home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 1997 May / Pcwk0597.iso / antywir / imast311 / resmem.txt < prev    next >
Text File  |  1997-02-27  |  10KB  |  199 lines

  1.                RESIDENT PROGRAM AND MEMORY CONFIGURATION
  2.  
  3. This file explains how the "Resident program and memory" configuration check
  4. works and how to best use this new feature.
  5.  
  6. IM checks your PC to see if anything has changed the low-level memory resident
  7. programs that provide access to your hardware.  This allows IM to detect memory
  8. resident viruses unknown to its scanner component without booting from a
  9. floppy.  It also provides you a warning if the configuration of your PC has
  10. changed.
  11.  
  12. You can invoke the configuration check by using the "Resident program and
  13. memory" or "Entire disk integrity" options on the Check menu or with the /CM
  14. command line switch. IM will return an ERRORLEVEL of 24 if it finds memory
  15. changes that resemble those a virus would make or an ERRORLEVEL of 16 if the
  16. changes are significant but not likely to be due to a virus.
  17.  
  18. You can use the command line /MS# option (or SetupIM) to vary the sensitivity
  19. of IM to resident program configuration changes.  The sensitivity can be set
  20. from 0 to 9. 0 turns the check off, and 9 provides maximum sensitivity to
  21. changes.  4 is the default (and recommended) setting. 9 is useful for for
  22. researchers and on systems where there should be no software changes at all.
  23.  
  24.  
  25. WHAT TO DO IF IM FINDS A CONFIGURATION CHANGE
  26. ---------------------------------------------
  27. After each check IM provides a display of what has changed.  IF THERE IS A
  28. SIGN OF A CONFIGURATION CHANGE WHICH COULD BE DUE TO A VIRUS OR WHICH COULD
  29. AFFECT THE SECURE OPERATION OF YOUR PC, IM WILL ALERT YOU.  Here's
  30. what you should do:
  31.  
  32.  1) Boot from a clean write protected diskette containing IM.EXE and IM.PRM.
  33.  
  34.  2) Run a full (not quick update) check on your disk. A virus would be
  35.     indicated by change to a boot sector or changes to your executable
  36.     files.
  37.  
  38.  3) If there is no sign of a virus, then the change is probably normal
  39.     and you can "Initialize" (IM /IM) to  record the current configuration.
  40.     You may wish to determine exactly what has changed, though.  See
  41.     the list under NORMAL CHANGES below.
  42.  
  43.  4) If your environment frequently changes, you may wish to decrease
  44.     IM's sensitivity to detecting these changes. The sensitivity level
  45.     is normally set to 4 (/MS4).  You can use the SetupIM "advanced
  46.     option" menu or the /MS command line parameter to do this (e.g.
  47.     "/MS3" will set the sensitivity to 3).
  48.  
  49.  
  50. NORMAL CHANGES
  51. --------------
  52.  
  53. Here is a list of changes in your configuration that will be detected
  54. as memory and/or interrupt changes:
  55.  
  56. o  Installing a new version of an operating system (e.g., DOS, OS/2,
  57.    Windows, or Network).
  58.  
  59. o  Installing a new device driver (e.g. a DEVICE= statement in your
  60.    CONFIG.SYS file)
  61.  
  62. o  Installing new memory resident (TSR) software.
  63.  
  64. o  Installing a new memory manager or changing the settings that control
  65.    your memory manager (in other words changing what gets loaded in
  66.    high or upper memory).
  67.  
  68. o  Changing your cache or print spooler
  69.  
  70. o  If your PC is running as a network server, there will be a difference
  71.    depending upon the state of the server (e.g., starting, stopping,
  72.    suspending, etc.).
  73.  
  74. o  Changing the DOS session settings under Windows or OS/2.  (Under
  75.    Windows or OS/2, you can change settings for DOS sessions such as
  76.    amount of extended memory, display handling, mouse, file handles,
  77.    etc.)
  78.  
  79.  
  80. DETAILS OF IM'S CONFIGURATION CHANGE DISPLAY
  81. --------------------------------------------
  82.  
  83. IM provides a detailed display of what has changed in your PCs configuration.
  84. It is NOT necessary to understand these changes, since IM will alert you if
  85. these changes require any action.  For the more technically inclined users
  86. here is what IM displays:
  87.  
  88. DOS version           -  This shows the release of DOS running currently and
  89.                          the version which was running when IM last recorded
  90.                          (initialized) configuration data for your PC.  A DOS
  91.                          version 10 or 20 indicates OS/2.  (Note that Win95
  92.                          still runs on a base DOS system.)
  93.  
  94. Windows Version       -  If Windows is active when IM is running the version
  95.                          will be displayed here. Win95 reports itself as
  96.                          version 4 and Windows NT as 3.5.
  97.  
  98. Available CPU Speed   -  This value is a measure of how many typical 80x86
  99.                          instructions IM can execute in 1/9 of a second.  This
  100.                          value will vary if your real time clock is unstable or
  101.                          if there are other programs executing at the same time
  102.                          Variation in this value is normal under Windows, OS/2
  103.                          and other multitasking operating systems.  This value
  104.                          value varies from 3 for a 8mhz PC/XT, 66 for a 386/33
  105.                          to 800 for a Pentium/230.
  106.  
  107. Program Load Address  -  This is the address in DOS memory where your programs
  108.                          are loaded for execution. An increase in this address
  109.                          means something has grown or something new is
  110.                          occupying your low memory.  You can use your memory
  111.                          manager to reduce this value by loading programs into
  112.                          upper memory.
  113.  
  114. Maximum DOS memory    -  This is the total amount of conventional DOS memory
  115.                          available on your PC.  It's usually 655,360 bytes but
  116.                          some PCs load a driver into this memory.  Most boot
  117.                          sector viruses will reduce this value.
  118.  
  119. Unallocated DOS memory - This shows how much conventional memory is available
  120.                          in the first 1mb.  Any new resident software (e.g. a
  121.                          resident virus) will reduce this value.
  122.  
  123. Resident programs changed for these interrupts:
  124.  
  125.                          IM displays a list of interrupt numbers which have
  126.                          software that has changed. Interrupts are a low-level
  127.                          way to access your hardware or provide basic function
  128.                          for your PC.  Memory resident viruses or installing
  129.                          new hardware, drivers or operating systems, will
  130.                          change the software associated with the interrupts.
  131.                          IM traces the actual interrupt code to determine
  132.                          what has changed and will occasionally report
  133.                          an interrupt number (especially Int 13h, the
  134.                          low-level disk interrupt) a number of times on
  135.                          the list when their are multiple programs that
  136.                          service the interrupt.
  137.  
  138.                          Note that the multiplex interrupt (2F) will be
  139.                          different depending upon how you launch a
  140.                          program under Win 95. IM takes this difference
  141.                          into account when analyzing the changes.
  142.  
  143.  
  144.  
  145. USE UNDER WINDOWS AND OS/2
  146. --------------------------
  147.  
  148. If you run IM in a DOS session (virtual DOS machine) under Windows or OS/2, you
  149. will see changes if you modify the DOS session settings. This essentially
  150. changes the resident software which will be detected by IM.  Keep your settings
  151. consistent to avoid confusion.
  152.  
  153. You will also see variation in the CPU speed reported by IM.  This is due
  154. to two factors:
  155.  
  156.   1) Since other tasks execute in the background, these tasks will steal
  157.      CPU power from IM.
  158.  
  159.   2) The timer is less consistent under Windows than DOS so IM.
  160.  
  161.   3) The memory load address of IM or part of the system has changed. This
  162.      will change the CPU cache hits and misses and can change reported speed
  163.      by up to 90 percent.
  164.  
  165.  
  166. HANDLING MULTIPLE CONFIGURATIONS (OR MULTI-BOOT)
  167. ------------------------------------------------
  168.  
  169. IF YOU CHANGE ANY BASIC SOFTWARE (E.G., DRIVERS, TSRS, CACHES, MEMORY
  170. MANAGERS, ETC.) IM WILL RECOGNIZE THIS AS A SERIOUS CHANGE. For this reason,
  171. it's important to compare within a fixed configuration.
  172.  
  173. IM provides support for multiple operating systems on your PC. IM stores the
  174. configuration of your PC in a different file for each operating system.
  175.  
  176. IM uses a file name of MEMD.SRL (for DOS), MEMW.SRL (Win 3.x), MEM9.SRL
  177. (Win95), or MEMO.SRL (OS/2).  If you are running a network, the 3rd
  178. character of the filename becomes an "N" (e.g, MEND.SRL). This allows
  179. you to run resident program checks under different PC configurations.
  180.  
  181.                         ╔═══════════╤═════════════╤════════════╗
  182.                         ║  DOS only │ Windows 3.x │ Windows 95 ║
  183. ╔═══════════════════════╬═══════════╪═════════════╪════════════╣
  184. ║Without network active:║  MEMD.SRL │  MEMW.SRL   │  MEM9.SRL  ║
  185. ╟───────────────────────╫───────────┼─────────────┼────────────╢
  186. ║With network active:   ║  MEND.SRL │  MENW.SRL   │  MEN9.SRL  ║
  187. ╚═══════════════════════╩═══════════╧═════════════╧════════════╝
  188.  
  189. What this means is that if the only change you make to your configuration
  190. is to switch between running DOS, Windows or a network, IM will handle
  191. this automatically.  If you make changes beyond this and wish to run
  192. a configuration check in each one you will need to use the /MF=
  193. command line parameter  IM provides the /MF=filename command line
  194. parameter so that you can store multiple memory configuration files in
  195. your home directory. To do this, you will use a different filename with
  196. /MF= in each unique configuration.
  197.  
  198.  
  199.