     file BORING.DAT in directory \DOS\UTILS on disk D.
  1420.  
  1421.  
  1422.     INTEGRITY MASTER FOR CHANGE CONTROL
  1423.  
  1424.     To use IM for change management, you really don't need to use integrity
  1425.     checking.  Simply running IM, in "Quick Update" mode, (which does not
  1426.     actually read files unless the DOS time/date stamp or file size have
  1427.     changed), is adequate to provide change management. "Quick update" mode
  1428.     only requires about 10 seconds to check about 270 megabytes (8000
  1429.     files).  To keep a full record of what has changed on your PC, I
  1430.     recommend you use "auto-named" report files and that you keep all your
  1431.     report files.  At the end of the year, you may wish to copy all the old
  1432.     report files into a directory for that year. For example, on January 1,
  1433.     1993:
  1434.  
  1435.     CD \
  1436.     MD REP93
  1437.     COPY *.REP \REP93
  1438.     DEL *.REP
  1439.  
  1440.     This creates a directory called "\REP93", copies all report files to
  1441.  
  1442.     Integrity Master (tm)              - 30 -                 Version 1.31d
  1443.  
  1444.     that directory and then deletes the old report file.
  1445.  
  1446.     By following this procedure you have a complete record of all changes on
  1447.     your PC.  If you want to know when a particular file last changed, it's
  1448.     easy to search through the report files for that filename. If you want
  1449.     to know where all your disk space is going, you can go back and see
  1450.     which files were added or which files grew.
  1451.  
  1452.  
  1453.     Command Line Execution
  1454.     Integrity Master is really designed to work by use of its menus.
  1455.     However, most functions can be automatically invoked from the
  1456.     command line to allow you to start IM from batch files.
  1457.  
  1458.  Syntax:  IM [Filespec] [/A] [/B] [/C] [/Cx] [/Dx] [/H] [/Ix] [/L] [/Nx] [/M]
  1459.  
  1460.  ==============================================================================
  1461.  FileSpec specifies the name of the parameter file to be used.  The disk
  1462.           and directory path should be specified as part of the filespec.
  1463.           For example: use "IM C:\dos\NEW.PRM" rather than "IM NEW.PRM".
  1464.  
  1465.  ------------------------------------------------------------------------------
  1466.  "/Dxyz" change to disk "x", process and then change to disk "y", etc.
  1467.         If used with more than one disk, this should be used with one of the
  1468.         "/Ix" or "/Cx" parameters.
  1469.  
  1470.  "/N"   Nonstop: the same as setting "Halt" to "Serious problems"  on the
  1471.         Options menu.  IM will stop only on viruses or serious problems.
  1472.  "/NE"  Stop on Emergencies only.  This almost never stops.
  1473.  
  1474.  "/B"  bypass memory check
  1475.  ------------------------------------------------------------------------------
  1476.  /Cx values: do type "x" integrity check and then quit:
  1477.  
  1478.  "/CE"  Check Entire disk integrity.      "/CB"  Check boot sector.
  1479.  "/CD"  Check all files on DOS disk.      "/CP"  Check partition sector.
  1480.  "/CR"  Check files in this diRectory.    "/CF=filespec" Check this one file.
  1481.  "/CL"  Check files in the current directory and all lower directories.
  1482.  ------------------------------------------------------------------------------
  1483.  /Ix values: do type "x" integrity initialize and then quit:
  1484.  
  1485.    "/IE"  Init Entire disk integrity.       "/IB"  Init Boot sector.
  1486.    "/ID"  Init all files on DOS Disk.       "/IP"  Init Partition sector.
  1487.    "/IR"  Init files in this diRectory.
  1488.  ------------------------------------------------------------------------------
  1489.  /Rx values will reload one of the system sectors on the current disk and quit.
  1490.    "/RP"  Reload Partition sector           "/RB"  Reload DOS Boot sector
  1491.  ------------------------------------------------------------------------------
  1492.  /Vx options scan system sectors and files for signs of known viruses:
  1493.  
  1494.    "/VA"  Check ALL files on a disk (not just executables).
  1495.    "/VO"  one-time quick screening of programs on current disk.
  1496.    "/VR"  one-time quick screening of programs in current directory.
  1497.  
  1498.  (REMINDER: Scanning by itself is not sufficient protection against viruses!)
  1499.  ------------------------------------------------------------------------------
  1500.  
  1501.     Integrity Master (tm)              - 31 -                 Version 1.31d
  1502.  
  1503.  The following may be used to override video mode selected during install:
  1504.    "/A"   Auto adjust of video mode.        "/L"   Use colors for older LCD displays.
  1505.    "/C"   Force use of full color mode.     "/M"   Use monochrome colors.
  1506.  
  1507.     Ordinarily, you don't need ANY parameters. Just enter: "IM". IM  is menu
  1508.     driven with lots of on-line help.  The command line parameters are
  1509.     intended for automatic unattended integrity checking.  If you don't have
  1510.     "HALT" set to "Serious problems" or "Emergencies only" (on the Options
  1511.     menu), use "/N" (or "/NE") to avoid pausing for input. If you wish to
  1512.     have IM automatically locate your parameter file, DO NOT specify it on
  1513.     the command line.  If you specify it on the command line and it is not
  1514.     located in the current directory, then you must include the drive and
  1515.     directory of the parameter file along with the name.
  1516.  
  1517.     Examples:
  1518.      "IM /L /CE"  Uses colors appropriate for an older (CGA type) LCD
  1519.     display and checks the system sectors as well as all files on the
  1520.     current disk.
  1521.  
  1522.     "IM /IR"  Creates new integrity data for files in this diRectory.
  1523.  
  1524.     "IM /CF=A:\X\IO.SYS"  Checks the file IO.SYS in directory \X on
  1525.     disk A:.
  1526.  
  1527.      "IM D:\IO\X.PRM /CD"  Checks all files in the current disk using
  1528.     options saved in the parameter file "X.PRM" located in "D:\IO".
  1529.  
  1530.      "IM /RB /DA"  Reloads the DOS boot sector on disk A.
  1531.  
  1532.     To execute IM automatically in unattended (batch) mode, do the
  1533.     following:
  1534.  
  1535.    o Use the Options menu to activate the report file.  Save this change
  1536.      by selecting the first option on the Options menu, "Write option
  1537.      changes to disk."
  1538.  
  1539.    o Either set the halt options to "Serious problems" (on the Options
  1540.      menu) or use the "/N" command line parameter  ("IM /N").
  1541.      Remember that you can use multiple parameter files if you don't
  1542.      want your options always set to nonstop.
  1543.  
  1544.    o Prepare the IM control card to do the type of checking that you
  1545.      want.  For example: "IM /N /DG /CE" will run nonstop on disk G:
  1546.      and check the entire disk (/CE), including system sectors.
  1547.  
  1548.    o If you have a timed execution program, such as the one available
  1549.      with PCtools, you may want to have it invoke IM or add IM to any
  1550.      batch file that you run regularly, such as nightly backup batch file.
  1551.  
  1552.     Integrity Master (tm)              - 32 -                 Version 1.31d
  1553.  
  1554.     ERROR LEVELS
  1555.  
  1556.     Integrity Master returns the following DOS error levels.  You can check
  1557.     for these error levels in a batch file and execute your own special
  1558.     procedures depending upon IM's findings.  One of our beta testers has
  1559.     their PCs automatically phone their help desk if an error level 24 or
  1560.     greater is encountered.
  1561.  
  1562.     00   Processing complete with no changes detected
  1563.     08   Checking complete with added or deleted files detected
  1564.     12   Checking complete with changed files detected
  1565.     16   Checking complete with changed programs detected
  1566.     24   Checking complete with suspicious file changes detected
  1567.     32   Checking complete but a file or system sector showed signs of
  1568.         corruption or an I/O error.  This will be in addition to any of the
  1569.         lower valued indicators such as change to a program.  So if a
  1570.         program changed, the error level would be 16 + 32 = 48.
  1571.     64   One or more viruses were detected. Any of the lower status
  1572.         indicators will be included with this one.
  1573.     128  If a vital IM file is determined to be missing or damaged
  1574.     192  A fatal error occurred during execution, such as not enough
  1575.         memory or a disk error in internal processing.
  1576.     200  Control card error (an error in IM's "/" parameters).
  1577.  
  1578.  
  1579.     Using IMCHECK
  1580.  
  1581.     IMCHECK.EXE is a fast stand-alone file checker.  It will read
  1582.     whatever files you specify and compute signature data similar to what
  1583.     Integrity Master uses as part of its integrity data.
  1584.  
  1585.     If you print the IMPROC.TXT file created by SetupIM, you will see
  1586.     the check values that IMCHECK should report for IM.EXE and
  1587.     IMCHECK itself.
  1588.  
  1589.     The syntax is: IMCHECK [d:] [path] filename [/D] [/1] [/2]
  1590.     "filename" specifies the files to check.  Wild card characters
  1591.     such as * or ? may be used.
  1592.        "/D"    Display directory entries as well as files.
  1593.        "/1"    Utilize an alternate algorithm for check value one.
  1594.        "/2"    Utilize an alternate algorithm for check value two.
  1595.  
  1596.     Entering IMCHECK with no parameters will display an explanation
  1597.     of how to use IMCHECK.
  1598.  
  1599.     For example: IMCHECK D:\DOS\TEST.* would check all files in
  1600.     the DOS directory on disk D: that begin with TEST but with any file
  1601.     extension.
  1602.  
  1603.     Integrity Master (tm)              - 33 -                 Version 1.31d
  1604.  
  1605.     IMCHECK can be very handy when you send files to others and you
  1606.     want to make sure that they got a good copy of your files.  Simply
  1607.     run IMCHECK on your files.  You will see a report like:
  1608.  
  1609.     IMCHECK 1.2 - Integrity Master (TM) standalone file checker.
  1610.     Copyright 1990-1991 by Wolfgang Stiller - all rights reserved.
  1611.     Checking: MYFILE.*
  1612.  
  1613.     File Name + Check Check    File    Update   Update
  1614.     Extension:  Val1: Val2:    Size:   Date:    Time:
  1615.     ----------   ---- ----    -------  ------   ------
  1616.     MYFILE.001   AC57 C1C4       1551 11/05/92 22:38:40
  1617.     MYFILE.DAT   2D53 B1D6       8666 11/07/92 18:57:30
  1618.     Total======> F5AA 66A7
  1619.  
  1620.     Record the check values and make sure the other person runs IMCHECK
  1621.     to compare the check values.  The "Total=====>" values will match
  1622.     only if the files are checked in the same order.
  1623.  
  1624.  
  1625.     Special license terms for IMcheck:
  1626.  
  1627.     Registered users of Integrity Master are granted permission to
  1628.     distribute copies of IMcheck to anyone who needs to verify the
  1629.     integrity of files sent by the registered user.  This other user may use
  1630.     and keep IMcheck but may not further distribute it.
  1631.  
  1632.     ONLY registered (licensed) IM users may distribute IMcheck.
  1633.  
  1634.  
  1635.     Other Operating Systems
  1636.  
  1637.     Although Integrity Master is designed to run in the DOS environment
  1638.     on Intel 80x86 family microprocessors, it is useful with other
  1639.     operating systems and processors such as OS/2, Unix, MicroSoft
  1640.     Windows and various Network (LAN) operating systems such as
  1641.     Netware and VINES.  You can even use it on a Macintosh with DOS
  1642.     emulation.  On most of these non-DOS systems you can't check the
  1643.     system sectors in the same way as under DOS since the underlying
  1644.     operating system support is different.  Since these operating systems
  1645.     are multitasking, Integrity Master may find that it can't read certain
  1646.     files that are in use by the operating system.  This is normal and will
  1647.     not interfere with a full system check.  There's more information on
  1648.     this in the section on Integrity Master and Disk Problems.
  1649.  
  1650.     While, it may be most convenient to do most of your checking under
  1651.     your normal operating system, I strongly suggest that you prepare a
  1652.     DOS boot check and occasionally check under native DOS.  This is
  1653.     currently the only way to give your system the most secure checking
  1654.     possible.
  1655.  
  1656.     Integrity Master (tm)              - 34 -                 Version 1.31d
  1657.  
  1658.     Microsoft Windows and OS/2
  1659.  
  1660.     Integrity Master will run quite happily under Windows or OS/2 as a
  1661.     DOS application.  You can even run IM in the background while you
  1662.     use a different application. However, this will probably prevent it
  1663.     from checking whatever files that you are currently using.
  1664.  
  1665.  
  1666.     If you are using a non-DOS file system such as the "High
  1667.     Performance File System" (HPFS) under OS/2, Integrity Master will
  1668.     be able to check only those files that DOS can access.  For OS/2
  1669.     HPFS this means that files with more than eight characters in the file
  1670.     name or more than three characters in the extension cannot be
  1671.     checked.  For example, IM could check file 12345678.ABC but not
  1672.     file 123456789.ABC.D under HPFS.
  1673.  
  1674.  
  1675.     Networks
  1676.  
  1677.     If you have a local area network (LAN), you can use Integrity Master
  1678.     on both the file server and the workstations. IM can be used on a
  1679.     network by running it on the separate workstations as well as on the
  1680.     server.  It can be configured in different ways.  If you place IM.EXE
  1681.     on a shared disk available to all workstations, you can have separate
  1682.     parameter (IM.PRM) files for each workstation or you could have a
  1683.     central IM.PRM in the directory with the shared IM.EXE.  It is more
  1684.     secure to allow each workstation to have its own IM.PRM, but using
  1685.     a common file makes it easier to copy or move files and then
  1686.     immediately check to make sure the files are intact.  If the server
  1687.     does not run DOS, then you will need to check the files on the server
  1688.     from one of the DOS workstations.  Part Two contains a section titled
  1689.     Networks and Viruses that provides some general procedures to make
  1690.     sure you keep you LAN free of viruses. It's particularly important
  1691.     that you follow the guidelines there on access rights and supervisor
  1692.     privileges. If you periodically boot each workstation from a write-
  1693.     protected floppy and do a full check of that PC, you can be assured of
  1694.     maximum protection for your LAN.
  1695.  
  1696.  
  1697.     Integrity Master (tm)              - 35 -                 Version 1.31d
  1698.  
  1699.     Chapter Four - Customizing
  1700.     ____________________________________________________________________
  1701.  
  1702.  
  1703.     Customizing Integrity Master
  1704.  
  1705.     When you first install Integrity Master, SetupIM does an initial
  1706.     customization for you based upon your needs and preferences.
  1707.     Integrity Master offers you a myriad of different options so that you
  1708.     can set it up to work just the way you want.
  1709.  
  1710.     From the Integrity Master Options menu, you can control almost all
  1711.     options that regulate how IM functions.  Your option changes may be
  1712.     either temporary or permanent.  To make your changes permanent,
  1713.     select "Write option changes to disk" from the Options menu.  This
  1714.     will save your option changes on the parameter file. These options
  1715.     will be in effect the next time you execute IM.
  1716.  
  1717.     In addition to initially installing IM, SetupIM allows you to change
  1718.     the less frequently used options.  The more advanced options (which
  1719.     you may never need to change) are segregated onto their own menu.
  1720.     These options include turning off virus checking, changing which
  1721.     files IM considers to be programs and deciding where IM will store
  1722.     your integrity data.  SetupIM also allows you to permanently change
  1723.     the colors that IM uses on the display.
  1724.  
  1725.     These options are stored on the parameter file (IM.PRM).  You may,
  1726.     if you wish, keep multiple versions of this file around to represent
  1727.     different sets of options.  You can specify a different name for this
  1728.     file on IM's command line.
  1729.  
  1730.  
  1731.     The Parameter (Options) File
  1732.  
  1733.     The parameter file (IM.PRM) contains all the options that control
  1734.     how IM works.  IM and SetupIM look for this file by searching the
  1735.     following locations:
  1736.  
  1737.       o  the current directory,
  1738.  
  1739.       o  the directory where IM.EXE is located,
  1740.  
  1741.       o  or the root directory on any disk.
  1742.  
  1743.     Whenever you change any options and save the changes, the
  1744.     parameter file is rewritten.  The option "Write option changes to
  1745.     disk" on IM's Options menu does this as well as SetupIM.
  1746.  
  1747.     Integrity Master (tm)              - 36 -                 Version 1.31d
  1748.  
  1749.     T H E   O P T I O N S   M E N U
  1750.  
  1751.     You can reach the Options menu from any primary IM menu by hit-
  1752.     ting the "O" or alt/O keys.   From the Options menu, you can control
  1753.     almost all options that determine how IM works.  These options
  1754.     include all normal day-to-day choices.
  1755.  
  1756.     .----------.-------.---------------------------------------------.
  1757.     |   Help   |Options|   Check   Initialize    ReLoad    CoMmands  |
  1758.     .- .-------.       .--------------------------. -----------------.
  1759.        | Write option changes to disk             |
  1760.        | Integrity:  CHECKING ON.off=quick update |
  1761.        | Files to Check:      Executable programs |
  1762.        | Files to iNitialize: Executable programs |
  1763.        | Halt on: ALL changes, adds or deletes    |
  1764.        | Sound -------------------------> ON.off  |
  1765.        | Report: (file or print)--------> on.OFF  |
  1766.        | Video (screen) report ---------> ON.off  |
  1767.        | Ignore Time.date changes ------> on.OFF  |
  1768.        | Only changes reported ---------> on.OFF  |
  1769.        | Exclude:    OFF and exclude report OFF  |
  1770.        .------------------------------------------.
  1771.  
  1772.     In addition to allowing you to set all the above options, the Options
  1773.     menu displays the current settings of these options.  The options that
  1774.     have "on/off" settings, are toggled between their "on" and "off" states
  1775.     by hitting the ENTER key.  The current setting of the option is
  1776.     displayed in capital letters, as well as in a distinctive color.
  1777.  
  1778.     Write option changes to disk
  1779.       This allows you to write any option changes to the parameter file,
  1780.       making your option changes effective the next time you execute IM
  1781.       also.  This option does not exist on the SetupIM version of the
  1782.       Options menu.
  1783.  
  1784.     Integrity:  CHECKING ON/off=quick update
  1785.       This is the most crucial item on the Options menu.  Hitting the
  1786.       ENTER key toggles IM between doing full integrity checking and
  1787.       doing only quick integrity data updating.  When you hit ENTER,
  1788.       either "Checking ON" or "OFF=Quick update" will be in all
  1789.       capital letters and in a different color (on most displays).  This
  1790.       discloses whether full integrity checking is on or off.  The status of
  1791.       integrity checking is also always visible on the fourth line at the top
  1792.       of the screen.
  1793.  
  1794.       Quick update mode provides a very fast way to bring all your
  1795.       integrity data up to date.  IM reads and integrity checks only files
  1796.       whose size, time stamp or date stamp have changed.  To detect file
  1797.       corruption and viruses, it's essential to regularly turn "Checking
  1798.       ON" to do full integrity checks.
  1799.  
  1800.     Integrity Master (tm)              - 37 -                 Version 1.31d
  1801.  
  1802.     Files to Check:
  1803.       You can use this option to limit IM's checking to only executable
  1804.       or source programs.  Even if you are interested only in virus
  1805.       detection, I strongly recommend that you also periodically set this
  1806.       option to check all files, so that you can be alerted to the other
  1807.       (more common) causes of file damage.  The Advanced menu in
  1808.       SetupIM allows you to change which files IM considers to be
  1809.       executable or source programs.
  1810.  
  1811.     Files to iNitialize:
  1812.       Use this option to limit IM's initializing of integrity data to only
  1813.       executable or source programs.  Even if your primary interest is
  1814.       viruses only, I strongly recommend that you set this option to read
  1815.       all files, so that you can be alerted to the other (more common)
  1816.       causes of file damage.  The Advanced menu in SetupIM allows you
  1817.       to change which files IM considers to be executable or source
  1818.       programs.
  1819.  
  1820.     Halt on: ALL changes
  1821.       When IM is checking your files for changes, it lists each new
  1822.       change that it detects at the top of the report screen.  The other
  1823.       changes on the screen shift downward (scroll) as each new line is
  1824.       added at the top of the screen.  By setting the halt options, you
  1825.       control when this scrolling will pause and wait for you to hit a key.
  1826.       This prevents a change from scrolling off the screen without you
  1827.       having seen it.  The halt options appear on this menu:
  1828.  
  1829.          .---------------------------------.
  1830.          | Halt on:                        |
  1831.          | All detected differences        |
  1832.          | Changed files only              |
  1833.          | Changes to Executable programs  |
  1834.          | Changes to any Program          |
  1835.          | File corruption or worse        |
  1836.          | Serious problems                |
  1837.          | Emergencies Only (not viruses)  |
  1838.          .---------------------------------.
  1839.  
  1840.       If you halt scrolling on "All detected differences", anytime a line
  1841.       written to the report screen is about to disappear off the bottom of
  1842.       the screen, the display will pause and wait for you to hit a key to
  1843.       acknowledge that you've seen all the lines on the display.  After
  1844.       you hit a key, the display will not pause until all the lines currently
  1845.       on the screen have scrolled off and a new unseen line is about to
  1846.       scroll off the screen.
  1847.  
  1848.       If you halt scrolling on "Changed files only", the scrolling will
  1849.       pause only when a modified file is about to disappear off the
  1850.       bottom of the screen.  After you hit ENTER, the display will not
  1851.  
  1852.     Integrity Master (tm)              - 38 -                 Version 1.31d
  1853.  
  1854.       stop scrolling until a changed file is about to scroll off the bottom.
  1855.       This changed file must not have been on the screen during the prior
  1856.       pause.
  1857.  
  1858.       If you halt scrolling on "Changes to Executable programs", the
  1859.       scrolling will pause only when a program is about to disappear off
  1860.       the bottom of the screen.  After you hit ENTER, the display will
  1861.       not stop scrolling until a program that was not on the previous
  1862.       display is about to scroll off the bottom.  You can use the
  1863.       "Advanced option" menu in SetupIM to check or change what IM
  1864.       considers to be executable programs.
  1865.  
  1866.       If you halt scrolling on "Changes to any Program", the scrolling
  1867.       will pause only when a program (either source or executable) is
  1868.       about to disappear off the bottom of the screen.  After you hit
  1869.       ENTER, the display will not stop scrolling until a program that
  1870.       was not on the previous display is about to scroll off the bottom.
  1871.       You can use the "Advanced option" menu in SetupIM to check or
  1872.       change what IM considers to be either source or executable
  1873.       programs.
  1874.  
  1875.       If you halt scrolling on "File corruption or worse", only signs of
  1876.       viruses, corrupted files, or possible hardware errors will pause the
  1877.       display.
  1878.  
  1879.       If you tell IM to halt on "Serious problems", then the display will
  1880.       pause only when it detects a virus or critical error such as a
  1881.       hardware error.  This affects scrolling in the same way as using the
  1882.       "/N" parameter on the command line.  If you set halt to this option,
  1883.       be sure that IM is writing a report to a file or to the printer,
  1884.       otherwise you may miss some important warnings.
  1885.  
  1886.       If you tell IM to halt on "Emergencies Only", then the display will
  1887.       almost never pause.  IM will continue processing even if it detects
  1888.       a known virus in a file or can't read the disk.  IM will only stop if
  1889.       it considers it dangerous to continue or if you're in danger of losing
  1890.       important information.  This affects scrolling in the same way as
  1891.       using the "/NE" parameter on the command line.  If you set halt to
  1892.       this option, be sure that IM is writing a report to a file or to the
  1893.       printer, otherwise you may miss some important warnings.
  1894.  
  1895.       You can always halt scrolling by hitting the "P" key.
  1896.  
  1897.     Sound -------------------------> ON/off
  1898.       IM will provide beeps and tones to alert you that something
  1899.       important has happened (or that you've hit an unsupported key).
  1900.       Hitting ENTER toggles whether you will hear these sounds.
  1901.  
  1902.     Integrity Master (tm)              - 39 -                 Version 1.31d
  1903.  
  1904.     Report: (xxxxxxxxxxxxx)--------> on/OFF
  1905.       This allows you to turn the report file off or to ask IM to write a
  1906.       report of its activities to either the printer or a disk file.  The
  1907.       "xxxxxxxxx" on the option line represents the name of the current
  1908.       report file or printer.  The disk file can be automatically named by
  1909.       IM or can be any file of your choice.  Please see "The Report
  1910.       File" in Chapter three for more details on these options.  This
  1911.       option line, along with the third line from top of IM's screen,
  1912.       display the status of the report file.
  1913.  
  1914.     Video (screen) report ---------> ON/off
  1915.       If you have a very slow video board (such as some very old CGA
  1916.       adapters), IM will run a little faster if you turn the screen report
  1917.       off. (Be sure to turn the report file on!)
  1918.  
  1919.     Ignore Time/date changes ------> on/OFF
  1920.       Sometimes the DOS time or date stamp on a file will change, but
  1921.       the file itself won't change.  If you do not want to have such files
  1922.       reported as changed, set this option to "ON".
  1923.  
  1924.  
  1925.     Only changes reported ---------> on/OFF
  1926.       If you do not want reports of added or deleted files, turn this option
  1927.       "on".  If "Only changes reported" is set to "on", then you will see
  1928.       only reports of file changes; IM will not report added or deleted
  1929.       files.  IM will still update the integrity data to reflect the added or
  1930.       deleted files, but it won't report these files.  All other processing
  1931.       also continues normally including the detection of companion
  1932.       viruses (viruses that appear only as added files).
  1933.  
  1934.     Exclude:   ON  and exclude report  OFF
  1935.       Selecting this option will pop up the Exclude menu:
  1936.  
  1937.          .-----------------------------------------.
  1938.          | IM will optionally exclude selected     |
  1939.          | files or directories from checking.     |
  1940.          |                                         |
  1941.          | Please hit ESCape when you are done.    |
  1942.          |-----------------------------------------|
  1943.          | Exclude checking is now OFF; turn it ON |
  1944.          | Reporting is now OFF; turn it ON        |
  1945.          | Select files or directories to exclude  |
  1946.          .-----------------------------------------.
  1947.  
  1948.       The Exclude menu allows you to exclude files or entire directories
  1949.       from checking, scanning, or initializing.  The bottom line of the
  1950.       Options menu along with the lines on the Exclude menu show
  1951.       whether excluding of files or directories is turned on and whether
  1952.       reporting of excluded objects is turned on.  Either may be toggled
  1953.       on or off at the press of a key.  If reporting of excluded files is
  1954.       "ON" and excluding itself is "ON", then a line will appear on the
  1955.       report every time a file or directory is bypassed from checking,
  1956.       scanning, or initializing. The line will list the particular file or
  1957.       directory that was excluded.
  1958.  
  1959.     Integrity Master (tm)              - 40 -                 Version 1.31d
  1960.  
  1961.       You may exclude a file by specifying the precise file name or using
  1962.       the wild card characters to specify a series of files.  You can also
  1963.       exclude all files within a directory by excluding that directory from
  1964.       checking. Either files or directories  can be excluded based on wild
  1965.       cards.  For example, you can tell IM to ignore any directory
  1966.       beginning with the characters "IM" by  using the wild card: "IM*".
  1967.       Or you could tell IM to ignore all your ZIP files (all filenames
  1968.       ending in ".ZIP")  by using the wild card "*.ZIP".
  1969.  
  1970.       When you're entering file or directory names to exclude, you may
  1971.       use the DOS wild card characters: * and ?.  The "*" character
  1972.       matches zero or any number of characters, while "?" matches one
  1973.       and only one character.  Some examples:
  1974.  
  1975.       This name:    Would exclude:      But not:
  1976.        A?.*        AB.ABC, AC.D       ABC.ABC, A.DEF, AX
  1977.        ??.ABC      XY.ABC, AB.ABC    A.ABC, XYZ.ABC
  1978.        A*.A?       A.AB, ABC.AX      A.CB, A.ABC
  1979.  
  1980.       Note that a wild card in the form "X*" will exclude any filename
  1981.       beginning with "X" (with or without an extension) while "X.*" will
  1982.       exclude only files which have an extension.
  1983.  
  1984.  
  1985.       If a file or directory is excluded, Integrity Master will no longer
  1986.       record information for it.  If integrity data already exists, then  IM
  1987.       will remove it.  To make sure you are aware of this, IM will
  1988.       always notify you that it is updating the integrity data.   For this
  1989.       reason,  you may see changes reported in a directory when you
  1990.       otherwise wouldn't expect any.  By asking IM to report what is
  1991.       being excluded you can see exactly what is being affected.
  1992.  
  1993.       Be very careful when excluding directories.  If a directory is
  1994.       excluded, IM will not look at any of the files in that directory or
  1995.       any of the subdirectories within that directory.  This means you can
  1996.       exclude an entire series of subdirectories (and their associated files)
  1997.       by excluding a single directory.
  1998.  
  1999.       If you un-exclude files and directories, they will appear as "added"
  2000.       the next time you run a check.
  2001.  
  2002.     Integrity Master (tm)              - 41 -                 Version 1.31d
  2003.  
  2004.     OPTIONS IN SETUPIM
  2005.  
  2006.     When you execute SetupIM for the first time, the Integrity Advisor(tm)
  2007.     will set your options in a way most likely to meet your needs and
  2008.     interests.  You can later go back and change any of the options that
  2009.     were set for you.  If you specify that it's not your first install of IM,
  2010.     you will see this menu:
  2011.  
  2012.          .--------------------------------------.
  2013.          | Select an option and hit ENTER:      |
  2014.          |                                      |
  2015.          | Overview of IM setup and operation   |
  2016.          | Change how Integrity Master operates |
  2017.          | Repeat the install on this PC        |
  2018.          | Install IM on another PC             |
  2019.          | Quit                                 |
  2020.          .--------------------------------------.
  2021.  
  2022.     From this menu, you can select "Change how Integrity Master
  2023.     operates" and hit ENTER.  This brings you to the Change menu:
  2024.  
  2025.          .--------------------------------------.
  2026.          | Select an option and hit ENTER:      |
  2027.          |                                      |
  2028.          | Screen display mode                  |
  2029.          | Integrity data options               |
  2030.          | Advanced options                     |
  2031.          | Update hardware configuration        |
  2032.          | Exit  - save any changes and end     |
  2033.          | Abort - Quit and abandon any changes |
  2034.          .--------------------------------------.
  2035.  
  2036.     OPTIONS AVAILABLE ONLY IN SETUPIM
  2037.  
  2038.     SetupIM allows you to change certain options that you would only
  2039.     want to change very rarely.  All the options on this menu are not
  2040.     available within IM itself.
  2041.  
  2042.  
  2043.  
  2044.     SCREEN DISPLAY MODE
  2045.  
  2046.     This allows you to set the screen colors as explained in the Chapter
  2047.     Two section titled Screen Colors.  Unless you have problems reading
  2048.     the screen, I strongly recommend that you allow IM to continue to
  2049.     operate in automatic video mode.  This way it will choose whatever
  2050.     colors are best for your video equipment.
  2051.  
  2052.     Integrity Master (tm)              - 42 -                 Version 1.31d
  2053.  
  2054.     INTEGRITY DATA OPTIONS
  2055.  
  2056.     This allows you to change how IM stores the integrity data describing
  2057.     your files and system sectors.  You can change the name, attribute, or
  2058.     the location of your integrity data files.  You can also use this menu
  2059.     selection to check what the characteristics of your integrity data files
  2060.     are.  Changing of file attributes and variable named files will
  2061.     not be available until version 1.4x.
  2062.  
  2063.       INTEGRITY DATA FILE NAMES:
  2064.  
  2065.       You can choose the names that IM will use for the integrity data
  2066.       files.  These filenames can be either fixed or variable.  If you
  2067.       originally installed a IM version 1.24b or earlier, your integrity
  2068.       data was stored in files named ")(.ID".  Each file had this same
  2069.       fixed name.  You can now choose your own name for these files and
  2070.       will soon be able to ask IM to use variable names.
  2071.  
  2072.         Fixed Integrity Data File Names
  2073.         If you choose fixed file names then every integrity data file will
  2074.         have the same name.  This makes it very easy to locate these
  2075.         files.  The drawback is that this also makes it very easy for
  2076.         someone else to locate your integrity data files if you keep them
  2077.         in the same directory with the files they describe.  A destructive
  2078.         program could deliberately delete these files, causing loss of
  2079.         protection.
  2080.  
  2081.     Integrity Master (tm)              - 43 -                 Version 1.31d
  2082.  
  2083.       LOCATION OF INTEGRITY DATA
  2084.  
  2085.       As IM checks your files, it must store the integrity data that
  2086.       describes these files.  Using SetupIM you can change where IM
  2087.       stores these files.  There are two options:
  2088.  
  2089.       1) It can store the integrity data in the same directory along with
  2090.         the files being checked, or
  2091.  
  2092.       2) It can store the integrity data on a separate disk (usually a
  2093.         floppy).
  2094.  
  2095.       Storing the integrity data on a floppy gives you additional
  2096.       protection against a virus or a person changing a file and then
  2097.       modifying the integrity data to cover up the change.  For viruses,
  2098.       this threat is fairly remote since the virus would have to be written
  2099.       specifically to attack files created by IM.  This would be very
  2100.       difficult since these files are encrypted differently on each PC.
  2101.       Storing the integrity data with the files being checked is usually
  2102.       easier and more flexible since the integrity data can be copied
  2103.       along with the files.  This also makes it easy for you to use IM to
  2104.       verify that you've made a good copy when you copy or move the
  2105.       files. If you want to restore an old copy of a file from a backup,
  2106.       you can restore the integrity data along with the file and then ask
  2107.       IM to check that the file was restored correctly.  If you move your
  2108.       files, it's easier to move the integrity data along with the files if it's
  2109.       stored in the same directory as the files.
  2110.  
  2111.  
  2112.     Update hardware configuration
  2113.  
  2114.     Please use this option whenever you change the configuration of disk
  2115.     drives on your computer, or if you use software that changes the
  2116.     assignment of DOS logical disk letters (A to Z) to your physical disk
  2117.     drives.  SetupIM will check the capabilities of each of your installed
  2118.     disk drives.  This will produce a display showing the drives that
  2119.     SetupIM recognizes.  It will also list any drives that do not contain
  2120.     DOS boot sectors and any that do not have partition sectors (master
  2121.     boot records).
  2122.  
  2123.  
  2124.     Exit - save any changes and end
  2125.  
  2126.     This updates the parameter file (IM.PRM) with any option changes
  2127.     you've selected, and exits SetupIM.
  2128.  
  2129.  
  2130.     Abort - Quit and abandon any changes
  2131.  
  2132.     This Allows you to exit SetupIM without writing any of your
  2133.     changes.  All option changes will be as they were before you entered
  2134.     SetupIM.
  2135.  
  2136.     Integrity Master (tm)              - 44 -                 Version 1.31d
  2137.  
  2138.     THE ADVANCED OPTION MENU
  2139.  
  2140.     If you select this option on the SetupIM change menu, the Advanced
  2141.     option menu will appear.
  2142.  
  2143.          .------------------------------------------------.
  2144.          | Select an option and hit ENTER:                |
  2145.          | (Hit ESCape when you're done)                  |
  2146.          |                                                |
  2147.          | Specify Names of hidden system files           |
  2148.          | Define which files are Executable programs     |
  2149.          | Define which files are Source programs         |
  2150.          | Check for virus in memory is ON; turn it off   |
  2151.          | General virus checking is ON; turn it off      |
  2152.          .------------------------------------------------.
  2153.  
  2154.     This menu is intended for more technically advanced users.  Most IM
  2155.     users should never need to use this menu.  When you're finished
  2156.     making changes on this menu, just hit ESCape to go back to the
  2157.     previous menu.  The Advanced Option menu offers you these options:
  2158.  
  2159.  
  2160.     Specify Names of hidden system files
  2161.  
  2162.       Selecting this option will allow you to change the names of the files
  2163.       that IM recognizes as the hidden system files.  This option is only
  2164.       needed on nonstandard PCs that don't use the standard  Microsoft
  2165.       or the IBM names for the hidden system files.  The files SetupIM
  2166.       recognizes by default are: IBMBIO.COM, IBMDOS.COM,
  2167.       IO.SYS and MSDOS.SYS.  If you execute "IMCHECK *.*", in
  2168.       your root directory and you don't see two of the above files, but
  2169.       instead see two other similarly named files, you may wish to use
  2170.       this option so IM recognizes those files.  If you don't understand
  2171.       what this is all about, don't worry.  IM's ability to recognize your
  2172.       hidden system files is NOT that important.  It simply allows IM to
  2173.       provide more specific information in two warning messages.
  2174.  
  2175.     Integrity Master (tm)              - 45 -                 Version 1.31d
  2176.  
  2177.     Define which files are Executable programs
  2178.  
  2179.       This option allows you to specify which file extensions (the letters
  2180.       after the "." in the file name) IM should consider to represent
  2181.       executable programs.  This is important for three reasons:
  2182.  
  2183.      1) Non-executable files are not normally checked for known
  2184.         viruses.
  2185.  
  2186.      2) IM provides special warning when executable programs change.
  2187.  
  2188.      3) If you use the Options menu to limit checking to executable
  2189.         programs, only these files will be checked.
  2190.  
  2191.  
  2192.       Initially, IM will consider files ending in the following extensions
  2193.       to be executable programs:
  2194.  
  2195.            Numeric extensions such as .123
  2196.            .OV?  (where ? can be any character)     .DRV
  2197.            .BAT                               .EXE
  2198.            .BIN                                             .PIF
  2199.            .COM                                            .SYS
  2200.            .DLL                              .SWP
  2201.  
  2202.       Note that not all these files can actually be affected by viruses, but
  2203.       all these files in one way or another contain instructions that are
  2204.       executed by your PC.
  2205.  
  2206.  
  2207.     Define which files are Source programs
  2208.  
  2209.       This option allows you to specify which file extensions (the letters
  2210.       after the "." in the file name) IM should consider to be source
  2211.       programs.  Source programs are the programs a programmer
  2212.       would use to create executable programs.  If you are not a
  2213.       programmer then you probably don't care about this option.  This
  2214.       option is intended mostly to provide programmers with extra
  2215.       warning if something has changed their source code.
  2216.  
  2217.     Integrity Master (tm)              - 46 -                 Version 1.31d
  2218.  
  2219.     Check for virus in Memory
  2220.  
  2221.       Selecting this option will toggle the checking of memory for known
  2222.       viruses on or off.  If you toggle memory checking on, the option
  2223.       line will be changed to read:
  2224.  
  2225.          Check for virus in memory is ON; turn it off.
  2226.  
  2227.       This indicates that memory checking is now "ON".  If you hit
  2228.       ENTER at this point, you will turn it "off", and the option will
  2229.       then read:
  2230.  
  2231.          Check for virus in memory is OFF; turn it on.
  2232.  
  2233.       Having this option "ON" allows IM to detect known viruses that
  2234.       are resident in memory.  If you always cold boot from a known
  2235.       good copy of DOS on a write-protected diskette, you could safely
  2236.       turn this option off, since there would be no way for a virus to be
  2237.       resident in memory.  Since it's hard to guarantee that you always
  2238.       cold boot, please leave resident memory checking turned on. If you
  2239.       execute IM multiple times and you don't want to wait for the
  2240.       memory check to complete, you can use the"/B" (Bypass) com-
  2241.       mand line parameter to bypass the resident memory check.
  2242.  
  2243.     General virus checking
  2244.  
  2245.       Selecting this option and hitting enter will toggle checking of files
  2246.       for known viruses on or off.  If you have absolutely no interest in
  2247.       viruses, you can speed up IM's initialize processing and its check
  2248.       processing (only when it encounters changed files) by 10 to 20
  2249.       percent.  Since this option imposes so little overhead in normal file
  2250.       checking, I suggest everyone leave it turned on.
  2251.  
  2252.     Integrity Master (tm)              - 47 -                 Version 1.31d
  2253.  
  2254.     Chapter Five - Errors
  2255.     ____________________________________________________________________
  2256.  
  2257.     Error recovery:
  2258.     IM replaces the normal DOS error recovery routines with its own
  2259.     more sophisticated routines.  If you encounter hardware errors, you'll
  2260.     generally see a message announcing what happened followed by a
  2261.     screen that will give you the option of retrying the failed operation,
  2262.     aborting (allowing whatever IM was trying to do, to fail), or other
  2263.     options depending upon the circumstances.  These other options may
  2264.     include "Shelling to DOS".  Shelling allows you to temporarily exit
  2265.     IM and execute any DOS command (such as formatting a disk) you
  2266.     wish.  You then return to IM by typing the EXIT command.  This
  2267.     returns you to the same point in IM, just as if you had never left.
  2268.  
  2269.     Solving problems:
  2270.     If you encounter a problem with IM, please read file
  2271.     QUESTION.TXT (for a list of common questions and answers)  and
  2272.     file SUPPORT.DOC (for the complete procedure on how to quickly
  2273.     get technical support).  File DISKHELP.TXT contains specific
  2274.     information on how to handle problems if IM won't recognize your
  2275.     disk drive.  You can use IMPRINT or IMVIEW to read any of these
  2276.     files. Example:  "IMVIEW SUPPORT.DOC"
  2277.  
  2278.     Answers to Common Questions:
  2279.     File QUESTION.TXT contains common questions and answers
  2280.     regarding IM.  You can read these by entering the command
  2281.     "IMVIEW QUESTION.TXT" at the DOS prompt or print with the
  2282.     command "IMPRINT QUESTION.TXT".  Here are some examples
  2283.     of common questions:
  2284.  
  2285.     Q: Sometimes IM comes up with different colors on the screen than
  2286.       before. What's going on?
  2287.  
  2288.     A: IM checks the DOS video mode indictor on your PC to see if you
  2289.       are in color or monochrome mode, as well as directly checking
  2290.       your video adapter.  This allows you to use the DOS "MODE
  2291.       BW80" to indicate that a two-color display is present on a color
  2292.       adapter card.  Some programs change this value to an incorrect
  2293.       value.  If this happens to you, use the DOS mode command to set
  2294.       the video mode back to the correct state.  For example, enter
  2295.       "MODE CO80" to restore normal color mode.  You can also use
  2296.       the command line override (or SetupIM) so IM comes up using
  2297.       whatever colors you prefer.  "IM /C" would force IM to run in
  2298.       color mode.
  2299.  
  2300.     Integrity Master (tm)              - 48 -                 Version 1.31d
  2301.  
  2302.     Q: IM detected a virus on my PC.  I reloaded my system sectors  and
  2303.       either deleted or reloaded all infected files, yet the virus keeps
  2304.       coming back!  What should I do?
  2305.  
  2306.     A: Somewhere a virus is eluding your checks.  Please check the
  2307.       following:
  2308.  
  2309.       o Did you install IM after cold booting from a clean floppy?  It's
  2310.         absolutely vital to do a cold boot before checking.
  2311.  
  2312.       o Are you using a task switcher (or multi-tasker) such as
  2313.         windows?  If so, then this program may be saving some of your
  2314.         infected programs in its "swap" file.  This file often ends in the
  2315.         letters ".SWP".   Delete this file if it exists.
  2316.  
  2317.       o Be sure you check ALL files and floppies that come into  contact
  2318.         with your computer.  You may have missed a file or diskette
  2319.         somewhere.  Please take the extra time and check them all.
  2320.  
  2321.       o It's possible that viral code is hidden somewhere other than an
  2322.         executable file.  IM normally checks only executable files
  2323.         (programs and overlays) for known viruses.  Try selecting "Disk
  2324.         for known Viruses" on the Check menu and selecting "Check
  2325.         All files" on that menu.  This will check all files as well as
  2326.         system sectors on your disk.  Also, check any other disks that
  2327.         you've been using.
  2328.  
  2329.     Q: I was just checking a diskette for viruses and IM detected the
  2330.       DataCrime 2 virus in a file.  When I restarted IM, it detected the
  2331.       DataCrime virus resident in memory!  I never executed the
  2332.       program that was infected, so how did the virus get control of my
  2333.       PC?
  2334.  
  2335.     A: The virus wasn't really resident or in control of your PC. What
  2336.       happened was that a piece of the viral code was left somewhere in
  2337.       memory - probably in one of DOS's file buffers.  Although IM
  2338.       takes great pains to clear its own buffers and areas of memory, it's
  2339.       not unusual to get a false indication of the virus being active in
  2340.       memory after detecting a virus in a file or system sector.
  2341.  
  2342.     Q: I just did a "DIR" on a diskette which had the "Stoned" boot
  2343.       sector virus.  When I ran IM, it reported the virus was active in
  2344.       memory.  Can I get a virus by just doing a DIR?
  2345.  
  2346.     A: No; you cannot get infected unless you execute an infected
  2347.       program or boot from an infected diskette.  When you did the
  2348.       "DIR", a copy of the infected boot sector was read into memory.
  2349.       IM detected this copy in memory.  Although the virus is in
  2350.       memory, this is harmless since the virus code is never executed.
  2351.     Integrity Master (tm)           - 49 -        Data Integrity and Viruses
  2352.  
  2353.  
  2354.                                    PART TWO
  2355.  
  2356.                                  
  2357.                           Data Integrity and Viruses
  2358.                                  
  2359.                                  
  2360.                  ___________________________________________
  2361.  
  2362.                                  
  2363.                 How do I make sure that my programs and files
  2364.                                really are safe?
  2365.  
  2366.  
  2367.                 What threats are even more likely to damage my
  2368.                               data than viruses?
  2369.  
  2370.  
  2371.                       What really works against viruses?
  2372.  
  2373.  
  2374.                       What doesn't work against viruses?
  2375.  
  2376.  
  2377.                         Why are viruses so dangerous?
  2378.  
  2379.  
  2380.                             How do I kill a virus?
  2381.  
  2382.  
  2383.                  ___________________________________________
  2384.  
  2385.  
  2386.  
  2387.          Copyright 1990-1992, Wolfgang Stiller, All rights reserved.
  2388.  
  2389.     Integrity Master (tm)           - 50 -        Data Integrity and Viruses
  2390.  
  2391.     Integrity Master (tm)           - 51 -        Data Integrity and Viruses
  2392.  
  2393.  
  2394.  
  2395.     PART TWO - DATA INTEGRITY AND VIRUSES
  2396.  
  2397.     CHAPTER ONE - THREATS TO YOUR DATA
  2398.     ____________________________________________________________________
  2399.  
  2400.  
  2401.     INTRODUCTION - VIRUSES GET ALL THE GLORY
  2402.  
  2403.     Do you have data or programs on your PC which you can't afford to have
  2404.     unexpectedly damaged?  How can you make sure that your data is safe?  To
  2405.     protect the integrity of your data, you must first understand the nature
  2406.     of the threats against it.
  2407.  
  2408.     The most publicized threats to your computer are software-based attacks
  2409.     often lumped together as "viruses" by the media.  Although viruses are
  2410.     often over sensationalized by media coverage, they do present a very
  2411.     real menace to your data.  (See the section in this chapter titled How
  2412.     serious are viruses?.)  Even if a virus never attacks your PC, it is
  2413.     almost inevitable that system glitches will someday corrupt data or
  2414.     programs on your PC.  Considering that viruses are but one threat to
  2415.     your data and not the most likely threat by far, it's ironic that so
  2416.     many people have anti-virus software but so few people take steps to
  2417.     protect the integrity of their programs and data from other hazards.
  2418.     Can anyone afford NOT to know that each and every byte on their disk is
  2419.     undamaged?
  2420.  
  2421.     So what's the explanation?  Why do so few people take steps to assure
  2422.     the integrity of the data on their PC?  The main reason is that data
  2423.     integrity gets almost no media coverage, (even in the trade journals),
  2424.     while a virus story may make the local evening news.  The result is that
  2425.     people just don't give data integrity a second thought. It's all too
  2426.     easy to take the reliability of our modern PCs for granted -- and, as
  2427.     you'll see, all too dangerous!
  2428.  
  2429.     You may be reading this primarily because you're interested in viruses.
  2430.     If that's true, then, for you, the media attention to viruses will have
  2431.     had a very beneficial effect.  You are about to learn how to protect
  2432.     your PC against much more than just viruses!  Data integrity is not a
  2433.     very glamorous subject, yet it's both crucial and fundamental to using
  2434.     any computer.  Without positive assurance of data integrity, computers
  2435.     cannot be depended upon to process any type of important data.  How
  2436.     would you respond if someone were going to change a byte of data
  2437.     somewhere at random on your disk?  You'd be pretty upset -- right?
  2438.     Well, the odds are,  it has already happened but you were not aware of
  2439.     it.  Perhaps the result was that a program quit working or CHKDSK found
  2440.     lost or cross-linked clusters.  Or per- haps, if you're lucky, the
  2441.     damage was to some inconsequential part of your disk.
  2442.  
  2443.     Integrity Master (tm)           - 52 -        Data Integrity and Viruses
  2444.  
  2445.     Let's explore the different threats to your files and programs:
  2446.  
  2447.     HARDWARE AND POWER FAULTS
  2448.  
  2449.     These are well known but also all too common.  We all know that when
  2450.     your PC or disk get old, they might start acting erratically and damage
  2451.     some data before they totally die.  Unfortunately, hardware errors
  2452.     frequently damage data on even young PCs and disks.
  2453.  
  2454.     Your PC is busy writing data to the disk and the lights go out!
  2455.     "Arghhhh!"  Is everything OK?  Maybe so, but it's vital to know for sure
  2456.     if anything was damaged.  If your disk drive is starting to fail, you
  2457.     can have the same problem.  Regrettably, it's not a question of "if",
  2458.     but a question of "when" in regard to disk failure.  There are tools
  2459.     (NORTON, MACE, PCtools, etc) to assist in recovery from disk problems,
  2460.     but how do you know all the data is OK?  These tools do not always
  2461.     recover good copies of the original files.  It's vital to have some way
  2462.     to check that these tools really do their job correctly.
  2463.  
  2464.     You can have hardware problems on a perfectly healthy PC if you have
  2465.     devices installed that do not properly share interrupts.  This problem
  2466.     is getting more and more frequent as we see multiple adapters installed
  2467.     in a PC that use the same interrupt (IRQ). Sometimes problems are
  2468.     immediately obvious, other times they are subtle and depend upon certain
  2469.     events to happen at just the wrong time, then suddenly strange things
  2470.     happen!
  2471.  
  2472.  
  2473.     FINGER CHECKS (TYPOS AND "OOPS! I DIDN'T MEAN TO DO THAT.")
  2474.  
  2475.     These are an all too frequent cause of data corruption.  This commonly
  2476.     happens when you are intending to delete or replace one file but
  2477.     actually get another.  By using wild cards, you may experience a really
  2478.     "wild" time.  "Hmmm I thought I deleted all the *.BAK files . . . but
  2479.     they're still here . . . something was deleted . . . what was it? . . .
  2480.     or was I in the other directory?"  Of course if you're a programmer or
  2481.     if you use sophisticated tools like Norton's sector editor (NU), then
  2482.     your fingers can really get you into trouble!
  2483.  
  2484.  
  2485.     MALICIOUS OR CARELESS DAMAGE
  2486.  
  2487.     Someone may accidentally or deliberately delete or change a file on your
  2488.     PC when you're not around.  If you don't keep your PC locked in a safe,
  2489.     then this is a risk.  Who knows what was changed or deleted?  Wouldn't
  2490.     it be nice to know if anything changed over the weekend?  Most of such
  2491.     damage is done unintentionally by someone whom you probably know.  This
  2492.     person didn't mean to cause trouble; they simply didn't know what they
  2493.     were doing when they used your PC.
  2494.  
  2495.     Integrity Master (tm)           - 53 -        Data Integrity and Viruses
  2496.  
  2497.     SOFTWARE PROBLEMS
  2498.  
  2499.     This category accounts for more damage to programs and data than any
  2500.     other.  We're talking about non-malicious software problems here, not
  2501.     viruses.  Software conflicts, by themselves, are much more likely
  2502.     threats to your PC than virus attacks.
  2503.  
  2504.     We run our PCs today in a complex environment.  There are many resident
  2505.     programs (TSRs such as Sidekick) running simultaneously with various
  2506.     versions of DOS, BIOS and device drivers.  All these programs execute at
  2507.     the same time, share data and are vulnerable to unforeseen interactions
  2508.     between each other.   Naturally, this means that there may be some
  2509.     subtle bugs waiting to "byte" us.  Anytime a program goes haywire,
  2510.     there's the risk it may damage information on disk.
  2511.  
  2512.     There's the further problem that not all programs do what we hope they
  2513.     will.  If you have just undeleted a file, did you really get all the
  2514.     correct clusters back in the right order?   When CHKDSK "fixes"
  2515.     your disk for you, isn't it essential to know exactly what files it
  2516.     changed to do its job?  This is one more reason why everyone must have
  2517.     the capability to verify data integrity.
  2518.  
  2519.  
  2520.     SOFTWARE ATTACKS
  2521.  
  2522.     These are programs written deliberately to vandalize someone's computer
  2523.     or to use that computer in an unauthorized way.  Even though some
  2524.     viruses do not intentionally damage your data, I consider all viruses to
  2525.     be malicious software since they modify your programs without your
  2526.     permission, with occasional disastrous results.  There are many forms of
  2527.     malicious software; sometimes the media refers to all malicious software
  2528.     as viruses.  It's important to understand the distinction between the
  2529.     various types.  Let's examine the different types of malicious software:
  2530.  
  2531.  
  2532.     LOGIC BOMBS
  2533.  
  2534.     Just like a real bomb, a logic bomb will lie dormant until triggered by
  2535.     some event.  The trigger can be a specific date, the number of times
  2536.     executed, a random number, or even a specific event such as deletion of
  2537.     an employee's payroll record.   When the logic bomb is triggered, it
  2538.     will usually do something unpleasant. This can range from changing a
  2539.     random byte of data somewhere on your disk to making the entire disk
  2540.     unreadable.  Changing random data  may be the most insidious attack
  2541.     since it generally causes substantial damage before anyone notices that
  2542.     something is wrong. It's vital to have some data integrity software in
  2543.     place so that such damage can be quickly detected. Although you can
  2544.     detect it after the fact, there is unfortunately no way to prevent a
  2545.     well written logic bomb from damaging your system. On the other hand, a
  2546.     logic bomb that uses standard DOS or BIOS requests to do its dirty work
  2547.     can be caught by most interceptor type programs (see Chapter Two).
  2548.  
  2549.     Integrity Master (tm)           - 54 -        Data Integrity and Viruses
  2550.  
  2551.     TROJANS
  2552.  
  2553.     These are named after the Trojan horse, which delivered soldiers into
  2554.     the city of Troy.   Likewise, a trojan program is a delivery vehicle for
  2555.     some destructive code (such as a logic bomb or a virus) onto a computer.
  2556.     The trojan program appears to be a useful program of some type, but when
  2557.     a certain event occurs, it does something nasty and often destructive to
  2558.     the system.
  2559.  
  2560.  
  2561.     WORMS
  2562.  
  2563.     A worm is a self-reproducing program that does not infect other programs
  2564.     as a virus will, but instead creates copies of itself, that create even
  2565.     more copies.   These are usually seen on networks and on
  2566.     multi-processing operating systems, where the worm will create copies of
  2567.     itself that are also executed.  Each new copy will create more copies
  2568.     quickly clogging  the system.  The so-called ARPANET/INTERNET "virus"
  2569.     was actually a worm. It created copies of itself through the ARPA
  2570.     network, eventually bringing the network to its knees.  It did not
  2571.     infect other programs as a virus would, but simply kept creating copies
  2572.     of itself that would then execute and try to spread to other machines.
  2573.  
  2574.  
  2575.     VIRUSES
  2576.  
  2577.     Viruses are a cause of much confusion and a target of considerable
  2578.     misinformation even from some so-called virus experts.  Let's define
  2579.     what we mean by virus:
  2580.  
  2581.     A virus is a program that reproduces its own code by attaching itself
  2582.     to other programs in such a way that the virus code is executed when the
  2583.     infected program is executed.
  2584.  
  2585.     You could probably also say that the virus must do this without the
  2586.     permission or knowledge of the user, but that's not a vital distinction
  2587.     for purposes of our discussion here.
  2588.  
  2589.     Most viruses do their "job" by placing self-replicating code in other
  2590.     programs, so that when those other programs are executed, even more
  2591.     programs are "infected" with the self-replicating code.  This
  2592.     self-replicating code, when triggered by some event, may do a
  2593.     potentially harmful act to your computer.  Viruses are initially
  2594.     distributed in the form of a trojan.  In other words, the virus code has
  2595.     been planted in some useful program.  Since the virus infects other
  2596.     useful programs, absolutely any piece of executable code will suddenly
  2597.     become a trojan delivery vehicle for the virus.
  2598.  
  2599.     Another way of looking at viruses is to consider them to be programs
  2600.     written to create copies of themselves.  These programs attach these
  2601.     copies onto other programs (infecting these programs).  When one of
  2602.     these other programs is executed, the virus code (which was attached to
  2603.     that program) executes, and links copies of itself to even more
  2604.     programs.
  2605.  
  2606.  
  2607.     GENERAL VIRUS BEHAVIOR
  2608.  
  2609.     Viruses come in a great many different forms, but they all potentially
  2610.     have two phases to their execution, the infection phase and the attack
  2611.     phase:
  2612.  
  2613.    1) When the virus executes it will infect other programs.  What's
  2614.       often not clearly understood is precisely WHEN it will infect the
  2615.       other programs.  Some viruses infect other programs each time
  2616.       they are executed; other viruses infect only upon a certain trigger.
  2617.       This trigger could be anything; it could be a day or time, an
  2618.       external event on your PC, a counter within the virus, etc.
  2619.       Modern viruses have become more selective about when they
  2620.       infect programs.  Being selective improves the virus' chance to
  2621.       spread; if they infect too often, they will tend to be detected before
  2622.       they have enough time to spread widely.  Virus writers want their
  2623.       programs to spread as far as possible before anyone notices them.
  2624.       This brings up an important point which bears repeating:
  2625.  
  2626.              IT IS A SERIOUS MISTAKE TO EXECUTE A PROGRAM A
  2627.              FEW TIMES - FIND NOTHING INFECTED AND PRESUME
  2628.              THERE ARE NO VIRUSES IN THE PROGRAM.  YOU CAN
  2629.              NEVER BE SURE THAT THE VIRUS SIMPLY HASN'T
  2630.              TRIGGERED ITS INFECTION PHASE!
  2631.     Integrity Master (tm)           - 56 -        Data Integrity and Viruses
  2632.  
  2633.       Many viruses go resident in the memory of your PC in the same way as
  2634.       terminate and stay resident (TSR) programs such as Sidekick. This
  2635.       means the virus can wait for some external event before it infects
  2636.       additional programs.  The virus may silently lurk in memory waiting
  2637.       for you to insert a diskette, copy a file, or execute a program,
  2638.       before it infects any other programs.  This makes these viruses more
  2639.       difficult to analyze since it's hard to guess what trigger condition
  2640.       they use for their infection.  Resident viruses frequently corrupt the
  2641.       system software on the PC to hide their existence.  This technique is
  2642.       called "stealth" and I'll cover this in more detail shortly.
  2643.  
  2644.    2) The second phase is the attack phase.  Many viruses do unpleasant
  2645.       things such as deleting files or changing random data on your disk,
  2646.       simulating typos or merely slowing your PC down; some viruses
  2647.       do less harmful things such as playing music or creating messages
  2648.       or animation on your screen.  Just as the virus's infection phase
  2649.       can be triggered by some event, the attack phase also has its own
  2650.       trigger.  Viruses usually delay revealing their presence by
  2651.       launching their attack only after they have had ample opportunity
  2652.       to spread.  This means that the attack may be delayed for years
  2653.       after the initial infection.  The attack phase is optional, many
  2654.       viruses simply reproduce and have no trigger for an attack phase.
  2655.       Does this mean that these are "good" viruses?  No, unfortunately
  2656.       not!  Anything that writes itself to your disk without your
  2657.       permission is stealing storage and CPU cycles.  This is made
  2658.       worse since viruses that "just infect", with no attack phase,
  2659.       damage the programs or disks they infect.  This is not an
  2660.       intentional act of the virus, but simply a result of the fact that
  2661.       many viruses contain extremely poor quality code.  One of the
  2662.       most common viruses, the STONED virus is not intentionally
  2663.       harmful. Unfortunately, the author did not anticipate the use of
  2664.       anything other than 360K floppy disks.  The virus will try to hide
  2665.       its own code in an area on 1.2mb diskettes, resulting in corruption
  2666.       of the entire diskette.
  2667.  
  2668.     Integrity Master (tm)           - 57 -        Data Integrity and Viruses
  2669.  
  2670.     Now that we've examined general virus behavior, let's take a closer
  2671.     look at the two major categories of viruses and how they operate.
  2672.  
  2673.  
  2674.     SYSTEM SECTOR VIRUSES
  2675.  
  2676.     These are viruses that plant themselves in your system sectors.
  2677.     System sectors are special areas on your disk containing programs
  2678.     that are executed when you boot your PC.  Sectors are not files but
  2679.     simply small areas on your disk that your hardware reads in single
  2680.     chunks.  Under DOS, sectors are most commonly 512 bytes in length.
  2681.     These sectors are invisible to normal programs but are vital for
  2682.     correct operation of your PC.  They are a common target for viruses.
  2683.     There are two types of system sectors found on DOS PCs:
  2684.  
  2685.     DOS Boot Sectors
  2686.  
  2687.       The very first sector on disk or diskette that DOS is aware of is the
  2688.       boot  sector.  From a DOS perspective, this is the first sector on
  2689.       the disk.  This sector can contain an executable program whether
  2690.       the disk is bootable or not.  Since this program is executed every
  2691.       time you power on or boot your PC, it is very vulnerable to virus
  2692.       attack.  Damage to this sector can make your disk appear to be
  2693.       unreadable.  This sector is rewritten whenever you do a "SYS" or
  2694.       a "FORMAT /S" to a disk.
  2695.  
  2696.       Warning: Even a non-bootable floppy can contain a virus in  the
  2697.       boot sector.  If you leave the floppy in your PC when you power
  2698.       on or boot, you will be infected even though the PC won't
  2699.       successfully boot from that floppy.
  2700.  
  2701.     Partition Sectors
  2702.  
  2703.       On hard (fixed) disk drives, the very first sector is the partition
  2704.       sector (also known as the master boot record or partition table).
  2705.       Each physical hard disk drive has one of these sectors.  A single
  2706.       physical disk can be partitioned into one or more logical disks.  For
  2707.       example, you may have a physical drive partitioned into C: and D:
  2708.       logical disks so that your single physical disk appears (to DOS) to
  2709.       be two logical disks.  The  single partition sector contains the
  2710.       information that describes both logical disks. If the partition sector
  2711.       is damaged, then DOS may not even recognize that your disk
  2712.       exists.
  2713.  
  2714.       The partition sector also contains a program that is executed every
  2715.       time you power up or boot your PC.  This program executes and
  2716.       reads the DOS boot sector that also contains a program.  Many
  2717.       viruses plant their code in the partition sector.
  2718.  
  2719.     Integrity Master (tm)           - 58 -        Data Integrity and Viruses
  2720.  
  2721.     System sector viruses modify the program in either the DOS boot
  2722.     sector or the partition sector.  Since there isn't much room in the
  2723.     system sector (only 512 bytes), these viruses usually have to hide
  2724.     their code somewhere else on the disk.  These viruses sometimes
  2725.     cause problems when this spot already contains data that is then
  2726.     overwritten.  Some viruses, such as the Pakistani BRAIN virus, mark
  2727.  
  2728.  
  2729.  
  2730.  
  2731.  
  2732.  
  2733.     the spot where they hide their code as bad clusters.  This is one
  2734.     reason to be alarmed if CHKDSK suddenly reports additional bad
  2735.     sectors on your disk.  These viruses usually go resident in memory on
  2736.     your PC, and infect any floppy disk that you access.  Simply doing a
  2737.     DIR on a floppy disk may cause it to be infected.  Some viruses will
  2738.     infect your diskette immediately when you close the drive door.
  2739.     Since they are active in memory (resident), they can hide their
  2740.     presence.  If BRAIN is active on your PC, and you use a sector editor
  2741.     such as Norton's NU to look at the boot sector of an infected diskette,
  2742.     the virus will intercept the attempt to read the infected boot sector and
  2743.     return instead a saved image of the original boot sector.  You will see
  2744.     the normal boot sector instead of the infected version.  Viruses that
  2745.     do this are known as stealth viruses.
  2746.  
  2747.     In addition to infecting diskettes, some system sector viruses spread
  2748.     by also infecting files.  Viruses of this type are called "multipartite"
  2749.     (multiple part) viruses.  Since they can infect both files and sectors
  2750.     have more avenues to spread and are more difficult to remove.
  2751.  
  2752.  
  2753.     File Viruses
  2754.  
  2755.     In terms of sheer number of viruses, these are the most common kind.
  2756.     The simplest file viruses work by locating a type of file that they know
  2757.     how to infect (usually a file name ending in ".COM" or ".EXE") and
  2758.     overwriting part of the program they are infecting. When this program is
  2759.     executed, the virus code executes and infects more files.  These
  2760.     overwriting viruses do not tend to be very successful since the
  2761.     overwritten program rarely continues to function correctly and the virus
  2762.     is almost immediately discovered.  The more sophisticated file viruses
  2763.     save (rather than overwrite) the original instructions when they insert
  2764.     their code into the program.  This allows them to execute the original
  2765.     program after the virus finishes so that everything appears normal.
  2766.     Just as system sector viruses can remain resident in memory and use
  2767.     "stealth" techniques to hide their presence, file viruses can hide this
  2768.     way also.  If you do a directory listing, you will not see any increase
  2769.     in the length of the file and if you attempt to read the file, the virus
  2770.     will intercept the request and return your original uninfected program
  2771.     to you.  This can sometimes be used to your advantage.  If you have a
  2772.     "stealth" virus (such as 4096 or Dir-2), you can copy your program files
  2773.     (*.EXE and *.COM files) to files with other extensions and allow the
  2774.     virus to automatically disinfect your files!  If you "COPY *.COM
  2775.     *.CON", and then cold boot your PC from a known good copy of DOS and
  2776.     "REN *.CON *.COM", this will disinfect the renamed files.
  2777.  
  2778.     Integrity Master (tm)           - 59 -        Data Integrity and Viruses
  2779.  
  2780.     Some file viruses (such as 4096) also infect overlay files as well as
  2781.     the more usual *.COM and *.EXE files.  Overlay files have various
  2782.     extensions, but ".OVR" and ".OVL" are common examples.
  2783.  
  2784.     MIRACLE INFECTIONS
  2785.  
  2786.     Would you believe that a virus can infect your files without changing a
  2787.     single byte in the file?  Well, it's true!  There are two types of
  2788.     viruses that can do this.  The more common kind is called the companion
  2789.     or spawning type virus.  This virus infects your files by locating a
  2790.     file name ending in ".EXE".  The virus then creates a matching file name
  2791.     ending in ".COM" that contains the viral code. Here's what happens;
  2792.     let's say a companion virus is executing (resident) on your PC and
  2793.     decides it's time to infect a file.  It looks around and happens to find
  2794.     a file called "WP.EXE".  It now creates a file called "WP.COM"
  2795.     containing the virus.   The virus usually plants this file in the
  2796.     current directory although it could place it in any directory on your
  2797.     DOS path.  If you type "WP" and hit enter, DOS will execute "WP.COM"
  2798.     instead of "WP.EXE".  The virus executes, possibly infecting more files
  2799.     and then loads and executes "WP.EXE". The user probably won't notice
  2800.     anything wrong.  This type of virus is fortunately easy to detect by the
  2801.     presence of the extra ".COM" files. There are some instances where it is
  2802.     normal to have both ".COM" and ".EXE" files of the same name (such as
  2803.     DOS 5's DOSSHELL) but this is relatively rare.
  2804.  
  2805.     There is a new type of virus known as a "cluster" virus that infects
  2806.     your files not by changing the file or planting extra files but by
  2807.     changing the DOS directory information so that directory entries point
  2808.     to the virus code instead of the actual program.  When you type the name
  2809.     of the program, DOS loads and executes the virus code, the virus then
  2810.     locates the actual program and executes it.  Dir-2 is an example of this
  2811.     type of virus and is now spreading rapidly around the world.  I am
  2812.     deliberately keeping the description of this type of virus rather vague
  2813.     to avoid making it easier to write this type of virus.
  2814.  
  2815.  
  2816.     POLYMORPHIC VIRUSES
  2817.  
  2818.     To confound virus scanning programs, virus writers created polymorphic
  2819.     viruses.  These viruses are more difficult to detect by scanning because
  2820.     each copy of the virus looks different that the other copies.  One virus
  2821.     author even created a tool kit for other virus writers to use called the
  2822.     "Dark Avenger's Mutation Engine" (also known as MTE or DAME).  This
  2823.     allows someone who has a normal virus to use the mutation engine with
  2824.     their virus code.  If they use the mutation engine, each file infected
  2825.     by their virus will have what appears to be totally different virus code
  2826.     attached to it.  Fortunately, the code isn't totally different and now
  2827.     anyone foolish enough to use the muta- tion engine with their virus will
  2828.     be creating a virus that will be immediately detected by most of the
  2829.     existing scanners.  The existing viruses (such as Pogue, Dedicated,
  2830.     CoffeeShop, CryptLab, and Groove) which use the mutation engine pose
  2831.     little threat since they are all simple minded and rather buggy.
  2832.  
  2833.     Integrity Master (tm)           - 60 -        Data Integrity and Viruses
  2834.  
  2835.     VIRUS TOOL KITS
  2836.  
  2837.     Besides the mutation engine, there are now several tool kits available
  2838.     to help people create viruses.  Several of these programs allow someone
  2839.     who has no knowledge of viruses to create their own "brand new" virus.
  2840.     One of these tool kits known as the Virus Creation Laboratory (VCL) has
  2841.     a very slick user interface with pull down menus and on-line help.  You
  2842.     just pick your choices from the various menus and in a flash you've
  2843.     created your very own virus.  While this sounds like a pretty ominous
  2844.     development for scanning technology, it's not as bad as it sounds.  All
  2845.     the existing tool kits (such as VCS, VCL and MPC) create viruses that
  2846.     can be detected easily with existing scanner technology.  The danger
  2847.     with these tool kits lies in the fact that it's possible to create such
  2848.     a tool kit that could create viruses that really are unique.
  2849.     Fortunately, this hasn't been done yet, but it's only a matter of time
  2850.     before this tool kit will be created.  This will make scanning-based
  2851.     products useless; the only reliable way to detect these viruses will be
  2852.     with an integrity check product.
  2853.  
  2854.  
  2855.     HOW MANY PC VIRUSES ARE THERE?
  2856.  
  2857.     There are more PC viruses than all other types of viruses combined (by a
  2858.     large margin).  Estimates of exactly how many there are vary widely and
  2859.     the number is constantly growing.  In 1990, estimates ranged from 200 to
  2860.     500; then in 1991 estimates ranged from 600 to 1300 different viruses.
  2861.     In late 1992, estimates are ranging from 1000 to 2300 viruses.  This
  2862.     confusion exists partly because it's difficult to agree on how to count
  2863.     viruses.  New viruses frequently arise from some idiot taking an
  2864.     existing virus that does something like put a message out on your screen
  2865.     saying: "Your PC is now stoned" and changing it to say something like
  2866.     "Donald Duck is a lie".  Is this a new virus?  Most "experts" say "yes."
  2867.     This is a trivial change that can be done in less than two minutes
  2868.     resulting in yet another "new" virus.  Another problem comes from
  2869.     viruses that try to conceal themselves from scanners by mutating.  In
  2870.     other words, every time the virus infects another file, it will try to
  2871.     use a different version of itself. These viruses are known as
  2872.     "polymorphic" viruses.  One example, the WHALE (a huge clumsy 10,000
  2873.     byte virus) creates 33 different versions of itself when it infects
  2874.     files.  At least one person counts this as 33 different viruses on their
  2875.     list.  Many of the large number of viruses known to exist have not been
  2876.     detected in the wild but probably exist only in someone's virus
  2877.     collection. Several authors of anti-virus products, including Mark
  2878.     Washburn and Ralph Burger, have written sophisticated viruses that are
  2879.     now on the loose, but other viruses that they created apparently exist
  2880.     only in virus collections.
  2881.     Integrity Master (tm)           - 61 -        Data Integrity and Viruses
  2882.  
  2883.     David M. Chess of IBM's High Integrity Computing Laboratory reports in
  2884.     the November 1991 Virus Bulletin that "about 30 different viruses and
  2885.     variants account for nearly all of the actual infections that we see in
  2886.     day-to-day operation."  We now find that about 38 different viruses
  2887.     account for all the viruses that actually spread in the wild. How can
  2888.     there be only 38 viruses active when some "experts" report such high
  2889.     numbers?  This is probably because most viruses are poorly written and
  2890.     cannot spread at all or cannot spread without betraying their presence.
  2891.     Although the actual number of viruses will probably continue to be hotly
  2892.     debated, what is clear is that the total number of viruses is increasing
  2893.     rapidly, although perhaps not quite as rapidly as the numbers might
  2894.     suggest.
  2895.  
  2896.  
  2897.     HOW SERIOUS ARE VIRUSES?
  2898.  
  2899.     It's important to keep viruses in perspective.  There are many other
  2900.     threats to your programs and data that are MUCH more likely to harm you
  2901.     than viruses.  A well known anti-virus researcher once said that you
  2902.     have more to fear from a cup of coffee (which may spill) than from
  2903.     viruses.  While the growth in number of viruses now puts this statement
  2904.     into question, it's still clear that there are many more occurrences of
  2905.     data corruption from other causes than from viruses. So, does this mean
  2906.     that viruses are nothing to worry about? Emphatically, no!  It just
  2907.     means that it's foolish to spend much money and time on addressing the
  2908.     threat of viruses if you've done nothing about the other more likely
  2909.     threats to your files.  Because viruses are deliberately written to
  2910.     invade and possibly damage your PC, they are the most difficult threat
  2911.     to guard against.  It's pretty easy to understand the threat that disk
  2912.     failure represents and what to do about it (although surprisingly few
  2913.     people even address this threat).  The threat of viruses is much more
  2914.     difficult to deal with.  There are no "cures" for the virus problem.
  2915.     Why is this so?  We'll explore this in the next chapter on Protecting
  2916.     Your PC.
  2917.  
  2918.     Integrity Master (tm)           - 62 -        Data Integrity and Viruses
  2919.  
  2920.  
  2921.      N O T E S :
  2922.      -----------
  2923.  
  2924.  
  2925.     Integrity Master (tm)           - 63 -        Data Integrity and Viruses
  2926.  
  2927.     CHAPTER TWO - PROTECTING YOUR PC
  2928.     ____________________________________________________________________
  2929.  
  2930.     HARDWARE PROTECTION
  2931.  
  2932.     Hardware is the foundation upon which your whole system is built. If you
  2933.     have more than one or two PC's, you probably owe it to yourself to buy
  2934.     some diagnostic programs.  If your PC is performing strangely or if a
  2935.     file is damaged, it's crucial to be able to determine whether hardware
  2936.     is the cause.  You probably don't want to call in a repair person each
  2937.     time something strange happens.  Even if you have just one or two PCs,
  2938.     there are some modestly priced diagnostic programs that are worth
  2939.     having.
  2940.  
  2941.     One problem with diagnostic software (and hardware too, for that matter)
  2942.     is that when you run the diagnostics, everything may work perfectly, yet
  2943.     some time earlier there definitely was a problem. Intermittent problems
  2944.     like this are all too common.  Disk problems can be the most insidious
  2945.     in this respect.  When you run the diagnostics everything works fine.
  2946.     How can you find out what's happening?  Run a comprehensive data
  2947.     integrity product (surprise)! This way you can find out if some data was
  2948.     damaged, but you don't have to spend days running diagnostics.  This
  2949.     also gives you early warning if your disk just starting to have
  2950.     problems.
  2951.  
  2952.     If you haven't already, consider buying whatever you can to prevent your
  2953.     hardware from failing in the first place.  Buy surge protectors, keep
  2954.     your PC clean, and regularly clean the heads on your tape and diskette
  2955.     drives.  Be sure to protect your PC and keyboard from spilled coffee and
  2956.     similar threats.
  2957.  
  2958.     Your hard disk is going to fail!  It's not "if" but "when"!  It's
  2959.     absolutely vital to be able to deal with this threat.  Basic to dealing
  2960.     with this threat and most of the others is having backups.  Please read
  2961.     the section in Chapter five on Backup Policy.  Your hard disk will most
  2962.     likely start performing erratically before it totally fails. It's
  2963.     essential to detect this as early as possible before much data gets
  2964.     damaged.  It will very likely NOT be obvious to you whether a hardware
  2965.     problem, software problem or a virus is damaging your files.  More on
  2966.     making this determination in the section in Chapter Five  titled
  2967.     Determining Causes of Corruption.
  2968.  
  2969.  
  2970.     "FIXING" YOUR DISK
  2971.  
  2972.     Damage to your files could be caused by hardware, software or who knows
  2973.     what.  When you are having the problem, your main concern is often not
  2974.     what caused it, but how to fix the damage.  This is where the disk
  2975.     utility programs offered by Gibson, Norton, Mace, and Central Point are
  2976.     often very handy.  They can sometimes take unreadable data and extract
  2977.  
  2978.     Integrity Master (tm)           - 64 -        Data Integrity and Viruses
  2979.  
  2980.     some of it, or if you have logical damage to your disk such as
  2981.     cross-linked clusters, these programs (and DOS CHKDSK) may be able to
  2982.     fix things for you.  Unfortunately, things are not always fixed
  2983.     perfectly when these programs say they are. Using a data integrity
  2984.     product (such as Integrity Master) will allow you to determine if
  2985.     everything really was put back together again. More importantly, a data
  2986.     integrity product can be used to more accurately diagnose what is wrong
  2987.     to begin with, so you don't attempt a repair which actually makes things
  2988.     worse.
  2989.  
  2990.     GOOF PROTECTION
  2991.  
  2992.     Who has never accidentally deleted or copied onto the wrong files? Very
  2993.     few of us!  If you have a data integrity product (such as Integrity
  2994.     Master), a  utility package (Norton, Mace, PCtools, etc.) and current
  2995.     backups, you're all set.  You could probably do without the utilities,
  2996.     but it's rather convenient to be able to unerase files after you
  2997.     inadvertently delete the wrong ones (this is built into DOS 5).  Of
  2998.     course, a backup program or an undelete utility won't help you if you
  2999.     didn't notice the incorrect delete when it happened and you now don't
  3000.     know what to restore or undelete.  That's why data integrity software is
  3001.     a vital component to handling this threat.
  3002.  
  3003.  
  3004.     INTRUSION PROTECTION
  3005.  
  3006.     This may not be an issue if you keep your PC is kept locked in a vault
  3007.     when you're not using it, but otherwise you can never be sure that an
  3008.     intruder hasn't changed something on your PC.  Do you think I am
  3009.     exaggerating?  I am not!  The intruder may be your spouse or offspring.
  3010.     They probably have no intention of changing anything but may be confused
  3011.     on how to use one of the programs on your PC, with the result that they
  3012.     inadvertently change the wrong file.  On the other hand, you may work in
  3013.     an environment where someone may want to deliberately do you harm or
  3014.     perhaps just "play a little joke" on you.
  3015.  
  3016.     There are programs available that modify the partition sector on your PC
  3017.     so that the hard disk is unavailable unless someone provides a password.
  3018.     There are add-in boards that provide the same function. Some PCs (e.g.,
  3019.     PS/2 PCs) come with a power-up password.  You can lock the case to your
  3020.     PC to make it more difficult to open.  You may wish to consider any of
  3021.     these options depending upon how much risk you face, but please realize
  3022.     that they can all be bypassed in less than ten minutes by a
  3023.     knowledgeable user.  Surveillance cameras are regarded as a fairly good
  3024.     deterrent to PC tampering.
  3025.  
  3026.     While you can't totally stop someone from breaking into your PC, you can
  3027.     detect and correct the damage.  By using an integrity program that
  3028.     allows you to encrypt the integrity data or store the data off-line (on
  3029.     floppies), you can detect any illegal tampering, even from a technically
  3030.     advanced adversary.
  3031.  
  3032.     Integrity Master (tm)           - 65 -        Data Integrity and Viruses
  3033.  
  3034.     VIRUS DEFENSES
  3035.  
  3036.     There are various methods in use to protect against viruses. What
  3037.     follows is a quick review of the viral defense mechanisms that are
  3038.     widely used today.
  3039.  
  3040.  
  3041.     SCANNERS
  3042.  
  3043.     Once a virus has been detected, it is possible to write programs that
  3044.     look for telltale code (signature strings) characteristic of the virus.
  3045.     The writers of the scanner then extract identifying strings from the
  3046.     virus.  The scanner uses these signature strings to search memory,
  3047.     files, and system sectors.  If the scanner finds a match, it announces
  3048.     
  3049.     that it has found a virus.  This obviously detects only known, pre-
  3050.     existing, viruses.  Many so-called "virus writers" create "new" viruses
  3051.     by modifying existing viruses. This takes only a few minutes but creates
  3052.     what appears to be a new virus. It happens all too often that these
  3053.     viruses are changed simply to fool the scanners.
  3054.  
  3055.     The major advantage of scanners is that they allow you to check programs
  3056.     before they are executed.  Scanners provide the easiest way to check for
  3057.     new software for old (known) viruses.  Since they have been aggressively
  3058.     marketed and since they provide what appears to be a simple painless
  3059.     solution to viruses, scanners are the most widely used anti-virus
  3060.     technique.
  3061.  
  3062.     Too many people seem to regard "anti-virus product" and "scanner" as
  3063.     synonymous terms.  The peril here is that if too many people depend
  3064.     solely upon scanners, newly created viruses will spread totally
  3065.     unhindered causing considerable damage before the scanners catch up with
  3066.     the viruses.  An example of this was the attack by the Maltese Amoeba
  3067.     (Irish) virus in the UK.  This virus was not detected prior to its
  3068.     destructive activation on November 1, 1991.  Prior to its attack, it
  3069.     had managed to spread quite widely and none of the existing (mostly
  3070.     scanner-based) products detected this virus. According to the December
  3071.     1991 Virus Bulletin:
  3072.  
  3073.     "Prior to November 2nd, 1991, no commercial or shareware scanner (of
  3074.     which VB has copies) detected the Maltese Amoeba virus.  Tests showed
  3075.     that not ONE of the major commercial scanners in use (the latest
  3076.     releases of Scan, Norton Anti-virus, Vi-Spy, VISCAN, Findvirus, Sweep,
  3077.     Central Point Anti-virus, et al.) detected this virus."
  3078.  
  3079.     This indicates the hazard of depending upon scanner technology or active
  3080.     monitor technology for virus protection.
  3081.  
  3082.     Integrity Master (tm)           - 66 -        Data Integrity and Viruses
  3083.  
  3084.     Another major drawback to scanners is that it's dangerous to depend upon
  3085.     an old scanner.  With the dramatic increase in the number of viruses
  3086.     appearing, it's risky to depend upon anything other than the most
  3087.     current scanner.  Even that scanner is necessarily a step behind the
  3088.     latest crop of viruses since there's a lot that has to happen before the
  3089.     scanner is ready:
  3090.  
  3091.    o The virus has to be detected somehow to begin with.  Since the existing
  3092.      scanners won't detect the new virus, it will have some time to spread
  3093.      before someone detects it by other means.
  3094.  
  3095.    o The newly discovered virus must be sent to the programmers to analyze
  3096.      and extract a suitable signature string.  This string must be tested
  3097.      for false positives on legitimate programs.
  3098.  
  3099.    o This string must be incorporated into the next release of the virus
  3100.      scanner.
  3101.  
  3102.    o The virus scanner must be distributed to the customer.
  3103.  
  3104.    o In the case of retail software, the software must be sent to be
  3105.      packaged, to the distributors, and then on to the retail outlets.
  3106.      Commercial retail software takes so long to get to the shelves, that it
  3107.      is almost certainly out of date.  Yet, many retail products depend upon
  3108.      their scanner for most of their effectiveness.
  3109.  
  3110.  
  3111.     If you depend upon a scanner, be sure to get the latest version directly
  3112.     from the author.  Also, be sure that you boot from a clean
  3113.     write-protected copy of DOS before running the scanner; there's a good
  3114.     chance that the scanner can detect a resident virus in memory, but if it
  3115.     misses the virus in memory, the scanner will wind up spreading the virus
  3116.     rather than detecting it.  Every susceptible program on your disk could
  3117.     be infected in a matter of minutes this way!
  3118.  
  3119.  
  3120.     DISINFECTORS
  3121.  
  3122.     Most vendors that sell scanners also sell a disinfector (sometimes it's
  3123.     the same program).  A disinfector has the same limitations that a
  3124.     scanner has, in that it must be current to be safe to use and it's
  3125.     always one step behind the latest crop of viruses.  The disinfector,
  3126.     however, has an even bigger disadvantage:  Many viruses simply cannot be
  3127.     removed without damaging the infected file.  There have also been
  3128.     numerous reports that files are still damaged even when the program
  3129.     claims to have disinfected the file.  A disinfector like a scanner can
  3130.     be a very handy tool in your anti-virus arsenal, but it must be used
  3131.     with care.  If you use a disinfector, be sure you have the latest
  3132.     version direct from the author and use an integrity check to verify that
  3133.     all files and system sectors are correctly restored.
  3134.  
  3135.     Integrity Master (tm)           - 67 -        Data Integrity and Viruses
  3136.  
  3137.     Currently, one of the oldest and most common infectors of files is the
  3138.     Jerusalem (1813) virus.  All disinfectors naturally claim to be able to
  3139.     remove this virus.  Yet the Jerusalem virus frequently overwrites part
  3140.     of the original file (due mostly to its many bugs) making it impossible
  3141.     to restore the infected program.  In spite of this, most (if not all)
  3142.     disinfectors claim to disinfect Jerusalem infected files.  A very
  3143.     dangerous situation!  I'd like to stress that:
  3144.  
  3145.           IT IS TOTALLY UNSAFE AND IRRESPONSIBLE TO DEPEND UPON
  3146.           DISINFECTORS AS A WAY TO RECOVER FROM VIRUS INFECTIONS.
  3147.  
  3148.  
  3149.     INTERCEPTORS
  3150.  
  3151.     Interceptors (also known as resident monitors) are particularly useful
  3152.     for deflecting logic bombs and trojans.  The interceptor monitors
  3153.     operating system requests that write to disk or do other things that the
  3154.     program considers threatening (such as installing itself as a resident
  3155.     program).  If it finds such a request, the interceptor generally pops up
  3156.     and asks you if you want to allow the request to continue.  There is,
  3157.     however, no reliable way to intercept direct branches into low level
  3158.     code or to intercept direct input and output instructions done by the
  3159.     virus itself.  Some viruses even manage to disable the monitoring
  3160.     program itself.   It is important to realize that monitoring is a risky
  3161.     technique.  Some products that use this technique are so annoying to use
  3162.     (due to their frequent messages popping up) that some users consider the
  3163.     cure worse than the disease!  An interception (monitoring) product would
  3164.     be a useful adjunct to a data integrity program, as protection against
  3165.     some the more simple minded logic bombs.
  3166.  
  3167.  
  3168.     INOCULATORS
  3169.  
  3170.     There are two types of inoculators or so-called "immunizers." One
  3171.     modifies files or system sectors in an attempt to fool viruses into
  3172.     thinking that you are already infected.  The inoculator does this by
  3173.     making the same changes that the viruses use to identify the file or
  3174.     sector as infected.  Presumably, the virus will not infect anything
  3175.     because it thinks  everything is already infected.  This works only for
  3176.     a very small number of viruses.
  3177.  
  3178.     The second technique is actually an attempt to make your programs
  3179.     self-checking by attaching a small section of check code onto your
  3180.     programs.  When your program executes, the check code first computes the
  3181.     check data and compares it with the stored data.  It will warn you if it
  3182.     finds any changes to the program. Not only can this be circumvented by
  3183.     existing stealth viruses, but the self-checking code and check data can
  3184.     be modified or disabled as well.   Another problem arises because some
  3185.     programs refuse to run if they have been modified in this way.  This
  3186.     also creates alarms from other anti- virus programs since the attached
  3187.     self-check code changes the original program in the same way a virus
  3188.     would. Some products use this technique to substantiate their claim to
  3189.     detect unknown viruses.
  3190.  
  3191.     Integrity Master (tm)           - 68 -        Data Integrity and Viruses
  3192.  
  3193.     ROM and Encryption
  3194.  
  3195.     Placing executable code on a hardware write-protected device, will
  3196.     protect all those programs on that device.  Some PCs provide DOS in ROM
  3197.     (Read Only Memory). This provides some degree of protection, but all the
  3198.     other programs are still vulnerable to infection. The more programs you
  3199.     can isolate on a write-protected device, the more effective this
  3200.     technology is.
  3201.  
  3202.     Encryption is a promising technique that so far has not been
  3203.     successfully used to protect a system.  Encrypting as many of your files
  3204.     as possible makes life harder for viruses, but does not stop them since
  3205.     there is always some unencrypted code around (boot sector, BIOS, DOS,
  3206.     device drivers, etc).
  3207.  
  3208.  
  3209.     INTEGRITY CHECKERS
  3210.  
  3211.     Integrity check based products work by reading your entire disk and
  3212.     recording integrity data that acts as a signature for the files and
  3213.     system sectors.  An integrity check program is the only solution that
  3214.     can handle all the threats to your data along with viruses.  Integrity
  3215.     checkers also provide the only reliable way to discover what damage a
  3216.     virus has done.  A well-written integrity checker should be able to
  3217.     detect any virus, not just known viruses.
  3218.    
  3219.     So, why isn't everyone using an integrity checker?  Well, until
  3220.     recently, there hasn't been an integrity checker available without some
  3221.     significant drawbacks.  In fact, many anti-virus products now
  3222.     incorporate integrity checking techniques.  One problem with many
  3223.     products is that they don't use these techniques in a comprehensive way.
  3224.     There are still too many things not being checked. Some older integrity
  3225.     checkers were simply too slow or hard to use to be truly effective. A
  3226.     disadvantage of a bare-bones integrity checker is that it can't
  3227.     differentiate file corruption caused by a bug from corruption caused by
  3228.     a virus.  Only recently have advanced integrity checkers (e.g.,
  3229.     Integrity Master) become available that incorporate the smarts to
  3230.     analyze the nature of the changes and recognize changes caused by a
  3231.     virus.  Some integrity checkers now use other anti-virus techniques
  3232.     along with integrity checking to improve their intelligence and ease of
  3233.     use.
  3234.  
  3235.     Integrity Master (tm)           - 69 -        Data Integrity and Viruses
  3236.  
  3237.     If you choose an integrity checker, be sure it has all these
  3238.     features:
  3239.  
  3240.     o It's easy to use with clear, unambiguous reports and built-in help.
  3241.  
  3242.     o It hides complexity, so that complicated details of system file or
  3243.       system sector changes are only presented if they present
  3244.       information the user must act upon.
  3245.  
  3246.     o The product recognizes the various files on the PC so it can alert
  3247.       the user with special warnings if vital files have changed.
  3248.  
  3249.     o It's fast.  An integrity checker is of no use if it's too slow to run.
  3250.  
  3251.     o It recognizes known viruses, so the user doesn't have to do all the
  3252.       work to determine if a change is due to a software conflict, or if it's
  3253.       due to a virus.
  3254.  
  3255.     o It's important that the integrity computation be more sophisticated
  3256.       than a mere checksum.  Two sectors may get reversed in a file or
  3257.       other damage may occur that otherwise rearranges data in a file.  A
  3258.       checksum will not detect these changes.
  3259.  
  3260.     o It's comprehensive.  Some integrity checkers, in order to improve
  3261.       their speed, don't read each file in its entirety.  They read only
  3262.       portions of larger files.  They just spot check.  This is unacceptable
  3263.       -- it's important to know the file hasn't changed, not just that some
  3264.       of the file hasn't changed.
  3265.  
  3266.     o It checks and restores both boot and partition sectors.  Some
  3267.       programs check only files.
  3268.  
  3269.     (Fortunately, Integrity Master does all these things.)
  3270.  
  3271.     Integrity Master (tm)           - 70 -        Data Integrity and Viruses
  3272.  
  3273.     GADGETS
  3274.  
  3275.     There are currently some gadgets (hardware devices) that are sold as
  3276.     virus protection.   So far, I haven't seen anything that provides
  3277.     protection beyond what is offered by software-only products.  Beyond
  3278.     putting some of the anti-virus code in read only memory (ROM), I've seen
  3279.     little that can be accomplished by existing hardware.  In one product,
  3280.     the hardware was used to store some integrity data; a floppy disk can do
  3281.     the same thing and it's actually more secure.
  3282.  
  3283.  
  3284.     PREVENTION:
  3285.  
  3286.     Hardware techniques, such as placing all your programs in read only
  3287.     memory (ROM), can, in theory, provide virus prevention, but nothing even
  3288.     comes close to doing this yet.  Pure software techniques can probably
  3289.     not prevent all viruses.  There are all sorts of schemes that make it
  3290.     more difficult for a virus to penetrate your system, but none totally
  3291.     eliminate the threat of a virus.  For each software-based technique,
  3292.     there is a way a virus could circumvent it.  Software helps a lot, but
  3293.     isn't absolute protection.  While prevention of viruses may not be
  3294.     possible, detection is.  Detection, if applied carefully, can detect all
  3295.     viruses, no matter how tricky.  If viruses are detected before they
  3296.     spread, the most serious aspect of the virus threat is eliminated.  If
  3297.     integrity checking (detection) is practiced widely, the threat of a
  3298.     virus spreading to millions of PCs and then years later doing a
  3299.     destructive act can be eliminated.
  3300.  
  3301.     Integrity Master (tm)           - 71 -        Data Integrity and Viruses
  3302.  
  3303.     CHAPTER THREE - VIRUS MYTHS
  3304.     ____________________________________________________________________
  3305.  
  3306.  
  3307.     MYTHICAL SOURCES
  3308.  
  3309.     Attachment to a network or BBS
  3310.       Simply being attached to a network (such as CompuServe, or
  3311.       Internet), a bulletin board system (BBS), or even a local area
  3312.       network (LAN) will not make you susceptible to viruses.  The only
  3313.       way you can get a virus is to execute a program on your PC that
  3314.       you obtained over the network.  The mere act of downloading the
  3315.       program is harmless; it's only by downloading and then executing
  3316.       an infected program that your PC can become infected.  I hope it's
  3317.       clear that the mere act of reading electronic mail cannot infect your
  3318.       PC.
  3319.  
  3320.       There is one thing that can happen though.  If you have the device
  3321.       driver ANSI.SYS (or an equivalent) loaded (in your CONFIG.SYS
  3322.       file), someone could send a sequence of characters to your screen
  3323.       (ANSI sequence) that assigns a set of key strokes to a key on your
  3324.       keyboard. These keystrokes could easily be something harmful like
  3325.       "DEL *.*".  When you hit the key that was reassigned, the
  3326.       command would execute just as if you had typed it yourself. This
  3327.       "practical joke" could cause some trouble, but it certainly can't
  3328.       reproduce and isn't a virus.
  3329.  
  3330.     From Data
  3331.       Since data is not executed, you cannot become infected from data.
  3332.       If someone sent you a data file that contained a virus, you would
  3333.       have to rename the file and then execute it to become infected!
  3334.       You can, however, become infected from a diskette that is not
  3335.       bootable and contains no (apparent) programs.  The explanation for
  3336.       this is that all diskettes have a boot sector that contains a program
  3337.       that can become infected by a boot sector virus.  If you leave such
  3338.       an infected diskette in your drive when you power up or boot, your
  3339.       PC will be infected!
  3340.  
  3341.     From CMOS Memory
  3342.       PC AT (80286 and 80386 based) type computers and later models
  3343.       contain a small amount of battery backed CMOS memory to store
  3344.       the configuration and to maintain the time and date.  This memory
  3345.       is never executed, so although it could be damaged by a virus, you
  3346.       can never become infected from CMOS memory.
  3347.  
  3348.     Integrity Master (tm)           - 72 -        Data Integrity and Viruses
  3349.  
  3350.     QUICK AND EASY CURES
  3351.  
  3352.     I've discussed the various approaches to the virus problem, and
  3353.     you've no doubt seen that there are no instant cures for viruses, yet
  3354.     many products make claims that they can't quite support.  Everyone
  3355.     would like to just buy product X, run it, and be rid of viruses forever.
  3356.     Unfortunately there is no such easy cure.
  3357.  
  3358.  
  3359.     SILLY TRICKS
  3360.  
  3361.     There have been many articles and books written by various virus
  3362.     "experts" that propose doing all kinds of things to virus proof your PC.
  3363.     Here are some of the tricks that I consider most widespread and most
  3364.     useless:
  3365.  
  3366.     Write-protecting Your Files
  3367.  
  3368.       You can use the DOS ATTRIB command to set the read only bit on files.
  3369.       This is so easy for a virus (or any program) to bypass, that it simply
  3370.       causes far more problems than it cures.
  3371.  
  3372.     Hiding or renaming COMMAND.COM
  3373.  
  3374.       COMMAND.COM is a program that executes each time you boot your PC.
  3375.       There was an early virus that only infected COMMAND.COM, so the idea
  3376.       of hiding or renaming this file began.  Today, many viruses actually
  3377.       go out of their way to avoid infecting this file, since some
  3378.       anti-virus products single out this file and a few others for special
  3379.       scrutiny. With today's viruses, hiding COMMAND.COM is utterly futile.
  3380.  
  3381.     Checking Time and Date Stamps
  3382.  
  3383.       While it's helpful to check the time and date stamps of your
  3384.       executable files for unexpected changes, this is not a reliable way to
  3385.       catch viruses.  Many viruses are smart enough not to change the time
  3386.       and date stamps when they infect a file.  Some viruses even hide the
  3387.       change to a file's size when they infect a file.
  3388.  
  3389.  
  3390.     CERTIFIED SOFTWARE?
  3391.  
  3392.     It's the policy in some companies to have a certification desk where all
  3393.     software executed on PCs must be checked out.  The person at the
  3394.     certification desk usually runs the software through an anti-virus
  3395.     product to check for known viruses and then sets the date ahead on the
  3396.     PC and checks for anything strange.  If all looks OK, the software is
  3397.     certified clean.  This is actually a reasonable idea.  The danger comes
  3398.     from the "certified clean" label.  As we've seen in our discussion of
  3399.     virus triggers, simply setting the date ahead is not a reliable way to
  3400.     set off most virus triggers.  The hazard comes from people taking the
  3401.     "Certified clean" label too seriously.  It's just not
  3402.  
  3403.     Integrity Master (tm)           - 73 -        Data Integrity and Viruses
  3404.  
  3405.     possible to know for sure that any piece of software doesn't contain a
  3406.     virus.  An unknown virus could be lurking that simply hasn't triggered
  3407.     yet.  If the virus screening desk should get such a virus, they could
  3408.     easily spread the virus to all other disks that they are certifying
  3409.     clean!
  3410.  
  3411.  
  3412.     RETAIL SOFTWARE ONLY?
  3413.  
  3414.     Several "virus experts" have suggested that users avoid downloading
  3415.     software and avoid shareware.  There are no facts to support this
  3416.     viewpoint.  The most common viruses are boot sector viruses such as
  3417.     Stoned and Michelangelo that spread when someone boots from an infected
  3418.     disk. To spread these viruses, a physical disk must be passed around and
  3419.     then booted.  Michelangelo spread widely because software distribution
  3420.     disks were infected with this virus.  There was no reported incident of
  3421.     this virus spreading via shareware.  It is, of course, wise to make sure
  3422.     that you download your software from a source that screens each program
  3423.     for known viruses.  You are actually more likely to be infected from
  3424.     software purchased at a retail outlet than from shareware.  Quite a few
  3425.     viruses have been shipped directly from the software manufacturer in the
  3426.     shrink wrapped packages.  One major software company has on at least two
  3427.     separate occasions shipped a virus with their product.  Buying shrink
  3428.     wrapped retail software is much more dangerous than many people think it
  3429.     is, since many retailers accept returned software and then simply rewrap
  3430.     the software and sell it again.  This software could have easily been
  3431.     infected by the first user who tried it and then returned it.
  3432.  
  3433.  
  3434.     WRITE-PROTECTING YOUR HARD DISK
  3435.  
  3436.     There are several programs that claim to write-protect your hard disk.
  3437.     Since this is done in software, it can be bypassed by a virus.  This
  3438.     technique, however, will stop a few viruses and will protect your disk
  3439.     from someone inadvertently writing to it. These programs are generally
  3440.     less effective than the virus interception products.
  3441.  
  3442.     It IS possible to write-protect a disk using hardware, but this does not
  3443.     seem to be readily available.
  3444.  
  3445.  
  3446.     VIRUSES ARE THE BIG THREAT?
  3447.  
  3448.     As we've seen in examining the other threats to the integrity of your
  3449.     data, viruses are among the less likely threats that you face.  Don't
  3450.     protect yourself against viruses and ignore the other threats!
  3451.  
  3452.     Integrity Master (tm)           - 74 -        Data Integrity and Viruses
  3453.  
  3454.     SAFE COMPUTING (SAFE HEX?)
  3455.  
  3456.     You may have heard this rumor: "You don't need an anti-virus product,
  3457.     just backup your disk regularly and keep an eye on your programs."
  3458.     Yes, it is vital to have good backups, but that is no longer enough.
  3459.     You may also have heard that provided you don't share programs or
  3460.     download (practice "safe hex"), you have nothing to worry about.  This
  3461.     is no longer sufficient protection; every time you buy a software
  3462.     package you are exposing yourself to virus infection.  It is not
  3463.     possible to be safe from viruses by secluding your PC!
  3464.  
  3465.     There are now some very sophisticated viruses that can do considerable
  3466.     damage.  The worst ones damage your files slowly so even your backups
  3467.     may be useless unless you detect the damage before it's too late.
  3468.     Although viruses may not be very likely to attack your system when
  3469.     compared to other threats, they do represent a very real and very
  3470.     dangerous threat -- a threat you cannot ignore or combat merely with
  3471.     good backups, seclusion or common sense.
  3472.  
  3473.  
  3474.     SOFTWARE IS USELESS AGAINST VIRUSES
  3475.  
  3476.     Maybe we should just surrender to viruses and wait for a fool-proof
  3477.     hardware solution?   Viruses can defeat any software defense -- right?
  3478.     Wrong!  The viruses are playing on your turf, so you have an advantage.
  3479.     By cold booting from a good copy of DOS on diskette, you can bring up a
  3480.     clean operating system (DOS) and then use an integrity checker to look
  3481.     for any unexpected changes.  A virus will betray itself in the system
  3482.     sectors or executable files.
  3483.  
  3484.        Integrity Master (tm)           - 75 -        Data Integrity and Viruses
  3485.  
  3486.     CHAPTER FOUR - VIRUS REALITIES
  3487.     ____________________________________________________________________
  3488.  
  3489.  
  3490.     THE ONLY REAL SOURCE OF VIRUSES
  3491.  
  3492.     You can't get a virus merely by being connected to a network or
  3493.     bulletin board system (BBS).
  3494.  
  3495.     There is only one way you can get a virus and that's to execute a
  3496.     program containing a virus.  Period.  End of story.  Well, almost the
  3497.     end of the story.  What some people don't know is that every disk and
  3498.     diskette has a program on it, even if it appears empty.  This program is
  3499.     in the boot sector.  Most people don't think of boot sectors as programs
  3500.     or perhaps even know that boot sectors exist.  If you leave a data
  3501.     diskette in your A drive and boot your PC, you could be executing an
  3502.     infected program in the boot sector, thereby infecting your PC with a
  3503.     virus.  Make sure you NEVER boot from a diskette unless it's a known
  3504.     good copy of DOS.
  3505.  
  3506.  
  3507.     SHAREWARE IS AS SAFE OR SAFER
  3508.  
  3509.     There is no reason to avoid shareware.  If you want to get the latest
  3510.     anti-virus software, it's easiest to get it as shareware since you are
  3511.     buying directly from the author. Shareware does not have to go from the
  3512.     author to the publisher, then through the distribution chain before it
  3513.     even gets to sit on the shelf.  Who knows how long your retail package
  3514.     has been on that shelf?
  3515.  
  3516.  
  3517.     FEW VIRUS FREE PROGRAMS
  3518.  
  3519.     Unfortunately, there is no way to look at a program (unless you wrote
  3520.     the program yourself in assembly language) and positively declare
  3521.     there's no virus in it.  All you can say is that the program contains no
  3522.     known virus.  You never know what may be lurking inside of a program
  3523.     waiting for just the right trigger to begin infection or perhaps an
  3524.     attack.
  3525.  
  3526.     While you can't be sure of detecting a virus while it's inert inside a
  3527.     program, you definitely CAN detect it as it infects or attacks your
  3528.     files.  The changes which must be made by a virus can always be detected
  3529.     with the appropriate software.
  3530.  
  3531.     Integrity Master (tm)           - 76 -        Data Integrity and Viruses
  3532.  
  3533.     OTHER CAUSES MORE LIKELY
  3534.  
  3535.     Viruses are not the greatest threat to your data, so let's not forget
  3536.     about the other threats too.
  3537.  
  3538.    
  3539.     WRITE-PROTECTING FLOPPIES
  3540.  
  3541.     While write-protecting your files and your hard disk is of questionable
  3542.     value, you definitely CAN write-protect your floppy disks.  Just cover
  3543.     the notch on the 5.25 inch diskettes, or on 3.5 inch diskettes, slide
  3544.     the little tab to expose the hole.  The only risk here is that some
  3545.     diskette drives may be defective and still allow writing on the
  3546.     diskette.  If in doubt, do a test and check out your drive.
  3547.  
  3548.  
  3549.     BEWARE THE CE AND THE DEMO!
  3550.  
  3551.     According to our reports, one of the major sources for infections is the
  3552.     customer engineer (CE) or repairman.  The CEs frequently carry
  3553.     diagnostic diskettes with them when they go from PC to PC on service
  3554.     calls.  It's all too easy for these diskettes to become infected. Sales
  3555.     people doing demos on various PCs are also very susceptible to getting
  3556.     their demo diskettes infected.
  3557.  
  3558.  
  3559.     VIRUSES ARE GOING TO GET WORSE
  3560.  
  3561.     Not only are we seeing the number of viruses grow at an alarming rate,
  3562.     but we are seeing more sophisticated and better written viruses. The
  3563.     rate of reported infections has increased rapidly.  One company (Certus
  3564.     International, a vendor of anti-virus software) was quoted in
  3565.     Information Week (a national trade journal) that based on their reports,
  3566.     one out of four PCs was infected every month!  While one PC in four may
  3567.     be a bit hard to believe, it's clear that viruses are no longer
  3568.     something one can dismiss as very unlikely.  Viruses are, in fact, a
  3569.     threat that we must address one way or the other.
  3570.  
  3571.     Integrity Master (tm)           - 77 -        Data Integrity and Viruses
  3572.   
  3573.     CHAPTER FIVE - WHAT TO DO?
  3574.     SOME SUGGESTIONS:
  3575.     ____________________________________________________________________
  3576.  
  3577.  
  3578.     ACTION IS VITAL - NOW!
  3579.  
  3580.     Too many people wait for a virus to attack their PC before they take any
  3581.     action.  Once a virus reveals its presence on your PC, it may be too
  3582.     late to recover damaged files.  There are many viruses that cannot be
  3583.     successfully removed due to the way the virus infects the program. It's
  3584.     absolutely vital to have protection before the virus strikes.
  3585.  
  3586.     It's vital that you protect against all threats to data integrity, not
  3587.     just viruses.  All threats to data integrity are much easier to deal
  3588.     with if they are detected as early as possible.  If you wait until you
  3589.     notice that your hard disk is losing data, you may already have hundreds
  3590.     of damaged files.
  3591.  
  3592.  
  3593.     BACKUP POLICY
  3594.  
  3595.     It's essential to carefully protect all your software and regularly
  3596.     backup the data on all your disks.  Do you have a single disk that you
  3597.     can afford NOT to regularly backup?  It's rare to find any PC that does
  3598.     not have some type of important data stored on it.
  3599.  
  3600.     SUGGESTED BACKUP POLICY:
  3601.  
  3602.     1) All original software (program) diskettes should immediately be
  3603.        write-protected, copied and stored in two secure, separate, locations
  3604.        after installation.  If you are using an integrity check program,
  3605.        immediately record (initialize) the integrity data for the new
  3606.        programs after installing.
  3607.  
  3608.     2) Determine a schedule for full backups by considering how frequently
  3609.        your data changes.  It is an excellent idea to have three full sets of
  3610.        backup tapes or diskettes and to store one set at another location to
  3611.        protect against fire, theft, or some other disaster.  If your data is
  3612.        critical, you may wish to have a separate cycle of backups (e.g.,
  3613.        quarterly or yearly) that can be used to recover when someone damages
  3614.        (or deletes) a vital file, but the deletion isn't discovered until
  3615.        months later.
  3616.  
  3617.     3) The full backups should be coordinated with periodic incremental
  3618.        backups.  The incremental backup, which copies just the files that
  3619.        have changed,  normally runs very quickly and takes just a minute or
  3620.        so.  Many people find that an incremental backup run at the end of
  3621.        each day works quite well.  This way their data is protected should
  3622.        anything happen overnight.
  3623.  
  3624.     Integrity Master (tm)           - 78 -        Data Integrity and Viruses
  3625.  
  3626.     4) Make sure you use reliable backup hardware and software.
  3627.        Periodically test by restoring from a backup.  Too many people
  3628.        have discovered that their backup program couldn't recover their
  3629.        files when it was too late.  If you use an integrity check program
  3630.        you can verify that the restored files are correct.
  3631.  
  3632.  
  3633.     INTEGRITY CHECKING POLICY
  3634.  
  3635.     Each PC which has data that you can't afford to lose or have corrupted
  3636.     should have a schedule of regular integrity checking, similar to the
  3637.     backup schedule.  By doing once a week full integrity checks, you can
  3638.     stay one step ahead of any trouble.  By doing a quick update of your
  3639.     integrity data on a daily basis, you can stay aware of exactly what
  3640.     changes on your PC and why.  This way if you start to encounter a
  3641.     software conflict, a failing hard disk, or a virus, you'll be able to
  3642.     quickly differentiate the unusual changes from the usual ones.
  3643.  
  3644.     Whenever you install new software, immediately record the integrity data
  3645.     for those programs, so that any future infection or damage can be
  3646.     detected.
  3647.  
  3648.     Whenever you copy programs, check that the new programs are exact copies
  3649.     of the originals.  The easiest way to do this is to always copy
  3650.     integrity data along with the programs.  You can also use any integrity
  3651.     checker, checksum program, CRC program, cryptographic signature program,
  3652.     or even the DOS COMPARE utility to verify that you made good copies.  Do
  3653.     this check only when you know no virus is in control of your PC;
  3654.     therefore, it's best to cold boot from a write- protected floppy to
  3655.     verify your program copies are good.
  3656.  
  3657.     If you have diagnostic software, plan to run it at intervals. If you
  3658.     leave your PCs turned on at night, why not leave them running
  3659.     diagnostics?
  3660.  
  3661.  
  3662.     RUN CHKDSK
  3663.  
  3664.     Run CHKDSK (or some equivalent program) regularly on each PC, and pay
  3665.     attention to the results.  If you are seeing problems, be sure you
  3666.     understand what's causing the problems.  If you are experiencing
  3667.     cross-linked or lost clusters, something is being damaged.  Run an
  3668.     integrity checker to find out exactly what is being damaged.  Also pay
  3669.     attention to the amount of available memory.  If this suddenly changes
  3670.     with no new resident (TSR) software installed, you may have a virus.
  3671.  
  3672.  
  3673.     DETERMINING CAUSES OF CORRUPTION
  3674.  
  3675.     It's not a question of "if" but a question of "when"; all too soon you
  3676.     are going to encounter a damaged file (a file that has changed for
  3677.     unknown reasons).  How can you discover what caused the damage? o First
  3678.     gather as much information as possible.  Did you do anything unusual?
  3679.     Did you install any new software?  Did you execute any programs that you
  3680.     don't normally use?  Have you seen any signs of hardware problems? (See
  3681.     the section following on signs of hardware problems).
  3682.  
  3683.     Integrity Master (tm)           - 79 -        Data Integrity and Viruses
  3684.  
  3685.     o Run CHKDSK to see if your directories and other areas are OK.
  3686.  
  3687.     o Run a full integrity check to see if anything else has changed.
  3688.  
  3689.     o If you suspect hardware problems as the culprit, then run any
  3690.       diagnostic programs you have.  If the diagnostics don't turn anything
  3691.       up, but you still suspect a hardware problem, then run your integrity
  3692.       check in full check mode daily for a while.  This should help track
  3693.       down exactly what's happening on your PC.
  3694.  
  3695.     o If you suspect software problems, run the software in question and
  3696.       then run your integrity check to see if anything is being corrupted.
  3697.       When doing this, it's very helpful to duplicate the original situation
  3698.       of the problem as closely as possible. Make sure the hardware is the
  3699.       same and that you have exactly the same resident programs and device
  3700.       drivers loaded as when the problem first occurred.
  3701.  
  3702.     o Could the problem be a virus?  If you think so, have you seen any of
  3703.       the signs of virus activity listed in the next section?  Are only
  3704.       executable files (such as files ending in .EXE, .COM, .OVR, .OVL .BIN,
  3705.       or .SYS) affected?  If so, how many?  If more than one or two
  3706.       unrelated program files have mysteriously changed, it could likely be
  3707.       a virus.  Remember that some programs (such as Wordstar and SETVER)
  3708.       modify themselves as part of normal execution.  If the programs have
  3709.       changed but the DOS time and date stamps haven't, this is further
  3710.       reason to suspect either a serious problem or a virus.  If you are not
  3711.       using an advanced integrity checker  (such as Integrity Master) that
  3712.       recognizes known viruses, you may wish to get a virus scanner at this
  3713.       point to see if you have a known virus.  If this turns up nothing,
  3714.       then it's time to play detective - you may have discovered a brand new
  3715.       virus (lucky you!).  Please see the section in Chapter Six on Playing
  3716.       Detective.
  3717.  
  3718.  
  3719.     EDUCATION
  3720.  
  3721.     One very important thing that you can do to assure the integrity of the
  3722.     data on your PCs is to educate everyone who uses a PC.  It's vital that
  3723.     they understand how to backup their files and which files normally
  3724.     change on their PC and which ones don't.  If you can teach them to
  3725.     understand the output of a thorough integrity check program, then you'll
  3726.     be able to sleep at night knowing that all is well with your PCs!  Even
  3727.     lacking an integrity check program, it's vital that everyone be aware of
  3728.     what problem signs to look out for. This way the more dangerous threats
  3729.     to data integrity will not go unnoticed.
  3730.     Integrity Master (tm)           - 80 -        Data Integrity and Viruses
  3731.  
  3732.     SIGNS OF HARDWARE PROBLEMS
  3733.  
  3734.     Watch out for recurring error messages that the disk is not ready when
  3735.     you try to boot the PC.  If you periodically experience any type of
  3736.     disk-error message, or if disk accesses seem to be getting consistently
  3737.     slower, you may be experiencing the beginning of a serious disk problem.
  3738.  
  3739.  
  3740.     SIGNS OF SOFTWARE PROBLEMS
  3741.  
  3742.     These symptoms could reveal software conflicts or bugs:
  3743.  
  3744.     o CHKDSK reporting problems.
  3745.  
  3746.     o A file that was just processed by a program (such as a spread sheet)
  3747.       is damaged or unreadable by the program but you can copy the file
  3748.       with no error messages.
  3749.  
  3750.  
  3751.     SIGNS OF VIRUSES
  3752.  
  3753.     These symptoms may betray the existence of a virus:
  3754.  
  3755.     o Disk activity when there should not be any activity. (Some disk
  3756.       caches cause this to happen normally.)
  3757.  
  3758.     o Programs taking longer to load but the disk drive appears to be
  3759.       healthy.
  3760.  
  3761.     o Any unexplained behavior on the PC such as music, bouncing balls,
  3762.       black areas on the screen, falling letters, weird messages, or
  3763.       unexplained slowdown of the PC.
  3764.  
  3765.     o Less total or free (available) memory on your PC (use CHKDSK or
  3766.       MEM).  This should change only when you add new resident
  3767.       programs or device drivers.  Note, most PCs have 655360 total
  3768.       bytes of memory but certain models (ie. some PS/2s) reserve a
  3769.       thousand bytes of high memory.
  3770.  
  3771.     o Unexplained bad spots on your disk or fewer total bytes (as
  3772.       reported by CHKDSK).
  3773.  
  3774.     o If you find extra executable files (e.g., ".COM" files) showing up,
  3775.       you may have a companion style virus.
  3776.  
  3777.     Integrity Master (tm)           - 81 -        Data Integrity and Viruses
  3778.  
  3779.     RESPONSIBILITY
  3780.  
  3781.     If you are in a larger organization, it's crucial that someone has the
  3782.     responsibility for assuring data integrity.  The first task facing this
  3783.     person would be to assure that all important data is backed up and that
  3784.     all users are educated with respect to normal operation of their PC.
  3785.     The next step would be to start a regular program of integrity checking.
  3786.  
  3787.  
  3788.     POLICY AND ROUTINE
  3789.  
  3790.     The procedures for backing up and checking the integrity of critical
  3791.     data cannot be left to word of mouth, but should be clearly explained
  3792.     in a written set of procedures.  Data integrity is too important to leave
  3793.     to chance.  If this isn't done, guess what gets put on the back burner
  3794.     (in other words: not done), when people get busy? (Who isn't busy?).
  3795.     Some recommended procedures:
  3796.  
  3797.     o Never leave a floppy disk inserted in a drive longer than necessary.
  3798.       Remove all diskettes immediately.  This reduces the chance of
  3799.       inadvertently booting from the diskette and picking up a boot sector
  3800.       virus.
  3801.  
  3802.     o Check the integrity of all files after installing new software or
  3803.       copying programs.
  3804.  
  3805.     o If a stranger (such as a sales or repair person) runs software on a
  3806.       PC, do a full integrity check immediately afterwards.
  3807.  
  3808.     o Immediately write-protect and backup all diskettes containing
  3809.       software.
  3810.  
  3811.     o Schedule regular incremental and full backups.
  3812.  
  3813.     NETWORKS AND VIRUSES
  3814.  
  3815.     Make sure that any shared executable files allow only execute or read
  3816.     access.  Execute only is best, but it's essential not to allow write
  3817.     access.  Most network compatible programs allow you to store the files
  3818.     they write to on separate disks from the programs themselves. Be sure to
  3819.     limit write access with access rights not with file attributes (Netware
  3820.     FLAG or FLAGDIR).  A virus can easily bypass file attributes, but access
  3821.     rights can thwart the virus's attempts to write to the shared disk.  The
  3822.     person who supervises the LAN needs to have two accounts -- one
  3823.     privileged and one not.  For normal use, they should use the less
  3824.     privileged account. The privileged account should be used only  when the
  3825.     job requires supervisor rights.  It's critical that any user with
  3826.     supervisory rights log off as soon as possible and never execute any
  3827.     other programs, especially those on a workstation.
  3828.  
  3829.     Integrity Master (tm)           - 82 -        Data Integrity and Viruses
  3830.  
  3831.     Run regular integrity checks on the file server.  This is important on
  3832.     the workstations too, but is critical on the file server since an
  3833.     infected file here could quickly infect all the workstations on the
  3834.     network.
  3835.  
  3836.     Never access an unchecked workstation with network administrator
  3837.     (supervisor) authority!
  3838.  
  3839.  
  3840.     GUIDELINES FOR USING ANTI-VIRUS PRODUCTS
  3841.  
  3842.     Most modern anti-virus products use a combination of the techniques I
  3843.     just mentioned.  Unfortunately, most products still get almost all of
  3844.     their protection from their scanner component. It's vital to understand
  3845.     exactly how your product works so that you understand what type of
  3846.     protection you really have.  Here are some rules that will help you make
  3847.     sure that you get maximum protection out of whatever product you already
  3848.     have:
  3849.  
  3850.     o Be sure to cold boot your PC from a write-protected diskette before
  3851.       virus checking.  Most anti-virus products make this
  3852.       recommendation, but this rarely gets done because the
  3853.       recommendation is often buried in some obscure location in the
  3854.       documentation.  If your PC is infected with a virus that your
  3855.       scanner does not recognize, you could infect all the programs on
  3856.       your disk. Don't take this chance; boot from a write-protected
  3857.       diskette before you scan.
  3858.  
  3859.     o If you are using a product which depends mostly on its scanner
  3860.       component, make sure that you always have the latest version.
  3861.       Scanners are often updated every 30 days.
  3862.  
  3863.     o Before you execute or install any new software, check it first.  If it
  3864.       comes with an install program, check again after you install the
  3865.       software; an install program will frequently change or decompress
  3866.       executable programs.  After you first execute brand new software
  3867.       do an additional check of your system to make sure everything is as
  3868.       it should be.
  3869.  
  3870.     o If your product contains a scanner component, consider checking
  3871.       the boot sector on all diskettes brought in from another location --
  3872.       EVEN DATA DISKETTES!  Inevitably someone will leave these
  3873.       diskettes in their A drive, potentially spreading a boot sector virus.
  3874.  
  3875.     Integrity Master (tm)           - 83 -        Data Integrity and Viruses
  3876.         
  3877.     CHAPTER SIX - HANDLING A VIRUS ATTACK
  3878.     ____________________________________________________________________
  3879.  
  3880.  
  3881.     DON'T PANIC AND DON'T BELIEVE THE VIRUS
  3882.  
  3883.     Don't do anything rash if you suspect a virus attack.  Be skeptical,
  3884.     there are quite a few practical joke programs that behave exactly like
  3885.     viruses.  There's even a virus simulator that simulates the Ping Pong
  3886.     (bouncing ball), Jerusalem (black hole), Cascade (falling letters on the
  3887.     screen), Yankee doodle (music) and a few other viruses.  It's perfectly
  3888.     harmless, but it has alarmed many people.  Don't do anything drastic
  3889.     until you confirm that it really is a virus.
  3890.  
  3891.     If a virus tells you to do (or not to do) something,  don't believe it!
  3892.     One virus asks you not to turn off your PC while it is busy formatting
  3893.     your disk.  Generally, it's best to ignore what the virus says and cold
  3894.     boot from clean write-protected copy of DOS.   Don't blindly obey a
  3895.     virus!
  3896.  
  3897.  
  3898.     REPORT THE ATTACK
  3899.  
  3900.     Report the virus attack to the police or to a virus researcher or anti-
  3901.     virus developer.  We need to stop sweeping this under the rug.  If we
  3902.     can track where viruses first get started, then maybe we can apprehend
  3903.     the culprits who are writing and distributing these things.
  3904.  
  3905.  
  3906.     PLAY DETECTIVE
  3907.  
  3908.     It is very important that you track down how you got the virus.  If you
  3909.     got it from someone's software, it's vital that they be notified. The
  3910.     sooner these viruses are detected, the less damage they can do.
  3911.  
  3912.     Suppose you have indications of a virus, but your software doesn't
  3913.     identify it as a known virus.  What do you do?  First, cold boot (hit
  3914.     the red reset button or power off and back on) from a known good
  3915.     write-protected copy of DOS on a diskette.  Run a full integrity check.
  3916.     Run CHKDSK and print the results.  Now execute any suspect programs.
  3917.     Execute them several times.  Viruses may wait for some trigger event to
  3918.     begin infection.  Run CHKDSK again to see if the amount of free memory
  3919.     has been reduced.  This is a sign of a virus going resident in memory.
  3920.     Now cold boot again and rerun an integrity check.  Repeat this cycle
  3921.     with the various suspect programs. This should track down the guilty
  3922.     program if you've got one. Keep in mind that if it's a virus, it will
  3923.     modify other programs and those programs should themselves further
  3924.     modify other programs. By executing the modified programs, it's possible
  3925.     to tell whether you really have a virus or you just have a buggy program
  3926.     that is accidentally writing to other programs.
  3927.  
  3928.        Integrity Master (tm)           - 84 -        Data Integrity and Viruses
  3929.  
  3930.     CLEAN HOUSE
  3931.  
  3932.     Follow these steps when removing a virus from your PCs:
  3933.  
  3934.     o Cold boot (Power off and on or hit the reset button) from a known
  3935.       good write-protected copy of DOS.
  3936.  
  3937.     o Delete all infected files.
  3938.  
  3939.     o Reload any infected system sectors.  If you do not have a utility to
  3940.       reload the DOS boot sector, you can use the DOS "SYS" command
  3941.       after cold booting from a write-protected diskette (e.g., "SYS C:").
  3942.  
  3943.     o Rerun a full integrity check, or at least a scan if you don't have an
  3944.       integrity checker.
  3945.  
  3946.     o Check any floppies that may have been infected. Remember, if you
  3947.       have a system sector virus such as Stoned, Joshi or Brain, even
  3948.       empty data diskettes can be infected.  Check them all.
  3949.  
  3950.     o Notify any other PC user you have contact with to check their PCs.
  3951.  
  3952.  
  3953.     GUARD THE HOUSE
  3954.  
  3955.     Virus infections return in a very high number of cases.  This is usually
  3956.     because somewhere there is an infected file or diskette that was missed
  3957.     in the first cleaning.  Run your integrity checker or anti- virus
  3958.     program daily, for the next month, to catch a possible repeat infection.
  3959.  
  3960.    Integrity Master (tm)            -  85  -              I N D E X
  3961.  
  3962.     4096 virus, 59                        Copying programs, 23, 78
  3963.     Abandon changes, 44                   Corruption, 8, 21, 24, 27, 32, 36,
  3964.     Abort, 44                                 38, 51, 52, 56, 68, 78
  3965.     Advanced Option Menu, 18, 35, 44      Counting viruses, 60, 76
  3966.     Algorithms, 16, 32                    Critical error, 28
  3967.     Alternate colors, 13                  Cross-linked clusters, 51, 64, 78
  3968.     ALTernate key, 21                     Cryptographic signatures, 9, 16
  3969.     Alt/X, 20                             Current and Lower directories, 17
  3970.     ANSI.SYS, 71                          Current diRectory only, 17
  3971.     APPEND, 10                            Current option settings, 36
  3972.     ASSIGN, 10                            Customer engineer (CE), 76
  3973.     Attack phase, 22, 56                  Customizing, 35
  3974.     Automatic video mode, 13, 30          Data integrity, 9, 27, 51, 53, 64
  3975.     Auto-named report file, 18, 19, 29    Data recovery tools, 52
  3976.     Backup, 63, 64, 74, 77, 79, 81        Date stamp, 9, 29, 39, 72, 79
  3977.     Bad clusters, 58                      Deleting files, 64
  3978.     Badly damaged disks, 19               Demo diskettes, 76
  3979.     Batch files, 30, 32                   Descendant directories, 17
  3980.     BBS, 71, 75                           Destroying viruses, 26
  3981.     BIOS, 53, 54, 68                      Detecting unknown viruses, 24
  3982.     Bitnet, 1                             Detecting viruses, 23
  3983.     Boot sector, 17, 19, 43, 57, 58,      Device number, 19
  3984.         69, 71, 75, 81, 82                Diagnostic programs, 9, 27, 63, 64,
  3985.     Brain virus, 58, 84                       78, 79
  3986.     Bugs, 53                              Directory change, 20
  3987.     Bypass memory check, 26, 46           Dir-2 virus, 58
  3988.     Cascade virus, 25, 83                 Disinfection, 25, 26, 66
  3989.     Certified software, 72                Disk change, 20
  3990.     CGA, 39                               Disk errors, 9, 27, 28, 32, 43, 47,
  3991.     Change history, 18                        52, 63, 80
  3992.     Change management, 8, 29              Disk failure, 16, 19,52, 63, 78
  3993.     Change menu, 41                       Disk letters, 43
  3994.     Changes to executable programs, 24    Disk space, 30
  3995.     Check disk for known viruses, 18, 23  Downloading, 71, 73, 74
  3996.     Check menu, 48                        Education, 79
  3997.     Check values, 32                      Electronic mail, 1, 71
  3998.     Checking specific files, 17           Encryption, 9, 16, 43, 68
  3999.     Checksum, 69                          Entire disk integrity,15, 17, 23, 27
  4000.     CHKDSK, 51, 53, 58, 64, 78, 80, 83    Error levels, 32
  4001.     Cluster viruses, 26, 59               Error recovery, 19, 47
  4002.     CMOS, 71                              Errors, 32
  4003.     Cold boot, 22, 24, 26, 27, 46, 48,    ESCape, 21, 44
  4004.         82, 83, 84                        Evaluation, 11
  4005.     Cold booting, 82                      Example report, 28
  4006.     Colors, 13, 35, 47                    Exclude menu, 39
  4007.     Command line, 13, 18, 26, 30, 35,     Excluding directories or files, 39
  4008.         38, 46, 47                        Executable files, 18, 23, 24, 37, 38,
  4009.     Commands menu, 20                        38, 45, 48, 55, 58, 68, 71, 72,
  4010.     COMMAND.COM, 72                          74, 77, 79, 81
  4011.     Common Questions, 47                  Exit, 43
  4012.     Companion viruses, 22, 26, 39, 59,    Explanation of the display, 15
  4013.         80,                               Extend disk life, 27
  4014.     Configuration, 43                     F1 (help), 14, 15
  4015.     Control card, 30, 31                  False alarms, 26, 48
  4016.     Copying IM files, 11                  Fastest way to exit, 21
  4017.  
  4018.    Integrity Master (tm)          -  86  -                 I N D E X
  4019.  
  4020.     File corruption, 8, 21, 24, 25, 27, 32InterNet "virus", 54
  4021.         36, 38, 51, 53, 56, 68, 78        Introduction, 51
  4022.     Files on current Disk, 17             Intrusion protection, 64
  4023.     Files to check, 37                    Jerusalem virus, 25, 67, 83
  4024.     Files to iNitialize, 23, 37           Joke, 64, 71, 83
  4025.     Files (vital for IM), 12              Known viruses, 8, 9, 18, 25, 26,
  4026.     Finger checks, 8, 52                      46, 65, 69
  4027.     Fixing your disk, 10, 63              LAN, 28, 33, 34, 71, 81
  4028.     Full installation, 11                 Laptop, 13, 30
  4029.     Full integrity checking, 36, 78,      Large disks, 10
  4030.         79, 83, 84                        LCD, 12, 13, 30
  4031.     General virus checking, 46            License terms, 3, 33
  4032.     Glitches, 51                          Limitations, 10
  4033.     Guided tour, 14                       Logic bombs, 53, 67
  4034.     Hardware configuration, 43            Logical disk, 19, 43, 57
  4035.     Hardware errors, 47, 52, 80           Low level format, 27
  4036.     Hardware problems, 27                 LPT1, 19
  4037.     Hardware protection, 63               Malicious damage, 52
  4038.     Harmless viruses, 25, 56              Maltese Amoeba virus, 65
  4039.     Help, 15                              Master boot record, 18, 19, 43, 57
  4040.     Help Index, 7                         Maximum number of files, 10
  4041.     Help menu, 14                         Media coverage, 51
  4042.     Hidden system files, 44               Memory check, 26, 46
  4043.     Hiding IM.PRM, 29                     Menus, 10, 14, 21
  4044.     How viruses infect, 9, 21, 55         Minimum memory, 10
  4045.     HPFS, 34                              Miracle Infections, 59
  4046.     Ignore Time/date changes, 39          Misleading results, 10
  4047.     IMcheck, 44                           Monitoring, 67
  4048.     IMcheck license, 33                   Monochrome mode, 13, 30, 47
  4049.     IMCHECK.EXE, 32, 33                   Multiple parameter files, 31, 35
  4050.     IMprint, 47                           Multiple sets of options, 31, 35
  4051.     IMPROC.TXT, 12, 13, 22, 23, 32, 42    Music, 22, 25, 56, 80, 83
  4052.     Imview.exe, 47                        Mutating virus, 60
  4053.     IM.EXE, 12, 32                        Mutation engine, 59, 60
  4054.     IM.PRM, 12, 13, 29, 35, 43            Networks, 28, 54, 71, 75, 81
  4055.     Infection phase, 55                   New viruses, 24
  4056.     Initialize, 46                        No halt, 30, 38
  4057.     Initialize menu, 23                   Nonstop execution, 30, 31, 38
  4058.     Initializing integrity data, 15       Norton utilities, 52, 58, 63, 64
  4059.     Installing new software, 23, 78,      Only changes reported, 39
  4060.         79, 81, 82                        Open fail, 28
  4061.     Instructions, 10                      Open files, 28
  4062.     Integrity Advisor,10, 12, 22, 41, 42  Option settings, 13
  4063.     Integrity checking, 22, 36, 68, 69,   Options menu, 18, 22, 23, 35
  4064.         70, 74, 78, 81                    OS/2, 28, 33, 34
  4065.     Integrity data, 9, 15, 16, 20, 21,    Overlays, 18, 48, 59
  4066.         22, 23, 28, 29, 35, 36, 37,       Parameter file, 12, 13, 29, 30, 35,
  4067.         39, 40, 43, 68, 77, 78                36, 43
  4068.     Integrity data file names, 23, 42     Parameters, 30, 32
  4069.     Integrity data location, 21, 43       Partition sectors, 18, 19, 43, 57,
  4070.     Integrity data off-line, 43               58, 64, 69
  4071.     Integrity initialize, 9               Partition table, 57
  4072.     Interceptor, 54, 67                   Pause (P) key, 38
  4073.     Intermittent problems, 27, 63         Pausing, 37
  4074.     InterNet, 1                           Physical disk drive, 19, 43, 57
  4075.  
  4076.    Integrity Master (tm)          -  87  -                 I N D E X
  4077.  
  4078.     Plan for day-to-day use, 12           Shareware, 73, 75
  4079.     Pogue virus, 60                       Shelling to DOS, 20, 47
  4080.     Policy, 81                            Short-cut install, 11
  4081.     Polymorphic viruses, 59               Signatures, 16, 28, 32, 68, 72
  4082.     Power faults, 52                      Silly tricks, 72
  4083.     Printed output, 19                    Software Attacks, 53
  4084.     PRN, 19                               Software problems, 53, 79, 80
  4085.     Probability of file damage, 8         Solving problems, 47
  4086.     Procedure for running IM, 22          Sound, 38
  4087.     Procedures, 81                        Source programs, 38, 45
  4088.     Program changes, 26                   Space (disk), 30
  4089.     Programs, 22, 23, 24, 37, 38, 45,     Spawning virus, 59
  4090.         48, 55, 57, 70, 71, 75, 77, 78,   Special characteristics, 9
  4091.     QUESTION.TXT, 47                      Speed, 10, 24, 29, 46, 69
  4092.     Quick evaluation, 11                  Statistics Summary, 21
  4093.     Quick Install, 11                     Stealth, 56, 58, 68
  4094.     Quick integrity update, 22            Stoned virus, 56, 60, 84
  4095.     Quick Update, 29, 36, 78              SUBST, 10
  4096.     Quit, 44                              Suggestions, 77
  4097.     Read fail, 28                         Surge protectors, 63
  4098.     README.DOC, 12                        Syntax, 30
  4099.     Reinstall, 13                         SYS command, 57
  4100.     Reload data, 20                       System files, 44
  4101.     Reload files, 16                      System sector changes, 26
  4102.     ReLoad menu, 19                       System sector viruses, 9, 19, 24,
  4103.     Reload Missing partition, 19              57, 58
  4104.     Reloading system sectors, 15, 84      System sectors, 9, 10, 15, 17, 19,
  4105.     Reminders Before Checking, 18             22, 57, 58, 65
  4106.     Removal instructions, 25              Technical support, 47
  4107.     Repair, 10, 63                        Threats, 9, 21, 51, 53, 61, 73, 74,
  4108.     Report, 28                                76, 77
  4109.     Report file, 18, 19, 29, 31, 39       Trigger, 21, 53, 54, 55, 56, 83
  4110.     Report screen, 15                     Trojans, 54, 55, 67
  4111.     Reporting viruses, 25                 TSR, 53, 56, 78, 79
  4112.     Requirements, 10                      Tutorial, 7, 15
  4113.     Resident monitor, 67                  Two-color display, 12
  4114.     Resident programs, 53, 56, 78, 79     Typos, 8, 52
  4115.     Retail software, 66, 73, 75           Unattended processing, 31
  4116.     ROM, 68, 70                           Unauthorized changes, 22, 29
  4117.     Safe computing, 74                    Unknown viruses, 8, 11, 18, 22, 24,
  4118.     Save changes, 43                          68, 73, 79, 83
  4119.     Saving option changes, 35, 43         Unreadable data, 64
  4120.     Scanning, 9, 18, 23, 30, 39, 59,      Unusual video adapters, 12
  4121.         60, 65, 66, 79, 82                Update hardware configuration, 43
  4122.     Screen colors, 13, 35, 41             Video adapter, 12, 13
  4123.     Screen layout, 15                     Video mode, 13, 47
  4124.     Screen report, 39
  4125.     Scrolling, 37, 38
  4126.     Sectors, 57
  4127.     Security, 8, 29, 64
  4128.     Self-check, 68
  4129.     Self-modifying programs, 79
  4130.     SetupIM, 7, 11, 12, 13, 14, 16, 18,
  4131.         22, 29, 35, 41, 43, 44
  4132.     SETUPIM.EXE, 12
  4133.  
  4134.    Integrity Master (tm)          -  88  -                 I N D E X
  4135.  
  4136.     Virus                                 Virus
  4137.        checking, 18, 35, 45, 46              variants, 60, 61
  4138.        checking procedure, 22                what is it, 54
  4139.        companion, 22                      Virus report, 25
  4140.        damage, 15, 19, 22, 25, 27         Vital files, 12
  4141.        Destroying, 26                     Warranty, 3
  4142.        Detecting, 23, 24                  Whale virus, 60
  4143.        detection, 32, 36                  Why read, 8
  4144.        infection, 19                      Wild card characters, 40
  4145.        infections, 21                     Windows, 28, 33, 34, 48
  4146.        known, 9                           Worm, 54
  4147.        names, 25                          Write option changes, 35, 36
  4148.        New, 24                            Write protection, 68, 72, 73, 76,
  4149.        removal, 25                            77, 81
  4150.        removing, 48
  4151.        Reporting, 25, 26
  4152.        resident, 22, 26, 46, 48
  4153.        scanning, 9, 18, 23, 30, 39
  4154.        Signs, 23, 38
  4155.        symptoms, 25
  4156.        system sector, 9, 19, 24
  4157.        trigger, 21
  4158.        unknown, 22, 24
  4159.        variants, 25
  4160.        what is it, 21
  4161.        checking, 65
  4162.        cluster, 59
  4163.        collection, 61
  4164.        companion, 59, 80
  4165.        damage, 53, 56, 61, 66, 71, 74,
  4166.            77, 83
  4167.        defenses, 65
  4168.        definition, 54
  4169.        detection, 65, 68, 70, 75
  4170.        experts, 54, 72, 73
  4171.        how many, 60, 76
  4172.        infection, 71
  4173.        infections, 55, 58, 66, 84
  4174.        known, 65, 69
  4175.        multipartite, 58
  4176.        mutating, 59, 60
  4177.        myths, 71
  4178.        new, 60, 79
  4179.        phases, 55, 56
  4180.        polymorphic, 59, 60
  4181.        prevention, 70
  4182.        removing, 66, 77
  4183.        resident, 56, 66
  4184.        scanning, 59, 65, 66, 79, 82
  4185.        signs, 79, 80
  4186.        stealth, 56, 58, 68
  4187.        system sector, 57, 58
  4188.        toolkits, 60
  4189.        trigger, 54, 55, 56, 72, 83
  4190.        unknown, 68, 73, 79, 83 
  4191.