PC Active 1995 March

home *** CD-ROM | disk | FTP | other *** search

/ PC Active 1995 March / PCA75.bin / demo / dos / tbav / tbav.doc < prev next >

Wrap

Text File | 1995-07-20 | 333.9 KB | 8,289 lines

ThunderBYTE Anti-Virus utilities versie 6.xx gebruikershandleiding TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Inhoudsopgave DEEL 0. INLEIDING 1. De TBAV handleiding . . . . . . . . . . . . . . . . . . 0 - 1 2. Overzicht van de TBAV utilities . . . . . . . . . . . . 0 - 1 DEEL I. INSTALLATIE VAN TBAV 1. Hoe installeert u TBAV? . . . . . . . . . . . . . . . . I - 1 1.1. Standaard installatie . . . . . . . . . . . . . I - 1 1.2. Menu en commando syntaxis . . . . . . . . . . . I - 5 2. Configuratie . . . . . . . . . . . . . . . . . . . . . I - 6 3. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . I - 8 3.1. Doel van TbSetup . . . . . . . . . . . . . . . . I - 8 3.2. Hoe gebruikt u TbSetup? . . . . . . . . . . . . I - 8 3.3. Commandoregel opties . . . . . . . . . . . . . . I - 13 3.4. TbSetup in bedrijf . . . . . . . . . . . . . . . I - 16 4. TbDriver . . . . . . . . . . . . . . . . . . . . . . . I - 19 4.1. Doel van TbDriver . . . . . . . . . . . . . . . I - 19 4.2. Commandoregel opties . . . . . . . . . . . . . . I - 19 4.3. Taal ondersteuning . . . . . . . . . . . . . . . I - 22 5. Systeem onderhoud . . . . . . . . . . . . . . . . . . . I - 23 6. Netwerk onderhoud . . . . . . . . . . . . . . . . . . . . . I - 24 6.1. Het gebruik van DOS REPLACE . . . . . . . . . . I - 24 6.2. Gebruik van PkUnZip . . . . . . . . . . . . . . I - 24 DEEL II. Anti-Virus Strategie 1. Beveiliging tegen virussen . . . . . . . . . . . . . . II - 1 1.1. Inleiding . . . . . . . . . . . . . . . . . . . II - 1 1.2. Minimale voorzorg . . . . . . . . . . . . . . . II - 1 2. Wat te doen als een virus toeslaat . . . . . . . . . . II - 6 2.1. Het opsporen van virussen . . . . . . . . . . . II - 6 2.2. Herstellen van een besmetting . . . . . . . . . II - 7 DEEL III. Het gebruik van TBAV 1. TbScan . . . . . . . . . . . . . . . . . . . . . . . III - 1 1.1. De functie van TbScan . . . . . . . . . . . . III - 1 1.2. Hoe gebruikt u Tbscan? . . . . . . . . . . . . III - 2 1.3. Commandoregel opties . . . . . . . . . . . . . III - 11 1.4. Het scanproces . . . . . . . . . . . . . . . . III - 18 2. TbScanX . . . . . . . . . . . . . . . . . . . . . . . III - 23 2.1. De functie van TbScanX . . . . . . . . . . . . III - 23 2.2. Hoe gebruikt u TbScanX? . . . . . . . . . . . III - 23 2.3. Commandoregel opties . . . . . . . . . . . . . III - 24 2.4. Tijdens het scannen . . . . . . . . . . . . . III - 27 3. TbCheck . . . . . . . . . . . . . . . . . . . . . . . III - 29 3.1. De functie van TbCheck . . . . . . . . . . . . III - 29 3.2. Hoe gebruikt u TbCheck? . . . . . . . . . . . III - 29 3.3. Commandoregel opties . . . . . . . . . . . . . III - 30 3.4. Tijdens het checken . . . . . . . . . . . . . III - 32 3.5. TbCheck testen . . . . . . . . . . . . . . . . III - 33 4. TbClean . . . . . . . . . . . . . . . . . . . . . . . III - 34 4.1. De functie van TbClean . . . . . . . . . . . . III - 34 4.2. Hoe gebruikt u TbClean? . . . . . . . . . . . III - 35 4.3. Commandoregel opties . . . . . . . . . . . . . III - 37 4.4. Het ontsmettingsproces . . . . . . . . . . . . III - 38 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Inhoudsopgave 5. Voortdurende viruspreventie: TbMon . . . . . . . . . III - 42 5.1. TbMem . . . . . . . . . . . . . . . . . . . . III - 44 5.2. TbFile . . . . . . . . . . . . . . . . . . . . III - 48 5.3. TbDisk . . . . . . . . . . . . . . . . . . . . III - 50 6. TBAV Tools . . . . . . . . . . . . . . . . . . . . . III - 56 6.1. TbUtil . . . . . . . . . . . . . . . . . . . . III - 56 6.2. TbLog . . . . . . . . . . . . . . . . . . . . III - 65 DEEL IV. Informatie voor gevorderde gebruikers. 1. Geheugen vereisten . . . . . . . . . . . . . . . . . . IV - 1 2. TbSetup . . . . . . . . . . . . . . . . . . . . . . . . IV - 3 2.1. Anti-Vir.Dat ontwerp overwegingen . . . . . . . IV - 3 2.2. Lay-out van het TbSetup.Dat bestand . . . . . . IV - 3 2.3. TBAV werkplek installatie . . . . . . . . . . . IV - 5 3. TbScan . . . . . . . . . . . . . . . . . . . . . . . . IV - 7 3.1. Heuristisch scannen . . . . . . . . . . . . . . IV - 7 3.2. Integriteitscontrole . . . . . . . . . . . . . . IV - 8 3.3. Programma validatie . . . . . . . . . . . . . . IV - 9 3.4. De algoritmen . . . . . . . . . . . . . . . . IV - 10 3.5. Het TbScan.Lng bestand . . . . . . . . . . . . IV - 11 3.6. Het TBAV.MSG bestand . . . . . . . . . . . . . IV - 12 4. TbClean . . . . . . . . . . . . . . . . . . . . . . . IV - 13 5. TbGensig . . . . . . . . . . . . . . . . . . . . . . IV - 16 Appendix A. TBAV boodschappen Appendix B. TbScan - Toelichting heuristische vlaggen Appendix C. Oplossingen t.a.v. incompatibiliteit Appendix D. Batch-bestand Appendix E. Virusbenamingen TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel 0 DEEL 0. INLEIDING 1. De TBAV handleiding Een felicitatie is op zijn plaats. Door de ThunderBYTE Anti-Virus utilities aan te schaffen heeft u een fundamentele stap gezet in de bouw van een massieve anti-virus beveiliging, rondom uw kostbare computer systeem. Het opzetten van een doeltreffend afweersysteem, met gebruikmaking van de TBAV utilities, is een 'persoonlijke' aangelegenheid. Daarom raden wij u van harte aan om deze handleiding grondig door te lezen, zodat u goed op de hoogte bent van alle verschillende beveiligingsmaatregelen die u kunt nemen. De TBAV handleiding bestaat uit vier hoofddelen. Deel I vertelt u hoe u de TBAV utilities kunt installeren op uw harde schijf of schijven. Naast de standaard pakket installatie vindt u er belangrijke informatie met betrekking tot een op maat gemaakte initiali- satie. In deel II wordt uitgelegd hoe u kunt voorkomen dat virussen uw compu- tersysteem besmetten. Tevens wordt aangegeven welke handelingen u moet verrichten wanneer u daadwerkelijk door een virusbesmetting bent getrof- fen. In deel III, vindt u een uitgebreide toelichting op doel, functie en werkwijze van alle TBAV utilities. Voor diegenen die meer over het onderwerp willen weten, is er in deel IV 'informatie voor gevorderde gebruikers' opgenomen over de ThunderBYTE Anti-Virus utilities. Door middel van een uitgebreide index en appendices, die verwijzen naar de TBAV (fout) boodschappen, kunt u de TBAV handleiding zeer goed als naslagwerk gebruiken. => Om echter goed bekend te raken met de vele mogelijkheden van ThunderBYTE Anti-Virus is het lezen van de gehele handleiding van essentieel belang. Alleen dan weet u welke maatregelen u kan -en moet- treffen om een volledige beveiliging te waarborgen en om geheel voorbereid te zijn op een totaal herstel, wanneer een virus toeslaat. 2. Overzicht van de TBAV utilities Wat is ThunderBYTE Anti-Virus? ThunderBYTE Anti-Virus (TBAV) is een uitgebreide toolkit, ontworpen om computers tegen virussen te beschermen en de gevolgen ervan te herstel- 0 - 1 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel 0 len. Hoewel in TBAV veel aandacht wordt geschonken aan de talloze mogelijkheden om een virusinfectie te voorkomen, zou het pakket niet compleet zijn zonder verschillende cleaner functies, om ervoor te zorgen dat u het systeem kunt 'ontsmetten' in het onzalige geval uw computer toch door een virus besmet raakt. Derhalve bestaat het pakket uit een aantal programma's die u op verschillende manieren tegen (de gevolgen van) computervirussen beschermen. Hierna volgt een kort overzicht. Het verzamelen van software informatie: TbSetup TbSetup is een programma dat gegevens verzamelt over alle software die het programma op uw systeem aantreft. Deze gegevens wordt door TbSetup opgeslagen in bestanden met de naam Anti-Vir.Dat. Alle informatie die in deze bestanden wordt bewaard, wordt door TBAV gebruikt voor integri- teits-controles, voor programmavalidatie en om besmette bestanden te 'ontsmetten'. Ondersteuning van geheugen residente TBAV utilities: TbDriver ~ TbDriver zelf geeft weinig beveiliging tegen virussen. Het programma moet echter wel vooraf gestart worden, om geheugenresidente TBAV utili- ties, zoals TbScanX, TbCheck, TbMem, TbFile and TbDisk hun werk te kunnen laten doen. Het bevat tevens de basis beveiliging tegen 'stealth' virussen en ANSI bommen. Scannen, op zoek naar virussen: TbScan TbScan is niet alleen een supersnelle virusscanner, maar kan door middel van opties op verschillende manieren geconfigureerd worden. Het program- ma kan mutanten opsporen, virussen van het stealth type ontwijken en programmabestanden disassembleren, waarmee het programma in staat is om verdachte instructies en tot op heden onbekende virussen op te sporen. Deze generieke detectiemethode, ofwel heuristische analyse, is een techniek die het mogelijk maakt om ongeveer 90% van alle virussen op te sporen. Hetgeen primair gebeurt door het zoeken naar verdachte instruc- ties en niet zozeer door het gebruik van zogenaamde 'handtekeningen'. Daarom ook beschikt TbScan over een echte disassembler en over een code analyzer. Een ander kenmerk van TbScan is de integriteitscontrole die het program- ma verricht zodra het de Anti-Vir.Dat bestanden vindt, die door TbSetup zijn gegenereerd. Het handtekeningenbestand dat door TbScan wordt gebruikt is een geco- deerd bestand met de naam 'TbScan.Sig'. In geval van nood kunt u dit bestand zelf aanvullen met nieuwe gegevens. TbScan voert automatisch een integriteitscontrole uit zonder dat het de 'vals alarm score' heeft die u bij andere integriteits checkers wel tegenkomt. Doel is het opsporen 0 - 2 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel 0 van virussen en niet het opsporen van wijzigingen in de configuratie van uw computersysteem! Automatisch scannen: TbScanX TbScanX is de geheugenresidente versie van TbScan. Deze handtekening scanner blijft resident in het geheugen en tast automatisch de bestanden af die worden uitgevoerd, gekopieerd, gedearchiveerd, gedownload, enz. TbScanX gebruikt slechts weinig geheugenruimte. Het programma kan geswapped worden in expanded, XMS, of high memory, waarbij het slechts 1Kb conventioneel geheugen gebruikt. Controle tijdens programmastart: TbCheck TbCheck is een geheugenresidente integriteits checker. Dit programma blijft resident in het geheugen en controleert elk (programma-)bestand automatisch voordat het wordt uitgevoerd. De snelle controlemethode gebruikt slechts 400 bytes van het geheugen. Het programma kan zo geconfigureerd worden, dat het bestanden met incorrecte checksums en/of bestanden, die geen overeenkomstig Anti-Vir.Dat record bezitten, wei- gert. Herstel van een geinfecteerde boot-sector, CMOS en partitie tabellen: TbUtil Sommige virussen kopieren zichzelf in de partitietabel van de harde schijf, waardoor zij veel moeilijker te verwijderen zijn dan bootsector virussen. Het op laag niveau formatteren van de harde schijf is dan weliswaar een effectieve, maar ook zeer drastische maatregel. TbUtil biedt een geschikt alternatief door al vooraf een back-up te maken van de niet geinfecteerde partitietabel en van de bootsector. Doet zich een infectie voor, dan kan de TbUtil back-up worden gebruikt als verifica- tie-middel en om de originele (ongeinfecteerde) partitietabel en boots- ector terug te zetten, zonder dat een destructieve schijfformat noodza- kelijk is. Het programma kan tevens de CMOS configuratie terugzetten. Als er geen back-up van uw partitietabel beschikbaar is, zal TbUtil trachten om een nieuwe partitietabel te genereren, opnieuw om het formatteren van de schijf te voorkomen. Een ander belangrijk aspect van TbUtil is de mogelijkheid om de parti- tietabelcode te vervangen door nieuwe code, die virussen beter weerstand biedt. De TbUtil partitiecode wordt uitgevoerd voordat de bootsector de controle overneemt, zodat deze sector in een schone omgeving gecontro- leerd kan worden. De TbUtil partitiecode voert een CRC berekening uit op de master bootsector vlak voordat de bootsectorcode wordt geactiveerd. Het programma geeft een waarschuwing als de bootsector is gewijzigd. De TbUtil partitiecode controleert en meldt eventuele wijzigingen in de RAM 0 - 3 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel 0 lay-out. Deze controles worden uitgevoerd zodra de computer vanaf de harde schijf wordt opgestart. => Hierbij dient te worden opgemerkt dat verificatie van de bootsector noodzakelijkerwijs dient plaats te vinden voordat de bootsector code mag worden uitgevoerd. Een virus zou zeer gemakkelijk geheugenresident kunnen worden gedurende het opstarten en zijn aanwezigheid kunnen maskeren. TbUtil biedt op dit punt totale beveiliging door al actief te zijn voordat de bootsector wordt uitgevoerd. Gebruik van TbUtil biedt een werkbaarder procedure om een ongestoorde inspectie van de bootsector mogelijk te maken dan de traditionele strategie van het opstarten van een schone DOS diskette. Het reconstrueren van besmette bestanden: TbClean TbClean is een generieke file cleaning utility. Het programma gebruikt de Anti-Vir.Dat bestanden -gegenereerd door TbSetup- voor een zo goed mogelijke zuivering en/of om de resultaten van het zuiveren te verifi- eren. TbClean kan echter ook zonder deze bestanden werken. Het ontrafelt en emuleert het besmette bestand en gebruikt deze analyse om het oor- spronkelijke bestand te reconstrueren. Residente bescherming: TbMon TbMon bestaat uit een reeks van geheugenresidente anti-virus utilities. De meeste andere residente anti-virus produkten bieden u de keuze om geladen te worden voordat het netwerk is geladen en de bescherming te verliezen na de login procedure, of om geladen te worden NA het inloggen op het netwerk, hetgeen resulteert in een gedeeltelijk onbeschermd systeem. De TBAV utilities herkennen de netwerk software en nemen passende maatregelen om hun eigen functionaliteit te verzekeren. ~ Controle van het geheugen: TbMem TbMem detecteert pogingen van programma's om resident in het geheugen te blijven, en zorgt ervoor dat geen enkel programma zonder toestemming resident kan worden. Omdat de meeste virussen juist trachten om resident in het geheugen te blijven, is dit een zeer krachtig wapen tegen deze - bekende en onbekende- virussen. Permissie-informatie wordt bewaard in de Anti-Vir.Dat bestanden. TbMem beschermt tevens uw CMOS geheugen tegen ongewenste veranderingen. Het voorkomen van virusbesmetting: TbFile TbFile signaleert en voorkomt pogingen van programma's om andere pro- gramma's te besmetten. Voorts beschermt het read-only attributen, spoort het illegale timestamps op, etc. 0 - 4 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel 0 Bescherming van de harde schijf: TbDisk TbDisk is een schijfbeschermings-programma dat pogingen signaleert om direct naar de harde schijf te schrijven (zonder DOS te gebruiken), pogingen tot formatteren, enz. TbDisk voorkomt dat kwaadaardige program- ma's uw gegevensbestanden vernietigen. Ook signaleert TbDisk directe schrijfpogingen, 'tunneling' en directe calls in de BIOS code. Permissieinformatie over die zeldzame programma's die wel direct naar de schijf schrijven en/of formatteren wordt bijge- houden in de Anti-Vir.Dat bestanden. Specificeer uw eigen handtekeningen (in noodgevallen): TbGensig Omdat TBAV wordt geleverd met een up-to-date handtekeningenbestand hoeft u handtekeningen van virussen niet zelf bij te houden. Wanneer u echter toch uw 'eigen' virussen wilt vastleggen binnen TBAV, heeft u de TbGen- sig utility nodig. U kunt daarmee gepubliceerde of zelf gespecificeerde handtekeningen vastleggen, indien u bekend bent met de structuur van software. Het verwijderen van besmette bestanden: TbDel Het DOS commando 'DEL' verwijdert bestanden niet daadwerkelijk. Het verandert slechts de eerste letter van het bestand en maakt ruimte door de interne locatietabellen van de schijf te wijzigen. TbDel is een klein programma met slechts een functie: het vervangt elk byte in een bestand door nulwaarden voor het te verwijderen. De gehele bestandsinhoud is daardoor verdwenen en niet meer terug te halen. Een effectieve stack manager: StackMan Om problemen met geheugenresidente software ('TSR' programma's) te vermijden, houdt DOS een zogenaamde 'stack pool' bij, en kan het over- schakelen naar een aangewezen stack wanneer zich een hardware interrupt voordoet. Het "Stacks" statement in de Config.Sys kan worden gebruikt om deze stack pool te besturen. De DOS stack schakeling heeft echter enige bezwaren. TBAV StackMan biedt belangrijke aanvullende functionaliteit op het DOS "Stacks" commando. 0 - 5 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I DEEL I. INSTALLATIE VAN TBAV 1. Hoe installeert u TBAV? Systeem vereisten De ThunderBYTE Anti-Virus utilities kunnen worden uitgevoerd op elke IBM of IBM compatibel PC met ten minste 1 Mb schijfruimte. De TBAV utilities vereisen 256 Kb vrij intern geheugen en tenminste DOS versie 3. Het verdient echter aanbeveling DOS 5 of een latere versie te gebruiken. De TBAV utilities zijn compatibel met netwerken, Windows, DR-DOS, etc. 1.1. Standaard installatie U kunt de TBAV utilities installeren door gebruik te maken van de snelle installatieprocedure (met behulp van "INSTALL.EXE") of door bedrijfsspe- cifieke waarden in te stellen in de AUTOEXEC.BAT of de CONFIG.SYS. Indien u de TBAV utilities op de 'standaard' manier wilt installeren, volgt u de instructies zoals deze in dit hoofdstuk worden gepresenteerd. Voor een volledig op maat gesneden installatie verdient het aanbeveling de delen I - 3 en II zorgvuldig door te lezen. Plaats de TBAV installatie diskette in het diskette station. Toets in: A: of B: Toets in: install C:\TBAV <Enter> +-----------------------------+ | F1 First time installation | | F2 Update installation | | F3 About.... | | F4 Exit.... | +-----------------------------+ Aangezien dit de eerste keer is dat u TBAV installeert, kiest u de eerste optie door middel van <Enter> of <F1>. 0 - 1 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I ------[ Please select Drive to install TBAV to: ] ------ You need at least 1024 KB of available space to install TBAV ! C: 3581952 D: 21291008 Beweeg de selectiebalk naar de schijf waarop de TBAV utilities geinstal- leerd moeten worden. TBAV Install toont de aanwezige vrije schijfruimte van elke beschikbare schijf. Vervolgens zal TBAV Install u vragen de TBAV directory op te geven. De default directory is \TBAV: [ Please select Directory to install TBAV to: ] C:\TBAV Indien de opgegeven directory niet bestaat, zal het installatie-program- ma de directory aanmaken. Vervolgens worden de TBAV bestanden in de opgegeven directory gekopieerd. +---------------------------------------------------------+ | The documentation for TBAV is compressed into a file. | | The documentation-file will now be self-extracted. | | Press any key when ready.... | | | | | | | | Inflating: c:/tbav/TBSCAN.DOC -AV | | Inflating: c:/tbav/TBSCANX.DOC -AV | | Inflating: c:/tbav/TBCLEAN.DOC -AV | +---------------------------------------------------------+ De tekstbestanden worden in gecomprimeerde vorm op de harde schijf gekopieerd en vervolgens 'uitgepakt'. Nadat alle bestanden zijn geko- pieerd wordt het programma TbSetup geladen, zodat het Anti-Vir.Dat bestand van de TBAV directory gegenereerd kan worden. +---------------------------------------------------------+ | TbSetup will now generate or update the Anti-Vir.Dat | | file of the directory C:\TBAV | | Press any key when ready.... | +---------------------------------------------------------+ I - 2 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I De ThunderBYTE Anti-Virus utilities zijn nu in de aangegeven directory gekopieerd. Het installatieprogramma helpt u vervolgens om het pakket met standaard waarden in te stellen. Na grondige bestudering van de handleiding kunt u de instellingen desgewenst aanpassen aan uw eigen persoonlijke eisen en voorkeuren. +-----------------------------------------------------------+ | This installation program helps you to setup the utilitie | | in their most standard and non-customized way. | | Do you want to continue ? (Y/N) | +-----------------------------------------------------------+ Indien u bovenstaande vraag met 'No' beantwoordt, zal TBAV Install u niet vragen de geheugenresidente TBAV utilities in de Autoexec.Bat te plaatsen, noch om de Anti-Vir.Dat bestanden aan te maken. Indien u Yes ingeeft, maakt TBAV Install een back-up van uw originele Autoexec.Bat en voegt er de call naar het batch bestand TbStart.Bat aan toe. Om direct te kunnen opstarten wordt aangeraden de TBAV directory in uw PATH omgevingsvariabele op te nemen. Uw nieuwe Autoexec.Bat bestand ziet er nu als volgt uit: @ECHO OFF PATH C:\TBAV call C:\TBAV\tbstart.bat Vervolgens zal TbSetup de Anti-Vir.Dat bestanden genereren in elke directory van de opgegeven schijf, waar zich programmabestanden bevin- den. U dient deze actie te herhalen wanneer u over meerdere schijven beschikt. Meer informatie vindt u in de TbSetup paragraaf van dit deel. Het TBAV pakket bevat enige utilities die in het geheugen van de PC kunnen worden geplaatst. Voor elke utility kunt u aangeven of het installatieprogramma deze in het TbStart.Bat bestand moet opnemen: +---------------------------------------------------------+ | TBSCANX is a memory resident virus scanner. | | Do you want to install it ? (Y/N) | +---------------------------------------------------------+ +---------------------------------------------------------+ | TBCHECK is a memory resident integrity checker. | | Do you want to install it ? (Y/N) | +---------------------------------------------------------+ I - 3 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I +---------------------------------------------------------+ | TBMEM is a resident memory guard. | | Do you want to install it? (Y/N) | +---------------------------------------------------------+ +---------------------------------------------------------+ | TBFILE is a resident file guard. | | Do you want to install it ? (Y/N) | +---------------------------------------------------------+ Indien u de volgende vraag met Yes beantwoordt, zal TBAV uw systeem eenmaal per dag scannen op de aanwezigheid van virussen: +---------------------------------------------------------+ |Do you want the system to be scanned automatically | | for viruses every day ? (Y/N) | +---------------------------------------------------------+ Het installatieprogramma zal de aangegeven configuratiewaarden opnemen in het bestand 'TbStart.Bat', dat in de door u opgegeven ThunderBYTE directory te vinden is, bijv.: C:\TBAV\tbdriver C:\TBAV\tbscanx C:\TBAV\tbcheck C:\TBAV\tbmem C:\TBAV\tbfile ~ C:\TBAV\tbscan /once /alldrives Tenslotte kunt u de TBAV utilities uw schijf direct laten scannen. Het is niet onwaarschijnlijk dat enkele TBAV utilities boodschappen zullen tonen wanneer u het systeem herstart en uw normale activiteiten uitvoert. Sommige programma's verrichten handelingen die door de TBAV utilities worden gesignaleerd. TBAV moet derhalve eerst 'leren' welke programma's permissie dienen te hebben voor welke activiteiten. Start de programma's die u regelmatig gebruikt en beantwoordt elke vraag met 'Y' indien u de handeling toestaat, of 'N' om permissie te weigeren. TBAV onthoudt deze instellingen en zal u met deze vragen niet meer lastig vallen. Herstart de computer aan het einde van deze testronde. De TBAV utilities zijn nu klaar om het systeem af te zoeken en zullen u waarschuwen zodra zich verdachte verschijnselen dreigen voor te doen. Zij zullen u ook waarschuwen indien een nieuw bestand een mogelijk virus bevat, ruim voordat het eventueel schade zou kunnen aanrichten. I - 4 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 1.2. Menu en commando syntaxis U kunt de meeste TBAV utilities activeren vanuit het TBAV menu, door vanaf het besturingssysteem in te toetsen: cd \tbav tbav Alle TBAV drivers en utilities kunnen vanaf de DOS commandoregel worden gestart. In een gestructureerde setup, dienen de drivers echter te worden geinstalleerd en geactiveerd in uw Config.Sys, met de device= or install= aanwijzing, of in het TbStart.Bat bestand als een TSR. De meeste utilities kunnen namelijk tevens automatisch worden gestart -in het geval van TbScan beperkt tot een keer per dag- in het TbStart.Bat bestand. De twee uitzonderingen zijn TbClean en TbDel, die alleen kunnen worden gestart vanaf de DOS prompt en (TbClean) vanuit het TBAV menu. U kunt alle commando's van ThunderBYTE Anti-Virus voorzien van command line switches of opties, om specifieke functies aan te sturen. Deze opties kunnen volledig worden uitgeschreven of middels een korte (een- of tweeletterige) aanduiding worden gespecificeerd. In deze handleiding vindt u beide schrijfwijzen terug. Opties dienen van elkaar te worden gescheiden door spaties. Zij hoeven niet vooraf te worden gegaan door enig switch teken, maar u kunt indien u dat wenst gebruik maken van de bekende slash of het verbindingsstreepje. De standaard command line syntaxis voor alle ThunderBYTE Anti-Virus commando's is: commando [<pad>] [<bestand>] [<optie>] ... [<suboptie>] ... U kunt de correcte syntaxis op het scherm oproepen, met een complete optielijst, door na het betreffende commando de optie 'help' of een vraagteken in te geven: tbcheck ? De zelfde on-line help wordt getoond indien u een niet geldige optie achter het commando intoetst. De voorbeelden, die in deze handleiding worden gepresenteerd, gaan ervan uit dat alle utilities zijn geinstalleerd in de default \TBAV directory. Maak een recovery diskette aan! Het is zeer raadzaam om direct na installatie een zogenaamde recovery diskette aan te maken. De voorbeeld instellingen in de handleidingen gaan ervan uit dat u een dergelijke diskette heeft vervaardigd. Voor een toelichting, zie deel II van de TBAV handleiding. I - 5 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 2. Configuratie De keuzes die u heeft gemaakt bij het installeren van de TBAV utilities dienen wellicht hier en daar fijner afgesteld te worden, bijvoorbeeld door opties toe te voegen aan het opstartcommando. Dit fijnstellen kunt u doen door het editen van het TBSTART.BAT bestand, dat automatisch de geheugenresidente utilities laadt. => Indien gewenst kunt u de desbetreffende commando's in plaats daarvan in de Config.Sys opnemen. Vergeet daarbij niet de extensie .exe te specifi- ceren! Hierna worden enkele tips gegeven om de werking van TBAV aan te passen aan uw persoonlijke eisen en omstandigheden. Na het initialiseren en herstarten van uw systeem, heeft TBAV een aantal antwoorden van u nodig in de bovengenoemde 'leerfase'. TBAV menu configuratie Ook door middel van het TBAV menu kunt u het pakket configureren. De meeste command line opties zijn ook in de menu's terug te vinden. Er blijven echter verschillende opties die uitsluitend vanaf het bestu- ringssysteem kunnen worden gebruikt. +----Main menu-----+ | Confi+----------TBAV configuration----------+ | TbSet|v Use colors | | TbSca| Save configuration to TBAV.INI | | TbUti| File view utility | | TbCLe|v Wait after program execution | | TBAV | Show command line before executing | | Docum|v Edit path string before scanning | | Regis+--------------------------------------+ | Quit and save | | eXit (no save) | +------------------+ U kunt de gewenste menu-opties activeren door de selectiebalk m.b.v. de cursortoetsen naar de betreffende keuze te bewegen en vervolgens <Enter> in te toetsen. Door het teken v kunt u zien of een optie actief is. Use colors Staat deze optie uit, dan wordt TBAV monochroom weergegeven. Deze instelling kan met name van belang zijn voor een goede weergave op laptop computers. I - 6 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I Save configuration to TBAV.INI Alle configuratiewaarden, die u binnen het TBAV menu instelt, worden weggeschreven in het 'TBAV.INI' bestand, zodra u deze optie geselecteerd heeft. Start u TBAV een volgende keer, dan zullen de waarden actief zijn, zoals ze in de huidige TBAV.INI zijn opgenomen. Deze waarden hebben betrekking op het TBAV menu zelf en op de utilities TbSetup, TbScan and TbClean. Alhoewel u het TBAV.INI bestand handmatig kunt aanpassen, verdient het aanbeveling om het bestand telkens door de TBAV menu shell te laten genereren. In de default situatie is de inhoud van TBAV.INI alleen geldig wanneer de utilities via het TBAV menu worden aangestuurd. U kunt echter de opties "Use TBAV.INI file" activeren (of de 'UseIni' switches specificeren in TBAV.INI zelf) voor elk van de bovengenoemde utilities. Daarmee is de configuratie volgens TBAV.INI ook geldig bij het starten van TbSetup, TbScan of TbClean vanaf het bestu- rings-systeem. Hierbij is enige voorzichtigheid op zijn plaats, omdat de opties in TBAV.INI niet op de commandoregel ongedaan kunnen worden gemaakt. TBAV genereert een TBAV.INI bestand wanneer bovengenoemde optie voor het eerst na installatie van TBAV wordt geactiveerd. In het bestand staan alle geldige configuratie switches. De niet-geactiveerde switches worden voorafgegaan door een puntkomma. File view utility TbSetup en TbScan maken resp. een databestand en een LOG-bestand aan. Als default kunt u deze bestanden vanuit het TBAV menu bekijken met een intern file view utility. Met behulp van deze optie kunt u een 'eigen' extern file view utility aan het menu koppelen. Vul na selectie het volledige pad en de volledige bestandsnaam in, compleet met extensie. Wait after program execution Door deze optie te activeren zal TBAV de boodschap: "Press any key to return to the TBAV utilities" tonen, na het uitvoeren van een externe utility. Show command line before executing Is deze optie geactiveerd, dan zal TBAV het DOS commando tonen, dat de externe utility zal laden. Doordat het betreffende commando pas wordt uitgevoerd na <Enter>, bent u in de gelegenheid om het gespecificeerde commando te bekijken. Edit path string before executing Indien geactiveerd, kunt u na het kiezen van "Start scanning" het te scannen path wijzigen of bevestigen. I - 7 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 3. TbSetup 3.1. Doel van TbSetup TbSetup is een onmisbaar hulpmiddel, dat ondersteuning biedt aan de andere ThunderBYTE Anti-Virus utilities, hoewel het zelf geen actieve rol speelt in het opsporen en verwijderen van virussen. TbSetup beheert de recovery informatie, en geeft daarmee extra kracht aan de andere utilities. De informatie -voornamelijk betrekking hebbend op programmabestanden- wordt verzameld in een referentiebestand per directory, met de naam "Anti-Vir.Dat". De aard en structuur van deze bestanden wordt aan het einde van dit hoofdstuk toegelicht. Hoewel de ThunderBYTE utilities goed kunnen werken zonder de Anti- Vir.Dat bestanden, is het zeer aan te bevelen om deze bestanden door TbSetup te laten genereren. De Anti-Vir.Dat bestanden worden voor verschillende doeleinden gebruikt: - Integriteitscontrole. TbScan -en het residente programma TbCheck- voeren tijdens het scannen een integriteitscontrole uit als het programma een Anti-Vir.Dat bestand aantreft. Raakt een bestand besmet met een virus, dan zal de informatie in het Anti-Vir.Dat bestand niet overeenstemmen met de oorspronkelijke bestandsinhoud. TbScan en TbCheck zullen u vervolgens waarschuwen, dat het betref- fende bestand gewijzigd is. - TbSetup herkent een aantal bestanden die een speciale behandeling vereisen. Voorbeeld van zo'n bestand is een disk image file van een network remote boot disk. Een dergelijk bestand - dat in feite een complete schijf vertegenwoordigt - dient eigenlijk in zijn geheel gescand te worden, en op alle virussen. TbSetup zal een kenmerk aanbrengen in het Anti-Vir.Dat bestand om ervoor te zorgen dat TbScan inderdaad het complete bestand op alle virussen aftast. - Is een bestand besmet, dan zal TbClean het originele bestand recon- strueren. De informatie in het Anti-Vir.Dat bestand is daarbij van grote waarde. Sommige besmette programma's kunnen slechts genezen worden, wanneer er informatie over het programma aanwezig is. - TbCheck (een kleine residente integrity checker) heeft geen functie wanneer er geen Anti-Vir.Dat bestanden op uw systeem aanwezig zijn. - De residente TBAV utilities behoeven de Anti-Vir.Dat bestanden voor de permissie informatie. Zonder de Anti-Vir.Dat bestanden kunt u alleen van valse alarmmeldingen afkomen door een complete facili- teit te deactiveren. I - 8 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 3.2. Hoe gebruikt u TbSetup? Dit is het enige programma waarop de regel van toepassing is: hoe minder u het programma gebruikt, hoe beter uw bescherming tegen virussen! Waarom? Een Anti-Vir.Dat bestand bevat alle vitale informatie die benodigd is om een virus op te sporen, samen met gegevens voor het daaropvolgende herstel en het zuiveren van een bestand. Wat zou er gebeuren als u TbSetup zou draaien nadat een virus op uw PC terecht was gekomen: de informatie in het Anti-Vir.Dat bestand zou 'ge-updated' worden naar de status van het besmette bestand; alle sporen van gegevens over de oorspronkelijke staat, benodigd voor reconstructie, zouden worden verwijderd. Gebruik TbSetup nooit wanneer u maar het geringste vermoeden heeft van een virusbesmetting op uw systeem. Zodra de Anti-Vir.Dat bestanden gegenereerd zijn als onderdeel van de initiele setup, dient elk volgend gebruik slechts gericht te zijn op nieuwe directory's of op directory's met nieuwe programmabestanden. => Als default worden de Anti-Vir.Dat bestanden met het attribuut 'hidden' aangemaakt en zijn dan ook niet zichtbaar wanneer de standaard DOS commando's worden gebruikt. U ziet de bestanden uitsluitend wanneer u gebruik maakt van speciale utilities. U kunt TbSetup starten vanaf de DOS commandoregel of vanuit het TBAV menu. Drive aanduiding en pad vertellen TbSetup op welke locatie de setup operatie moet worden verricht. Voor de eerste installatie kunt u de optie 'alldrives' gebruiken: TbSetup AllDrives U kunt ook opgeven welke paden u wilt verwerken. Om schijf C: en D: te behandelen geeft u in: TbSetup C:\ D:\ U kunt TbSetup uitvoeren op een enkel bestand, een (sub)directory of op een hele schijf. Geeft u een padnaam in, dan zullen ook alle onderlig- gende directory's in de setup worden meegenomen. Geeft u een bestands- naam in (waarbij u de DOS wildcards, zoals *.* kunt gebruiken), dan wordt de operatie alleen op de gespecificeerde directory uitgevoerd. Gebruikt u TbSetup vanaf de DOS commandoregel, dan kunt u er d.m.v. de 'newonly' optie voor zorgen dat bestaande informatie door het programma wordt overschreven. Om u eraan te herinneren dat TbSetup opnieuw gedraaid moet worden, zal TbScan door middel van een kleine letter 'c' aangeven dat er een nieuw programma op de schijf staat, of een hoofdletter 'C' als een programma- bestand is gewijzigd. I - 9 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I Voorbeeld: U voegt een nieuw bestand TEST.EXE toe aan de directory C:\FOO. TbSetup C:\FOO\TEST.EXE Voorbeeld: U installeert een nieuw produkt in een nieuwe directory C:\NEW. TbSetup C:\NEW Indien u gebruik maakt van het DOS commando kunt u een aantal opties of parameters toevoegen. Deze opties worden in het volgende aangeduid, bij de overeenkomstige menu optie. Aanvullend is in paragraaf 3.3 een volledige lijst van TbSetup DOS opties opgenomen. Het 'TbSetup' menu +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start TbSetup | | TbSca| Options menu >| | TbUti| Flags menu >| | TbCLe| Data file path/name | | TBAV | View data file | | Docum+------------------------+ | Register TBAV | | Quit and save | | eXit (no save) | +------------------+ Data file path/name TbSetup zoekt naar 'speciale' bestanden in het TbSetup.Dat bestand. Na selectie van deze optie kunt u een ander pad specificeren of de naam van een ander bestand, dat een lijst van 'speciale' bestanden bevat. Voorbeeld: TbSetup Datfile = c:\tbav\tbsetup.dat I - 10 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start+-----------TbSetup options-----------+ | TbSca| Optio| Use TBAV.INI file | | TbUti| Flags| Prompt for pause | | TbCLe| Data | Only new files | | TBAV | View | Remove Anti-Vir.Dat files | | Docum+-------| Test mode (don't change anything) | | Register TBAV|v Hide Anti-Vir.Dat files | | Quit and save| Make executables readonly | | eXit (no save| Clear readonly attributes | +---------------|v Sub-Directory scan | +-------------------------------------+ Use TBAV.INI file Door het activeren van deze optie zullen de TbSetup configuratiewaarden in het TBAV.INI bestand ook worden gebruikt wanneer TbSetup vanaf de DOS commandoregel wordt gestart. Speciale aandacht is gewenst, omdat de in TBAV.INI gespecificeerde opties niet op de commandoregel gedaan kunnen worden gemaakt. Zie hoofdstuk I-2. Prompt for pause Activeert u de optie 'pause', dan zal TbSetup pauzeren zodra een window met informatie gevuld is. U krijgt daarmee de gelegenheid om de resulta- ten te beoordelen. Only new files Wilt u nieuwe bestanden toevoegen aan de Anti-Vir.Dat database, maar niet dat gegevens van gewijzigde bestanden worden bijgewerkt, dan kunt u van deze optie gebruik maken. Het bijwerken van gegevens van gewijzigde programmabestanden is gevaarlijk, omdat -indien een bestand besmet is- de informatie om het virus op te sporen en te verwijderen is overschre- ven. Remove Anti-Vir.Dat files Wilt u de ThunderBYTE utilities niet meer gebruiken, dan hoeft u niet handmatig alle Anti-Vir.Dat bestanden te verwijderen. Met deze optie zal TbSetup alle Anti-Vir.Dat bestanden van uw PC verwijderen. Test mode (Don't change anything) Wilt u het resultaat van een optie bestuderen, zonder dat iets wordt geactiveerd dat u niet wilt, kunt u de 'test' optie gebruiken. Het I - 11 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I programma zal zich dan 'normaal' gedragen, maar zal het geen wijzigingen of updates aanbrengen op uw harde schijf. Hide Anti-Vir.Dat files De Anti-Vir.Dat bestanden zijn normaal niet zichtbaar in de directory lijst. Wilt u liever normale -zichtbare- bestanden dan kunt u deze optie activeren. => Deze optie heeft alleen betrekking op nieuw te genereren Anti-Vir.Dat bestanden. Make executables read-only Omdat TbFile het read-only attribuut constant bewaakt, is het zeer wenselijk alle programmabestanden read-only te maken om elke verandering te voorkomen. TbSetup doet dit voor u als u de optie 'read-only' acti- veert. Bestanden die niet read-only mogen worden gemaakt worden door TbSetup herkend. Clear read-only attributes Deze optie kan worden gebruikt om de effecten van de 'read-only' opera- tie terug te draaien. Activeert u deze optie, dan worden alle read-only attributen van alle programmabestanden opgeheven. Sub-Directory scan Als default zoekt TbSetup ook in de sub-directories naar programmabe- standen, tenzij een bestandsnaam (wildcards toegestaan!) is opgegeven. Door middel van deze optie zal TbSetup ook sub-directories behandelen. +----Main menu-----+ | Confi+------TbSetup menu------+ | TbSet| Start+-----TbSetup flags------+ | TbSca| Optio|v Use normal flags | | TbUti| Flags| Set flags manually | | TbCLe| Data | Reset flags manually | | TBAV | View | Define flags >| | Docum+-------+------------------------+ | Register TBAV | | Quit and save | | eXit (no save) | +------------------+ I - 12 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I Set flags manually Deze optie is alleen geschikt voor ervaren gebruikers. Met deze optie kunt u handmatig permissievlaggen zetten in het Anti-Vir.Dat record. Deze optie vereist een hexadecimale bitmask om de vlaggen in te stellen. Voor meer informatie over de bitmask bekijkt u het TbSetup.Dat bestand. Optieformaat: Set =<flags> Voorbeeld: Set = 0001 Reset flags manually Ook deze optie is uitsluitend geschikt voor ervaren gebruikers. Met deze optie kunt u permissievlaggen handmatig terugzetten of voorkomen dat vlaggen worden ingesteld in het Anti-Vir.Dat record. Deze optie vereist een hexadecimale bitmask om de vlaggen in te stellen. Voor meer informa- tie over de bitmask bekijkt u het TbSetup.Dat bestand. Optieformaat: Reset =<flags> Voorbeeld: Reset = 0001 +----Main menu-----+ | Confi+-----TbSetup menu------+ | TbSet| Start+-----TbSetup flags------+ | TbSca| Optio|v Use n+--Define flags to be changed--+ | TbUti| Flags| Set f| 0001: Heuristic analysis | | TbCLe| Data | Reset| 0002: Checksum changes | | TBAV | View | Defin| 0004: Disk image File | | Docum+-------+-------| 0008: Readonly sensitive | | Register TBAV | | 0010: TSR program | | Quit and save | | 0020: Direct disk access | | eXit (no save) | | 0040: Attribute modifier | +------------------+ | 8000: Interrupt rehook | +------------------------------+ 3.3. Commandoregel opties TbSetup staat toe dat opties op de DOS commandoregel worden gespecifi- ceerd. TbSetup herkent zowel de korte als de lange notatie van opties. De woorden zijn gemakkelijker te herinneren, en zullen voor het gemak ook in deze handleiding worden gebruikt. De syntaxis luidt als volgt: TbSetup [<pad][<bestand>]... [<opties>]... I - 13 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I optie parameter short verklaring ------ ------------- ------- -------------------------------- help he help pause pa activeer 'Pause' prompt mono mo forceer monochroom nosub ns sub-directories overslaan newonly no gewijzigde records niet bijwerken alldrives ad doe alle hard disks allnet an doe alle netwerk schijven remove rm Anti-Vir.Dat bestanden verwijderen test te niets aanmaken of wijzigen nohidden nh Anti-Vir.Dat bestanden niet 'hidden' maken readonly ro geef programmabestanden attribuut read- only nordonly nr verwijderen of niet plaatsen van read-only attribute set =<flags> se plaats vlaggen reset =<flags> re zet vlaggen terug/ geen vlaggen plaatsen datfile[=<filename>] df te gebruiken databestand help (he) Als u deze optie specificeert zal TbSetup de inhoud van het TBSETUP.HLP bestand tonen (indien aanwezig in de TbSetup directory). Specificeert u een vraagteken, dan ziet u de optielijst zoals deze hierboven staat afgebeeld. pause (pa) Activeert u de optie 'pause', dan zal TbSetup pauzeren zodra een window met informatie gevuld is. U krijgt daarmee de gelegenheid om de resulta- ten te beoordelen. mono (mo) Door het toevoegen van deze optie wordt TBAV monochroom weergegeven. Deze instelling is met name van belang voor een goede weergave op laptop computers (LCD schermen) en kleur emulerende monochroom systemen. nosub (ns) Als default zoekt TbSetup ook in de sub-directories naar programmabe- standen, tenzij een bestandsnaam (wildcards toegestaan!) is opgegeven. Door het specificeren van deze optie zal TbSetup geen sub-directories behandelen. newonly (no) Wilt u nieuwe bestanden toevoegen aan de Anti-Vir.Dat database, maar niet dat gegevens van gewijzigde bestanden worden bijgewerkt, dan kunt u van deze optie gebruik maken. Het bijwerken van gegevens van gewijzigde programmabestanden is gevaarlijk, omdat -indien een bestand besmet is- de informatie om het virus op te sporen en te verwijderen is overschre- ven. I - 14 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I alldrives (ad) Indien u alle harde schijven wilt verwerken kunt u deze optie gebruiken. Behalve voor de allereerste keer dat u TbSetup gebruikt wordt deze optie niet aanbevolen. allnet (an) Indien u alle harde netwerk schijven wilt verwerken kunt u deze optie gebruiken. Behalve voor de allereerste keer dat u TbSetup gebruikt wordt deze optie niet aanbevolen. remove (rm) Wilt u de ThunderBYTE utilities niet meer gebruiken, dan hoeft u niet handmatig alle Anti-Vir.Dat bestanden te verwijderen. Met deze optie zal TbSetup alle Anti-Vir.Dat bestanden van uw PC verwijderen. test (te) Wilt u het resultaat van een optie bestuderen, zonder dat iets wordt geactiveerd dat u niet wilt, kunt u de 'test' optie gebruiken. Het programma zal zich dan 'normaal' gedragen, maar zal het geen wijzigingen of updates aanbrengen op uw harde schijf. nohidden (nh) De Anti-Vir.Dat bestanden zijn normaal niet zichtbaar in de directory lijst. Wilt u liever normale -zichtbare- bestanden dan kunt u deze optie specificeren. => Deze optie heeft alleen betrekking op nieuw te genereren Anti-Vir.Dat bestanden. readonly (ro) Omdat TbFile het read-only attribuut constant bewaakt, is het zeer wenselijk alle programmabestanden read-only te maken om elke verandering te voorkomen. TbSetup doet dit voor u als u de optie 'readonly' specifi- ceert. Bestanden die niet read-only mogen worden gemaakt worden door TbSetup herkend. nordonly (nr) Deze optie kan worden gebruikt om de effecten van de 'read-only' opera- tie terug te draaien. Activeert u deze optie, dan worden alle read-only attributen van alle programmabestanden opgeheven. set =<vlaggen> (se) Deze optie is alleen geschikt voor ervaren gebruikers. Met deze optie kunt u handmatig permissievlaggen zetten in het Anti-Vir.Dat record. Deze optie vereist een hexadecimale bitmask om de vlaggen in te stellen. Voor meer informatie over de bitmask bekijkt u het TbSetup.Dat bestand. reset =<vlaggen> (re) Ook deze optie is uitsluitend geschikt voor ervaren gebruikers. Met deze optie kunt u permissievlaggen handmatig terugzetten of voorkomen dat vlaggen worden ingesteld in het Anti-Vir.Dat record. Deze optie vereist een hexadecimale bitmask om de vlaggen in te stellen. Voor meer informa- tie over de bitmask bekijkt u het TbSetup.Dat bestand. I - 15 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I Voorbeeld: Reset = 0001 datfile =<bestandsnaam> (df) Vanaf de commandoregel: Datfile =<filename> Voorbeeld: Datfile = c:\tbav\tbsetup.dat 3.4. TbSetup in bedrijf TbSetup verdeelt het scherm in drie windows: een informatiewindow, dat commentaar uit het data bestand bovenin het scherm toont, een bestands- window links en een statuswindow rechts. Het lagere linker gedeelte toont een lijst met de namen van de bestanden die worden behandeld, samen met enige bestandsspecifieke informatie: TEST.EXE 01234 12AB23CD Added * 0001 | | | | | | | | | | | | | | | | | 'vlag' instelling voor dit | | | | | bestand | | | | verwijst naar 'speciaal' bestand | | | gepleegde actie | | 32-bit CRC (checksum) | bestandsgrootte in hexadecimale waarden naam van het onderhavige bestand U hoeft niet al te veel aandacht te besteden aan de snelheid waarmee de informatie voorbijkomt, of aan de ingewikkeldheid van die informatie. Naar alle waarschijnlijkheid heeft u deze detailinformatie nooit nodig. Het scanning window heeft een 'gepleegde actie' veld, dat aangeeft of een item in het Anti-Vir.Dat is toegevoegd, veranderd of ge-updated: Added Er bestond voorheen geen informatie over dit bestand in het Anti-Vir.Dat record. Deze informatie is toegevoegd. Changed Er was reeds bestandsinformatie, maar het bestand is veranderd. De Anti- Vir.Dat informatie is bijgewerkt. Updated Er was reeds bestandsinformatie, en het bestand is onveranderd. Deson- danks heeft TbSetup enkele permissievlaggen gewijzigd -overeenkomstig de instelling in het TbSetup.Dat bestand of overeenkomstig een 'Set' of 'Reset' optie. I - 16 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I Doel van het TbSetup.Dat bestand Alhoewel de ThunderBYTE utilities zonder extra hulp hun werk uitstekend doen op vrijwel elk bestand, bestaan er desondanks enkele bestanden die om speciale aandacht vragen. TbSetup gebruikt informatie die is verza- meld in een gegevensbestand, TbSetup.Dat, om zulke bestanden in het Anti-Vir.Dat bestand te kunnen kenmerken. De andere ThunderBYTE utili- ties kunnen deze informatie vervolgens gebruiken om te bepalen hoe een dergelijk bijzonder bestand behandeld moet worden. Voorbeelden van bijzondere bestanden: - Sommige programma's houden configuratiegegevens bij in het executa- ble bestand (EXE, COM) zelf. Wanneer u de configuratie van deze programma's wijzigt, zal het programmabestand dus ook veranderen, evenals de checksum. De nieuwe checksum zal dus niet overeenkomen met de informatie in het TbSetup.Dat bestand. Omdat sommige Thun- derBYTE utilities deze checksum informatie gebruiken om de integri- teit of het resultaat van cleaning te verifieren, moeten zij 'weten' of de checksum van een bestand al of niet een vast gegeven is en dus al of niet gewijzigd mag worden. - TbScan kan generieke detectiemethoden, zoals de 'heuristische' analyse gebruiken om onbekende virussen op te sporen. Omdat heuris- tische analyse onvermijdelijk het optreden van valse waarschuwingen impliceert -als een bestand er als een virus uitziet-, kan TbScan besluiten om geen heuristische analyse op een dergelijk programma te doen. - Sommige ThunderBYTE utilities bewaken het read-only attribuut en zorgen ervoor dat dit attribuut alleen verwijderd kan worden na uitdrukkelijke toestemming van de gebruiker. Enkele programma's kunnen echter niet goed werken wanneer zij het attribuut 'read- only' dragen. - TbScan's default scanning methode werkt uitstekend op nagenoeg elk bestand. Toch zijn er enkele bestanden die speciale analyse verei- sen. Een dergelijk bestand is het Novell NET$DOS.SYS bestand. Geen device driver -zoals de extensie doet vermoeden- maar een disk image van de bootable disk. Dit bestand dient volledig te worden afgetast, en voor alle handtekeningen, inclusief COM en BOOT. - De residente detectie utilities van het TBAV pakket signaleren elke vorm van virus-specifiek gedrag. Sommige volstrekt 'normale' programma's kunnen zich echter als virus gedragen, en moeten dus zonder bemoeienis van TBAV gewoon kunnen werken. U hoeft zich geen zorgen te maken vanwege het feit dat een aantal bestanden van heuristische analyse uitgesloten zijn. Deze bestanden zullen op de conventionele manier onder meer op basis van de handteke- ningenlijst worden gecontroleerd. Bovendien wordt geen enkel bestand van I - 17 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I heuristische analyse uitgesloten, tenzij het bestand volledig overeen- stemt met de informatie in het TbSetup.Dat bestand - inclusief de naam, grootte en de 32-bit CRC checksum. Op deze wijze is elk gat in de beveiliging gedicht. Als een geregistreerd bestand al besmet is, zal de checksum niet overeenstemmen met de 32-bit CRC in het TbSetup.Dat bestand, en zal het bestand niet worden uitgesloten. Als een programma op een later moment wordt besmet, zal dat een wijzi- ging in op zijn minst een van de karakteristieken tot gevolg hebben. Het record in het Anti-Vir.Dat bestand zal niet meer overeenstemmen met de overeenkomstige waarden van het bestand, zodat het bestand onderworpen zal worden aan een volledige heuristische analyse zoals elk ander bestand. I - 18 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 4. TbDriver 4.1. Doel van TbDriver TbDriver zelf biedt weinig bescherming tegen computervirussen, maar moet vooraf geladen worden om de geheugenresidente TBAV utilities (TbScanX, TbCheck, TbMem, TbFile en TbDisk) in staat te stellen hun werk te doen. Het programma vormt de bron voor sommige routines die deze utilities gemeenschappelijk gebruiken, waaronder de faciliteiten voor de pop-up windows, het gebruik van de taalmodules en netwerksupport. Hiernaast biedt TbDriver bescherming tegen 'stealth' virussen en ANSI bommen. Hoe gebruikt u TbDriver? TbDriver moet geladen worden voor (een van) de andere geheugenresidente TBAV utilities. De startinstructies vindt u op de volgende pagina's. Indien u bescherming wenst tegen zogenaamde ANSI-bommen dient u TbDriver op te starten na de ANSI-driver. In normale situaties is het gebruik van de 'net' optie niet noodzake- lijk. Wanneer u TbDriver installeert op een PC die wordt gestart vanaf een boot ROM, dient u te specificeren waar het boodschappenbestand inclusief schijfaanduiding en pad kan worden gevonden nadat de PC is opgestart. Het default boodschappenbestand is namelijk niet langer benaderbaar nadat de PC is opgestart. 4.2. Commandoregel opties TbDriver staat toe dat opties op de DOS commandoregel worden gespecifi- ceerd. Geeft u een bestandsnaam in, dan zal deze worden beschouwd als boodschappenbestand. De eerste drie opties kunnen te allen tijde worden gebruikt, de overige zijn alleen beschikbaar zolang TbDriver nog niet resident in het geheugen is. optie parameter kort toelichting ------- ----------- ----- ------------------------ help ? toon dit helpscherm net n force LAN support remove r verwijder TbDisk uit het geheugen mode =<m|c> m video mode freeze j bevries de PC na een boodschap lcd l verbeter weergave op LCD schermen noavok =<drives> o verleen permissie indien AV record ontbreekt I - 19 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I quiet q actie niet tonen secure s updates niet toestaan notunnel t tunneling niet signaleren nofilter f filter geen gevaarlijke ANSI codes nostack ns zet geen eigen stack op help (?) Specificeert u deze optie, dan ziet u de optielijst zoals deze hierboven staat afgebeeld. net (n) TbDriver werkt goed samen met de meeste netwerken; in normale situaties zal de 'net' optie dan ook niet nodig zijn. U dient deze optie te specificeren indien alle volgende verschijnselen zich voordoen: Er is verbinding gemaakt naar Novell netwerken en TbDriver is geladen voor ingave van het login commando. En er is geen geldig Anti-Vir.Dat record in de directory waar het NET?.COM programma is opgeslagen of nadat het NET?.COM bestand hernoemd is. remove (r) Deze optie schakelt TbDriver uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbDriver als laatste geladen is. Een poging om een TSR te verwijderen nadat een andere TSR is gestart zou een waardeloos gat achterlaten in het geheugen, dat de interrupt chain zou kunnen verstoren. TbDriver controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. mode (m) Op dual video systemen zal TbDriver het huidige actieve scherm gebrui- ken. Door middel van de optie 'mode=m' kan het programma gedwongen worden het alternatieve scherm voor monochroom weergave te gebruiken, of 'mode=c' voor kleurensystemen. freeze (j) Wanneer deze opie wordt opgegeven 'bevriest' TbDriver de computer nadat het een melding heeft getoond. Dit is nuttig voor systemen waarbij gebruikers niet op eigen houtje TbDriver meldingen mogen kunnen beant- woorden. lcd (l) Deze optie verbetert de leesbaarheid op systemen met een LCD scherm. noavok (o) Deze optie wordt afgeraden in geval van normaal gebruik van TbDriver. U kunt de optie wellicht nodig hebben om automatisch toestemming te verlenen aan programma's zonder Anti-Vir.Dat record. De optie 'noavok' vereist een parameter die de drives specificeert waarop de default I - 20 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I permissie betrekking heeft. Als u bijvoorbeeld geen boodschap van TbMem wilt als een TSR zonder Anti-Vir.Dat record vanaf schijf G: en H: wordt uitgevoerd, specificeert u 'noavok=gh' op de TbDriver commandoregel. Indien u netwerk schijven wilt uitzonderen dient u het sterretje (*) te gebruiken. Dus indien u bij voorbaat toestemming wilt verlenen voor alle activiteiten van programma's die op station A:, RAMdisk F: en op alle netwerk schijven staan specificeert u 'noavok=af*'. quiet (q) Sommige residente TBAV utilities tonen een activiteit status. TbScanX, bijvoorbeeld, toont een rechthoek met "*Scanning*" in de linkerbovenhoek van uw scherm gedurende het scannen van een bestand. U kunt dit uitscha- kelen met de 'quiet' optie als TbDriver is geladen. secure (s) Sommige ThunderBYTE utilities kunnen permissievlaggen opslaan in de Anti-Vir.Dat bestanden. Als u niet wilt dat deze vlaggen worden gewij- zigd, kunt u deze optie gebruiken. 'Secure' heeft geen effect op vlaggen die reeds zijn ingesteld; u kunt de optie dus gebruiken na het installe- ren van nieuwe programma's of pakketten. notunnel (t) 'Tunneling' is een techniek die door virussen wordt gebruikt om de locatie van de DOS systeemcode in het geheugen te bepalen, om dat adres vervolgens te gebruiken om direct met DOS te communiceren. Hierdoor worden alle TSR programma's uitgeschakeld, inclusief residente anti- virus software. TbDriver signaleert zogenaamde tunneling pogingen door virussen en waarschuwt wanneer een poging plaatsvindt. Enkele andere anti-virus produkten maken eveneens van deze techniek gebruik om resi- dente virussen te kunnen omzeilen en veroorzaken daardoor valse alarme- ringen. Maakt u momenteel ook gebruik van andere anti-virus software, dan kunt u de optie 'notunnel' gebruiken om de signalering van tunneling uit te schakelen. nofilter (f) Het originele ANSI stuurbestand biedt de mogelijkheid om aan een bepaal- de toets een tekenreeks toe te kennen. Jaren geleden gebruikte men deze mogelijkheid om bijvoorbeeld de tekst 'DIR /W' toe te kennen aan de F10 toets. Dit programmeren van toetsen kan eenvoudig plaatsvinden door zogenaamde ANSI commando's in een tekst te plaatsen en deze tekst vervolgens te 'typen'. Tegenwoordig gebruikt niemand meer deze mogelijk- heid, maar de mogelijkheid bestaat nog immer. Sommige zieke geesten gebruiken deze mogelijkheid om een tekstbestand te maken die bijvoor- beeld de 'Enter' toets herprogrammeert naar 'Del *.*' of erger... Een dergelijke tekst wordt een ANSI bom genoemd. TbDriver beschermt u hiertegen door de specifieke toetsprogrammeringscodes uit te filteren. Alle andere ANSI commando's worden ongemoeid gelaten. Indien u op deze bescherming geen prijs stelt of deze verouderde ANSI mogelijkheid wilt benutten kunt u optie 'nofilter' gebruiken. I - 21 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I nostack (ns) TbDriver zet normaal gesproken een 'stack' op voor de residente TBAV utilities. Voor de meeste systemen is dit echter niet nodig. Indien u optie 'nostack' gebruikt wordt de normale applicatie stack gebruikt, hetgeen enkele honderden bytes aan geheugenruimte oplevert. Indien uw system echter instabiel wordt of vastloopt kunt u deze optie beter weer weghalen. 4.3. Taal ondersteuning De specificatie van een -optionele- bestandsnaam wordt door TbDriver gebruikt om te bepalen waar een TBAV boodschappenbestand gevonden kan worden. TbDriver haalt de teksten t.b.v. de pop-up window boodschappen uit een bestand "TBDRIVER.LNG", dat gezocht wordt in de eigen directory. U kunt het default Engelstalige boodschappenbestand TBDRIVER.LNG desge- wenst vervangen door bestanden met teksten in uw eigen taal. U kunt deze afzonderlijke tekstbestanden bestellen via uw ThunderBYTE dealer. Ook is het mogelijk om het bestand te downloaden van een ThunderBYTE support Bulletin Board Systeem. Meer informatie over deze tekstbestanden vindt u in paragraaf I-4.3. U kunt een ander tekstbestand laden door deze te hernoemen naar de default bestandsnaam (TBDRIVER.LNG) of door het volledige pad en de bestandsnaam achter het TbDriver commando in te geven. U kunt ook naar een ander boodschappenbestand overschakelen door TbDri- ver opnieuw te laden, maar nu met een ander boodschappenbestand. Dit kost u geen extra geheugenruimte. I - 22 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 5. Systeem onderhoud Elk systeem vereist een zekere mate van onderhoud, en dat geldt ook voor de TBAV utilities. Omdat steeds nieuwe virussen opduiken, moet TbScan's handtekeningenbestand regelmatig bijgewerkt worden om nieuwe gevaren uit te sluiten. U kunt de nieuwste versie van TBAV verkrijgen via uw Thun- derBYTE dealer of het bestand downloaden van een van de Bulletin Board Systemen. Zodra u programma's toevoegt, bijwerkt of vervangt dient u TbSetup te draaien om de 'vingerafdrukken' van de betreffende programma's te laten opnemen in de Anti-Vir.Dat bestanden. Wanneer u een nieuwe DOS versie installeert, verandert de bootsector. Het wijzigen van de configuratie van uw harde schijf kan van invloed zijn op de partitietabel en de CMOS setup. U dient een nieuwe recovery diskette aan te maken na elke veran- dering van het systeem. Updates Op regelmatige basis komt er een update uit van de ThunderBYTE Anti- Virus utilities. Een abonnement op de ThunderBYTE update service (via uw ThunderBYTE dealer) garandeert u tijdige levering van elke nieuwe versie van het pakket. U kunt nieuwe versies tevens op elk moment downloaden van elk ThunderBYTE support BBS. Of informeer regelmatig op een lokaal bulletin board. Velen bieden de laatste updates van onze software aan. De meest betrouwbare methode is vanzelfsprekend een TBAV abonnement. U bent te allen tijde verzekert van actuele software! De volledige programmatuur wordt op Bulletin Boards uitgegeven in een archief bestand met als naam: TBAVxxx.ZIP, waarbij 'xxx' wordt vervangen door het versienummer. De extensie van het bestand is afhankelijk van de gebruikte archiveermethode van het betreffende Bulletin Board. TBAV-voor-Windows wordt verspreidt in archief bestanden met de naam TBAVWxxx.ZIP. Dit bestand staat niet op zichzelf, u dient tevens de DOS versie van TBAV te downloaden. De residente TBAV utilities zijn ook verkrijgbaar in processor geoptima- liseerde formaten. Deze versies, met de naam TBAVXxxx.ZIP, worden uitsluitend aan geregistreerde gebruikers geleverd. U kunt deze software aanschaffen via uw ThunderBYTE dealer. Taal support De ThunderBYTE Anti-Virus utilities zijn verkrijgbaar in meerdere taalversies, door middel van afzonderlijke boodschappenbestanden. Informeer bij uw ThunderBYTE dealer naar de verkrijgbare talen. I - 23 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I 6. Netwerk onderhoud Het handtekeningenbestand TbScan.Sig dient regelmatig door een update te worden vervangen. Dat zou nogal wat werk betekenen wanneer u alle werkstations van een netwerk handmatig zou moeten updaten. Er zijn echter verschillende methodes om deze procedure automatisch te laten verlopen. 6.1. Het gebruik van DOS REPLACE U dient een directory \TBAV_UPD\ te onderhouden op een public server drive. Elke nieuwe versie van de TBAV utilities of elk nieuw handteke- ningenbestand TbScan.Sig moet in deze directory geplaatst worden. Vervolgens dient op elk werkstation automatisch een batch bestand te worden geladen zodra gebruikers inloggen op het netwerk. Dit batch bestand dient de volgende regels te bevatten: rem Vervang het anti-virus produkt zodra rem een nieuwe versie beschikbaar is replace x:\tbav_upd\*.* c:\tbav /u /r 'Replace' is een standaard DOS utility. Het kopieert de bestanden die in de vorm van de eerste parameter worden gespecificeerd UITSLUITEND wanneer zij nieuwer zijn dan de bestanden die in de tweede parameter worden aangegeven. De letter 'x' in het voorbeeld staat voor de schijf- aanduiding. => Zorg ervoor dat het 'replace' commando in het huidige pad staat, en dat de opgegeven paden geldig zijn voor de betreffende configuratie. Op deze wijze hoeft u dus slechts een schijf van een update te voorzien. Alle werkstations zullen zichzelf updaten zodra zij inloggen op het netwerk! U kunt ook de /S optie gebruiken, indien u REPLACE alle directory's wil laten aftasten van de schijven van het betreffende werkstation, op zoek naar overeenkomstige bestanden. Raadpleeg uw DOS handleiding voor meer informatie. => NB: Vergeet niet TbSetup uit te voeren op de nieuwe utilities in de x:\tbav_upd directory, om ervoor te zorgen dat het REPLACE commando ook het nieuwe Anti-Vir.Dat bestand kopieert. 6.2. Gebruik van PkUnZip U dient een directory \TBAV_UPD\ te onderhouden op een public server drive. Elke nieuwe versie van het archief bestand moet in deze directory vervangen worden. Vervolgens dient op elk werkstation automatisch een I - 24 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel I batch bestand te worden geladen zodra gebruikers inloggen op het net- werk. Dit batch bestand dient de volgende regels te bevatten: rem Vervang het anti-virus produkt zodra rem een nieuwe versie beschikbaar is PkUnZip -n -o x:\tbav_upd\TBAV???.ZIP c:\tbav => Zorg ervoor dat PkUnZip.Exe in het huidige pad staat, en dat de opgege- ven paden geldig zijn voor de betreffende configuratie. Als u deze procedure volgt, komt PkUnzip alleen in actie als u zojuist de ZIP bestanden heeft vervangen in de x:\tbav_upd directory. Nu hoeft u dus slechts een schijf van de nieuwe anti-virus te voorzien. Alle werkstations zullen zichzelf updaten zodra zij inloggen op het netwerk! I - 25 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II DEEL II. Anti-Virus Strategie 1. Beveiliging tegen virussen 1.1. Inleiding Het onderhouden van een betrouwbaar beveiligingssysteem betekent dat u actief moet zijn in het nemen van maatregelen die uw systeem vrijwaren van een virusinfectie. Een keer per week dient u uw PC op te starten en te scannen vanaf een schone en schrijf-beschermde diskette. Op deze wijze biedt u ook virussen het hoofd die zichzelf goed weten te verber- gen zodra zij resident in het geheugen zijn gekomen. De bedrijfszeker- heid van uw beveiligingssysteem hangt in grote mate af van de hoeveel- heid tijd die u bereid bent te investeren om de veiligheidsmaatregelen zo goed mogelijk uit te voeren en hangt af van de vitaliteit van het desbetreffende computersysteem. Voor het gebruik van een stand alone computer met niet-vitale gegevens, in een omgeving waar weinig uitwisseling van software plaatsvindt, is bijvoorbeeld een dagelijkse controle van de harde schijf op virussen voldoende. In bedrijfssituaties echter, in een netwerkomgeving waar diskettes veelvuldig worden uitgewisseld, waar schijven zeer waardevolle informatie bevatten, waar het 'down' gaan van een netwerk een belangrij- ke inkomstenderving betekent, dient de beveiliging zo strak te zijn als de organisatie praktisch kan dragen. Gegeven het bovenstaande is een eenvoudige toelichting op het gebruik van de zeer flexibele TBAV utilities een onmogelijke zaak. Alles hangt af van uw eisen en mogelijkheden. Daarom adviseren wij u om de handlei- ding zorgvuldig door te nemen, opdat u goed in staat bent uw eigen beveiligingsmaatregelen te treffen. Om te voorkomen dat computervirussen u enige schade berokkenen dient u in ieder geval onderstaande handelin- gen uit te voeren. 1.2. Minimale voorzorg 1. Installeer TBAV op uw harde schijf U kunt de standaard TBAV installatie aan uw eigen eisen en wensen aanpassen. Zorg ervoor dat u op de geeigende momenten TbSetup gebruikt, zodat u constant over actuele herstel informatie beschikt van alle programmabestanden op uw systeem! Zie voor de installatieprocedure deel I van de TBAV handleiding. De volgende voorbeelden gaan ervan uit dat alle utilities in de default directory TBAV zijn gekopieerd. Voor alle voorbeeld setups geldt dat TbSetup moet zijn uitgevoerd. Beschikt uw systeem over meerdere harde schijven of schijf partities, dan dient u TbSetup uit te voeren op elke schijf of partitie. I - 1 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II De voorbeeld setups gaan er tevens van uit dat u een recovery diskette heeft aangemaakt. De onderstaande voorbeelden hebben uitsluitend de bedoeling om u enkele ideeen te geven over het gebruik van de TBAV utilities; zij beschrijven niet de maximaal haalbare beveiliging. 2. Maak een recovery diskette aan U dient in ieder geval onder alle omstandigheden te kunnen beschikken over een schone recovery diskette om uberhaupt in staat te zijn een virus op enig moment te verwijderen. Neem nu even de tijd om deze dis- kette aan te maken - ruim voordat u geconfronteerd wordt met een moge- lijke besmetting en elke redding te laat komt. Neem een nieuwe, lege diskette, en plaats deze in het diskette-station. Ga naar de DOS directory prompt (\TBAV) en toets de volgende commando's in: Format A: /S Copy SYS.COM A: Keer nu terug naar de TBAV directory: CD \TBAV Voer het MakeResc batch bestand uit: makeresc A: Het MakeResc batch bestand genereert een betrouwbare recovery diskette door de volgende programma's en bestanden op de diskette te kopieren. - Een back-up van de bootsector, de partitie sector en CMOS configu- ratie. - Een Config.Sys bestand, met als inhoud: Files=20 Buffers=20 Device=TbDriver.Exe Device=TbCheck.Exe FullCRC II - 2 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II - Een Autoexec.Bat bestand, met als inhoud: @echo off echo off PATH=A:\ TBAV Cls Echo Warning!!! Echo If you suspect a virus, do NOT execute anything from Echo the hard disk! - De volgende bestanden: TBAV.EXE TBAV.LNG TBSCAN.EXE TBSCAN.LNG TBSCAN.SIG TBDRIVER.EXE TBDRIVER.LNG TBCHECK.EXE TBCLEAN.EXE TBUTIL.EXE TBUTIL.LNG Kopieer ook andere utilities naar de diskette die van pas zouden komen in een noodsituatie, zoals bijvoorbeeld een eenvoudige text editor om de Config.Sys en AutoExec.Bat aan te passen. Indien uw harde schijf specia- le device drivers behoeft om toegevoegde features te ontgrendelen, zoals DoubleSpace of Stacker, kopieer de betreffende drivers dan naar de recovery diskette en installeer ze in het Config.Sys bestand op station A:. Vermijd daarbij statements die de harde schijf benaderen. Verifieer de instructies in de handleiding van de device drivers, zodat u zeker de correcte procedures hanteert. Maak de diskette write protected. Geef de diskette op het etiket de omschrijving 'Recovery' mee en een korte aanduiding van de PC waarbij de diskette hoort. Berg de diskette op een veilige plaats op. Gebruik de diskette uitsluitend in noodsituaties, dus maak een kopiediskette als u er een voor algemene doeleinden wilt gebruiken. 3. Houd verdachte software buiten de deur! Veel bedrijven staan medewerkers niet toe om niet geautoriseerde softwa- re te installeren of uit te voeren. Of wellicht wilt u voorkomen dat uw familieleden uw computer bezetten met onbetrouwbare spelletjes of vage software. TBAV verschaft u de waakhondfunctie die een dergelijke chaos II - 3 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II voorkomt. Daartoe voegt u allereerst de volgende regel toe aan de Config.Sys: Device=C:\TBAV\TbDriver.Exe Device=C:\TBAV\TbCheck.Exe secure Als u de TBAV utilities met behulp van het TBAV installatie programma heeft geinstalleerd, kunt u ook -in plaats van het bijwerken van CON- FIG.SYS- een wijziging aanbrengen in het TBSTART.BAT bestand, door de 'secure' optie aan het TbCheck commando toe te voegen: C:\TBAV\TbDriver C:\TBAV\TbCheck secure Voer TbSetup uit op het systeem: TbSetup C:\ Herstart het systeem door het intoetsen van <Ctrl>-<Alt>-<Del>. Van nu af aan zal TbCheck een effectieve barriere opwerpen tegen die gebrui- kers, die trachten software te draaien die niet eerst door TbSetup is geautoriseerd. Zodra iemand een ongeautoriseerd programma probeert te laden, toont TBAV de volgende boodschap: +---------- TBAV interception ---------+ | WAARSCHUWING! | | Het gevraagde programma (GAME.EXE) | | is niet geauthoriseerd | | en kan niet worden opgestart. | | Druk op een willekeurige toets... | +--------------------------------------+ 4. Beperk toegang van gebruikers De meeste TBAV utilities zijn interactief. Zij vereisen de communicatie met een ter zake kundige gebruiker, zodat in elke willekeurige situatie de juiste actie wordt ondernomen. Veel organisaties wensen echter dat de systeembeheerder de enige functionaris is die met TBAV mag communiceren, om zodoende mogelijk verkeerde beslissingen uit te sluiten. Daarom be- schikken de meeste TBAV utilities over de optie 'secure'. Is deze optie gespecificeerd, dan is elke interactie met gebruikers uitgesloten. Met andere woorden, aan gebruikers zal in dat geval nooit om toestemming gevraagd worden om discutabele operaties uit te voeren. Tevens is het dan niet meer mogelijk om de TBAV utilties uit te zetten dan wel uit het geheugen te verwijderen. II - 4 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II 5. Gebruik nooit 'vreemde' diskettes om te starten Start alleen van uw harde schijf of van uw originele DOS diskette. Gebruik NOOIT de diskette van een ander om op te starten. Heeft uw PC een harde schijf, zorg dan dat u het diskettestation heeft geopend voordat u het systeem opstart of reset. 6. Gebruik ChkDsk regelmatig Gebruik het DOS programma ChkDsk regelmatig (zonder /F switch). ChkDsk kan virussen opsporen die de disk structuur op incorrecte wijze verande- ren, en zodoende disk fouten veroorzaken. Let op veranderingen in het gedrag van de software op uw PC. Elke gedragswijziging is verdacht, tenzij u de oorzaak kent. Enige zeer verdachte symptomen zijn: - De hoeveelheid beschikbaar geheugen is verminderd. - Het uitvoeren van programma's kost meer tijd. - Programma's werken niet zoals zij behoren te werken, of laten het systeem hangen of rebooten de PC na enige tijd. - Gegevens verdwijnen of raken beschadigd. - De grootte van een of meer programma's is toegenomen. - Het scherm gedraagt zich vreemd, of vreemde informatie wordt op het scherm getoond. - ChkDsk signaleert veel fouten. II - 5 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II 2. Wat te doen als een virus toeslaat 2.1. Het opsporen van virussen Het eerste wat u moet doen als u vermoedt dat uw systeem is besmet, is onmiddellijk een back-up maken van alle belangrijke bestanden. Gebruik nieuwe back-up media en overschrijf geen bestaande back-up set. U heeft de laatste set wellicht nodig om verloren of beschadigde bestanden te vervangen. Geef de nieuwe back-up op het etiket het kenmerk "ONBETROUW- BAAR" mee. Sommige bestanden kunnen immers besmet zijn! Zodra u een virus of een besmetting vermoedt is het een absolute nood- zaak dat u uitsluitend opstart vanaf een betrouwbare tegen schrijven beveiligde recovery systeem diskette. Herken de symptomen Start vervolgens TbScan om een indicatie te krijgen van de problemen, of start op vanaf de recovery diskette en vergelijk de systeembestanden met die van de harde schijf om mogelijke veranderingen te kunnen signaleren. Denk eraan dat u tijdens deze test alleen programma's opstart die staan op de systeemdiskette. Als TbScan een virus herkent, zal de naam worden getoond. Gaat het om een onbekend virus, dan wordt er een overzicht gegeven van bestandswij- zigingen die zich hebben voorgedaan: TbScan alldrives logname=lpt1 log Maak ook gebruik van TbUtil om de bootsector, de partitie code en de CMOS configuratie te controleren: TbUtil compare Voer geen enkel programma uit vanaf de harde schijf om te voorkomen dat een virus het geheugen in bezit neemt en zodoende in staat is testresul- taten te maskeren. TbCheck geeft u een waarschuwing wanneer u per ongeluk probeert een besmet of ongeautoriseerd programma vanaf de harde schijf probeert te laden. Houd in gedachte dat het in de aard van een virus ligt om zoveel moge- lijk programma's in een zo kort mogelijke tijd te besmetten. Indien uw schijf -vrijwel- constant in gebruik is, dan is het niet waarschijnlijk dat u slechts een paar besmette programma's zult aantreffen. Als TbScan een alarmering geeft op niet meer dan een procent van de bestanden op een veelgebruikt systeem, dan gaat het waarschijnlijk om een vals alarm dat niets met een echte virusbesmetting te maken heeft. II - 6 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II Als de resultaten van de vergelijkingstest aangeven dat alle bestanden onveranderd zijn, dan weet u in ieder geval zeker dat het niet om een bestandsvirus gaat. Gebruik de kopie waarmee u een besmet systeem heeft gescand niet meer op een ander systeem nadat u een virus heeft ontdekt. TbScan voert een zogenaamde 'sanity check' wanneer het programma wordt gestart. Helaas kan software nooit 100 procent virus-resistent worden gemaakt. Een sanity check werkt niet, wanneer het een virus van het 'stealth' type betreft. Een stealth virus kan zichzelf volledig verbergen wanneer een zelfcontrole wordt uitgevoerd. Het betreft hier dus geen tekortkoming van TbScan. De onmogelijkheid om stealth virussen te traceren geldt voor alle software die een sanity check uitvoert. Daarom adviseren wij om een schone versie van TbScan op een schrijf-beschermde diskette te bewaren. Gebruik deze diskette om andere machines te controleren als u op uw eigen systeem een virus heeft ontdekt. Identificeer de kenmerken Virussen treden in veel verschillende vermommingen op. Ieder van hen heeft zijn eigen bijzonderheden. Het is buitengewoon belangrijk om zo snel mogelijk te weten met welke virussoort u te maken heeft. Dat geeft u tenminste enige aanwijzing van de aard en de omvang van de schade die mogelijk al is toegebracht. Sommige virussen besmetten alleen programmabestanden, die snel en gemakkelijk opnieuw geinstalleerd of vervangen kunnen worden vanaf een schone bron. Andere virussen strooien hier en daar met losse bytes op willekeurige plaatsen op de schijf, waarbij zij ook databestanden kunnen beschadigen. De gevolgen blijven vaak gedurende enige tijd onopgemerkt. Dan zijn er de virussen die de partitietabel of de file allocation tabel beschadigen, terwijl de nog schadelijker virussen, de multipartite virussen, op verschillende gebieden actief zijn. Wat u ook doet, raak niet in paniek! Een onervaren gebruiker die in verwarring reageert, richt vaak nog meer schade aan dan het virus zelf, zoals het in no-time verwijderen van belangwekkende gegevens. Alhoewel een direct disk format u direct en voorgoed van een virus afhelpt, bent u ook al uw recente gegevens in een klap kwijt! Heeft u een virus geisoleerd, neem dan contact op met uw support Bulle- tin Board, raadpleeg literatuur over computervirussen, of neem contact op met een virusexpert. 2.2. Herstellen van een besmetting Wanneer u probeert de gevolgen van een virusbesmetting te herstellen, is het uitermate belangrijk dat u uitsluitend van een schone tegen schrij- ven beveiligde systeem diskette opstart. Dit is de enige manier om een II - 7 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel II virus weg te houden uit het geheugen van een PC. Run NOOIT een programma vanaf de harde schijf. Herstel de master bootsector en de DOS systeembestanden op de harde schijf, door vanaf de systeemdiskette het SYS commando te gebruiken. Als de bootsector of de partitie code een virus bevatten, kunt u ook TbUtil gebruiken om de virussen te verwijderen door schone sectoren terug te zetten: TbUtil restore Veel nieuwere harde schijven, m.n. IDE of AT drives die geavanceerde preformatting methodes gebruiken, zijn low-level geformatteerd door de leverancier, klaar voor partitionering en een DOS format. Probeer nooit om zelf een low-level format uit te voeren op deze schijven. Het is altijd beter om met een utility als TbUtil een back-up van de partitie- tabel te maken, die voor u de partitietabel kan terugzetten zonder opnieuw te formatteren. Is een virus geidentificeerd als een bestandsvirus, dan is de veiligste werkwijze om de besmette bestanden te verwijderen met TbDel en vervol- gens de programmabestanden opnieuw te installeren vanaf een schone bron. Een virus cleaning utility, zoals TbClean, kan niet altijd een oorspron- kelijk programmacode volledig reconstrueren en dient alleen als laatste redmiddel te worden gebruikt, wanneer u niet kunt terugvallen op een betrouwbare back-up. Het kan noodzakelijk zijn om ook de gegevensbestan- den terug te zetten, als het betreffende virus ook als gegevensvernieti- ger bekend staat. Nadat u zich ervan heeft overtuigd dat het systeem absoluut schoon is, controleert u alle diskettes en back-ups om elk spoor van een virus te verwijderen. Besef dat slechts een geinfecteerde diskette voldoende is om dezelfde ellende nogmaals te veroorzaken. II - 8 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III DEEL III. Het gebruik van TBAV 1. TbScan 1.1. De functie van TbScan TbScan is een virusscanner, ontwikkeld om virussen, Trojan Horses en andere soortgelijke bedreigingen van uw waardevolle data op te sporen. De meeste virussen bestaan uit een unieke reeks instructies, die de handtekening van het virus wordt genoemd. Door nu op het voorkomen van dergelijke handtekeningen in een bestand te controleren, kunnen we vaststellen of een programma al dan niet besmet is. Het aftasten van alle programmabestanden op de handtekeningen van alle bekende virussen helpt u snel te ontdekken of uw systeem besmet is en, indien dat zo is, met welk virus. Snel Scannen TbScan is de snelste scanner op de markt en kan door gebruikers gemakke- lijk elke ochtend vanuit de AUTOEXEC.BAT worden gestart. TbScan controleert zichzelf tijdens het starten. Als het programma signaleert dat het zelf is besmet, zal het de verwerking staken en verlaat u het programma met een foutmelding. Dit minimaliseert het risico dat TbScan een virus overbrengt en uw systeem besmet. Heuristisch scannen TbScan kan onbekende virussen opsporen. De ingebouwde disassembler is in staat om verdachte instructies en abnormale programma lay-outs te ontdekken. Deze faciliteit wordt 'heuristisch scannen' genoemd, een functie die default steeds geactiveerd is in het programma. Heuristische scanning wordt verricht op bestanden en op bootsectors. => Hierbij dient te worden opgemerkt dat virusscanners u alleen kunnen vertellen of uw systeem al dan niet besmet is en er dus al schade is aangericht. In dat kan alleen nog een niet-besmette back-up of een her- stelprogramma als TbClean een virus te lijf gaan. Structurele aanpak Elke PC eigenaar zou met grote regelmaat een virusscanner moeten gebrui- ken. Het is de minimale voorzorg die men kan nemen om schade door virusbesmetting te vermijden. Het is derhalve aan te bevelen om zelf een schema op te stellen voor een regelmatige scan van uw gehele computer- systeem. In dat verband is ook het aanmaken van een speciale TbScan boot diskette raadzaam. II - 1 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III De volgende scan sessies (in volgorde van prioriteit) worden aangeraden: - Voer TbScan een keer per week uit vanaf een write-protected boot- able diskette. Start op vanaf de diskette voordat u de scanner start. Het opstarten vanaf diskette is de enige manier om met zekerheid te voorkomen dat stealth virussen resident in het geheu- gen komen. - Voer een dagelijkse scan uit. U kunt TbScan in de autoexec.bat opnemen met de 'once' optie, waardoor het programma automatisch elke dag een keer wordt uitgevoerd. Deze dagelijkse scan hoeft niet vanaf de bootable TbScan diskette plaats te vinden. - Scan nieuwe diskettes. 1.2. Hoe gebruikt u Tbscan? Voor het dagelijks gebruik kunt u TbScan activeren door het programma vanaf de commandoregel te starten (bijv. in de autoexec.bat of in het TbStart.Bat bestand), of via het TBAV menu. Voor wekelijks gebruik, wanneer u TbScan vanaf diskette draait, kunt u het DOS commando gebrui- ken. De opties die u aan het DOS start-commando kunt toevoegen worden toegelicht in paragraaf 1.3 van dit hoofdstuk. Het 'TbScan' menu +----Main menu-----+ | Confi+----TbScan menu-----+ | TbSet| Start scanning >| | TbSca| Options menu >| | TbUti| Advanced options >| | TbCLe| If virus found >| | TBAV | Log file menu >| | Docum| View log file | | Regis+--------------------+ | Quit and save | | eXit (no save) | +------------------+ View log file Als een van de log-bestand opties is geactiveerd (zie hierna), kunt u dat log-bestand bekijken na selectie van deze optie. The 'Path' menu +----Main menu-----+ III - 2 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III | Confi+----TbScan menu-----+ | TbSet| Start+---------Path menu----------+ | TbSca| Optio| Specified files/paths | | TbUti| Advan| Current directory | | TbCle| If vi| Diskette in drive A: | | TBAV | Log f| Diskette in drive B: | | Docum| View | All fixed Drives | | Regis+-------| All fixed Local drives | | Quit and save| All fixed Network drives | | eXit (no save+----------------------------+ +------------------+ Dit menu kan er anders uitzien, afhankelijk van uw gebruik van .SCN (configureerbare scan) bestanden. Bovenstaand menu krijgt u te zien indien er geen .SCN bestanden worden aangetroffen. Specified files/paths Deze optie biedt u altijd een invoerveld waarin u de schijven, paden of zelfs bestanden kunt opgeven die u wilt scannen. U kunt meerdere items opgeven door ze met spaties te scheiden. Dit veld wordt geinitialiseerd met het laatst gescande path voor u de configuratie opsloeg. Current directory Selecteer deze optie indien u de directory wilt scannen van waaruit u de TBAV menuschil opstartte. Diskette in drive A: (or B:) Indien u meerdere diskettes wilt scannen kunt u in het 'TbScan options' menu de optie 'repeat' aanzetten. All fixed drives Deze optie zorgt ervoor dat alle vaste schijven volledig worden gescan- ned. Afhankelijk van de instelling in het TBAV configuratiemenu wordt u gevraagd de geselcteerde schijven te bevestigen. All fixed Local drives Indien u bent verbonden met een netwerk wilt u waarschijnlijk niet altijd het gehele netwerk scannen. Met deze optie scant u slechts de schijven die zich in uw machine bevinden. Afhankelijk van de instelling in het TBAV configuratiemenu wordt u gevraagd de geselcteerde schijven te bevestigen. III - 3 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III All fixed Network drives Met deze optie scant u alle netwerk schijven. Afhankelijk van de instel- ling in het TBAV configuratiemenu wordt u gevraagd de geselecteerde schijven te bevestigen. Het 'TbScan opties' menu +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-----TbScan options------+ | TbSca| Optio| Use TBAV.INI file | | TbUti| Advan| Prompt for pause | | TbCLe| If vi| Quick scan | | TBAV | Log f| Non-executable scan | | Docum| View | Maximum Compatibility | | Regis+-------|v Bootsector scan | | Quit and save|v Memory scan | | eXit (no save| HMA scan forced | +---------------|v Upper memory scan | |v Windows-OS/2-virus scan| |v Sub-Directory scan | | Repeat scanning | |v Abort on Ctrl-Break | |v Fast scrolling | +-------------------------+ Use TBAV.INI file Door het activeren van deze optie zullen de TbScan configuratiewaarden in het TBAV.INI bestand ook worden gebruikt wanneer TbSetup vanaf de DOS commandoregel wordt gestart. Speciale aandacht is gewenst, omdat de in TBAV.INI gespecificeerde opties niet op de commandoregel ongedaan kunnen worden gemaakt. Zie hoofdstuk I-2. TbScan zoekt het configuratiebestand in de TbScan directory. Prompt for pause Activeert u de optie 'pause', dan zal TbScan pauzeren zodra een window met informatie gevuld is. U krijgt daarmee de gelegenheid om de resulta- ten te beoordelen zonder achteraf het logbestand te hoeven raadplegen. Quick scan TbScan gebruikt de Anti-Vir.Dat bestanden om bestandswijzigingen ten opzichte van de laatste scan te kunnen opmerken. Uitsluitend gewijzigde bestanden (CRC wijziging) of bestanden die nog niet in het Anti-Vir.Dat III - 4 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III bestand zijn opgenomen, worden gescand. Normaal gesproken zal TbScan altijd de bestanden scannen. Non-executable scan Met deze optie zal TbScan ook niet-programmabestanden (bestanden met het achtervoegsel COM, EXE, SYS of BIN) scannen. Als TbScan ontdekt dat een dergelijk bestand niets bevat dat als programma door de processor kan worden uitgevoerd, wordt het programma overgeslagen. Is dat wel het geval, dan zal TbScan het bestand doorzoeken op de aanwezigheid van COM, EXE en SYS handtekeningen. TbScan zal echter geen heuristische analyse op deze niet-programmabestanden uitvoeren. Daar virussen normaal gesproken geen niet-programmabestanden infecteren, is het niet nodig om ook deze bestanden te scannen. Wij raden u derhalve aan deze optie niet te gebruiken, tenzij u daarvoor een goede reden heeft. Nogmaals: een virus moet als programma uitgevoerd worden om te doen waarvoor het is geprogrammeerd. Omdat niet-programmabestanden niet kunnen worden uitgevoerd, kan een virus in zo'n bestand niets doen. Om die reden proberen virussen niet eens in deze bestanden door te dringen. Sommige virussen zullen echter toch in niet-programmabestanden schrij- ven, als gevolg van 'incorrect' programmeren. Deze bestanden zullen weliswaar nooit andere bestanden kunnen besmetten, de inhoud is echter wel onbetrouwbaar geworden. Maximum compatibility Als u deze optie selecteert zal TbScan proberen meer compatibel met uw systeem te zijn. Gebruik deze optie als TbScan zich niet gedraagt zoals u zou verwachten, of uw systeem zelfs 'ophangt'. Deze optie zal de scanning procedure wel vertragen. U dient de optie derhalve alleen te selecteren indien strikt noodzakelijk. Deze optie zal de resultaten van het scannen niet beinvloeden. Bootsector scan Door deze optie te activeren laat u TbScan ook de bootsector scannen. Memory scan Activeert u deze optie, dan zal TbScan het geheugen van de PC aftasten. III - 5 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III HMA scan forced TbScan signaleert de aanwezigheid van een XMS-driver, en tast automa- tisch het HMA af. Als u over een HMA-driver beschikt, die niet compati- bel is met de XMS standaard, kunt u de 'HMA' optie gebruiken om TbScan toch te dwingen HMA te scannen. Upper memory scan Als default signaleert TbScan RAM boven de DOS limiet en scant deze ook. Dit betekent dat video geheugen en de huidige EMS pagina's als default wel worden meegenomen in de scan. Door de selectie van deze optie deactiveert u deze functie. Windows-OS/2-virus scan TbScan zoekt ook naar Windows en OS/2 virussen. Hoewel er slechts een paar van dit soort virussen zijn kost het TbScan relatief gezien veel tijd om deze op te sporen. Gebruikt u geen Windows of OS/2 dan kunt u het scannen versnellen door niet meer naar Windows en OS/2 virussen te zoeken. Subdirectory scan Als default zoekt TbScan ook in sub-directory's naar programmabestanden, tenzij u een bestandsnaam (evt. met wildcards) opgeeft. Selecteert u deze optie, dan zal TbScan ook sub-directories scannen. Repeat scanning Deze optie is erg handig indien u een grote hoeveelheid diskettes wilt scannen. TbScan zal niet terugkeren naar het menu of naar DOS na het scannen van een diskette, maar zal u vragen om een volgende diskette in het station te plaatsen. Abort on Ctrl-Break U kunt deze optie afzetten indien u TbScan niet wilt kunnen afbeken. Fast scrolling TbScan laat de gescande bestanden zien in een scrollend venster. Er zijn twee manieren om te scrollen: snel scrollen waarbij de bestanden iedere keer weer opnieuw van boven naar beneden worden afgedrukt, of langzaam scrollen waarbij de nieuwe bestanden onderaan het venster de oude III - 6 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 'omhoog drukken'. Standaard gebruikt TbScan de snellere maar minder fraaie manier van scrollen. Het 'TbScan advanced options' menu +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+------TbScan advanced options-----+ | TbSca| Optio| High heuristic sensitivity | | TbUti| Advan|v Auto heuristic sensitivity | | TbCLe| If vi| Low heuristic sensitivity | | TBAV | Log f| Extract signatures | | Docum| View | Configure executable extensions | | Regis+-------+----------------------------------+ | Quit and save | | eXit (no save) | +------------------+ High heuristic sensitivity TbScan voert altijd een heuristische scan uit op de opgegeven bestanden. Een bestand wordt echter pas als 'besmet' aangemeld, wanneer het naar alle waarschijnlijkheid met een virus is besmet. Indien u de optie 'heuristic' gebruikt, is TbScan wat gevoeliger. In deze stand worden 90% van de nieuwe, onbekende virussen opgespoord zonder gebruikmaking van de handtekening. Deze stand kan wel enige valse alarmeringen veroorzaken. Raadpleeg ook de paragraaf 'Heuristisch scannen' in dit hoofdstuk (paragraaf 3.1). Auto heuristic sensitivity TbScan past automatisch het heuristische detectie niveau aan nadat een virus is gevonden. Dat verzekert u van maximale detectie capaciteit op het moment dat u het nodig heeft, terwijl de hoeveelheid valse meldingen in normale situaties klein blijft. M.a.w.: zodra een virus is aangetrof- fen zal TbScan daarop anticiperen en verdergaan alsof de optie 'heu- ristic' gespecificeerd is. Low heuristic sensitivity In deze modus geeft TbScan nooit vals alarm, maar detecteert toch nog 50% van de nieuwe en dus onbekende virussen. III - 7 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Extract signatures Deze optie is alleen beschikbaar voor geregistreerde gebruikers. In hoofdstuk IV - 5 ('TbGensig') kunt u lezen hoe u deze optie dient te gebruiken. Configure executable extensions Normaal gesproken scant TbScan alleen bestanden die een uitgang hebben waaruit kan worden afgeleid dat het om een programma gaat. Virussen die geen uitvoerbare bestanden besmetten bestaan niet. Bestanden met de uitgangen EXE, COM, BIN, SYS, OV? worden als uitvoerbaar beschouwd. Er zijn echter enkele ander bestanden die ook een interne structuur hebben gelijk aan een uitvoerbaar bestand. Hoewel het onwaarschijnlijk is dat u deze bestanden ooit uitvoert kan het zijn dat u ze toch wilt scannen. Sommige uitgangen die kunnen duiden op een uitvoerbaar formaat zijn: .DLL.SCR.MOD.CPL.00?.APP De eerste vier uitgangen worden gebruikt voor Windows bestanden. Deze tonen normaal gesproken de melding "This program requires Microsoft Windows" wanneer u ze tracht uit te voeren, dus u zult ze waarschijnlijk niet onder DOS aanroepen. Daarom scant TbScan deze bestanden normaal ook niet. Wilt u dit toch, selecteer dan bovengenoemde optie en vul de uitgangen in die u wenst te scannen. De vraagteken-joker is toegestaan. Waarschuwing! Wees voorzichtig met de uitgangen die u opgeeft: een onuitvoerbaar bestand scannen geeft onvoorspelbare resultaten en kan resulteren in valse alarmeringen. Het 'If virus found' menu In dit menu kunt u instellen welke acties TbScan moet ondernemen indien een virus wordt aangetroffen. +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+--What if a virus is found?--+ | TbSca| Optio|v Present action menu | | TbUti| Advan| Just continue (log only) | | TbCLe| If vi| Delete infected file | | TBAV | Log f| Kill infected file | | Docum| View | Rename infected file | | Regis+-------+-----------------------------+ | Quit and save | | eXit (no save) | +------------------+ III - 8 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Present action menu Als TbScan een virus waarneemt zal TbScan een scherm met de mogelijke acties tonen: doorgaan, verwijderen of hernoemen. Just continue (log only) Ziet TbScan een besmet bestand, dan zal het de gebruiker vragen het betreffende bestand te verwijderen of te hernoemen, of door te gaan zonder enige actie te ondernemen. Indien u deze optie selecteert, gaat TbScan altijd verder zonder enige vraagstelling. Wij adviseren u om, indien u deze optie gebruikt, te allen tijde een log-bestand te gebrui- ken. Een scanning operatie heeft niet veel zin wanneer de resultaten niet worden bekeken. Delete infected file Als u de 'delete' optie activeert zal TbScan automatisch aangetroffen besmette bestanden verwijderen, zonder vraagstelling vooraf. Gebruik deze optie alleen als u een besmetting op uw systeem heeft waargenomen. Zorg vooraf voor een schone back-up, en overtuig u er vooraf van dat u de besmette bestanden inderdaad wilt verwijderen. Kill infected file Deze optie is nagenoeg hetzelfde als de 'delete' optie. Het enige verschil is dat u met de optie 'Kill' gewiste bestanden niet meer kunt terughalen met programma's zoals 'Undelete'. Rename infected file Als de 'rename' optie is geselecteerd zal TbScan automatisch de naam van het besmette bestand veranderen, zonder vraagstelling vooraf. Als default zal het programma de eerste letter van het achtervoegsel vervan- gen door de letter 'V'. Een .EXE bestand wordt dus '.VXE', een .COM bestand '.VOM'. Dit voorkomt dat besmette programma's nog kunnen worden uitgevoerd en de besmetting verder verspreiden. Tevens bewaart u ze om de virussen later te kunnen bestuderen en (eventueel) te herstellen. III - 9 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Het 'TbScan LOG' menu +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-------TbScan LOG menu-------+ | TbSca| Optio| Log file path/name | | TbUti| Advan| Output to log file | | TbCLe| If vi| Specify log-level >| | TBAV | Log f| Append to existing log | | Docum| View | No heuristic descriptions | | Regis+-------+-----------------------------+ | Quit and save | | eXit (no save) | +------------------+ Output to log file Door middel van deze optie zal TbScan tijdens het scannen een logbestand aanmaken. In het logbestand worden alle besmette bestanden vastgelegd, gevolgd door de heuristische vlaggen (zie appendix B) en volledige padnamen. Log file path/name Met de optie logname kunt u plaats en naam van het logbestand opgeven. TbScan maakt het bestand aan in de huidige directory, tenzij u hier een andere locatie opgeeft. Wilt u de resultaten afdrukken, dan kunt u in plaats van een bestandsnaam een printer specificeren (logname=lpt1). => NB: u moet deze optie combineren met de 'log' optie. Append to existing log Door het activeren van deze optie zal TbScan een bestaand bestand niet overschrijven maar de nieuwe informatie aan het bestaande bestand toevoegen. Indien u deze optie vaak gebruikt, raden wij u aan om het logbestand regelmatig te verwijderen of op te schonen, om excessieve groei te voorkomen. => NB: u moet deze optie combineren met de optie 'log'. No heuristic descriptions Als u deze optie activeert zal TbScan de omschrijving van de heuristi- sche vlaggen niet in het logbestand vermelden. Een toelichting op de heuristische vlaggen vindt u in appendix B. III - 10 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Het 'LOG level' menu +----Main menu-----+ | Confi+------TbScan menu------+ | TbSet| Start+-------TbScan LOG menu-------+ | TbSca| Optio| Log f+--------Log-level menu--------+ | TbUti| Advan| Outpu| 0: Log only infected files | | TbCLe| If vi| Speci|v 1: Log summary too | | TBAV | Log f| Appen| 2: Log suspected too | | Docum| View | No he| 3: Log all warnings too | | Regis+-------+-------| 4: Log clean files too | | Quit and save | +------------------------------+ | eXit (no save) | +------------------+ Loglevel Deze niveaus bepalen welke soort informatie in het logbestand wordt opgeslagen. Het default niveau is 1. U kunt hier kiezen uit vijf ni- veaus: 0 Log only infected files. Als er geen besmette bestanden worden aangetroffen, wordt het logbestand niet aangemaakt of gewijzigd. 1 Log summary too. Voeg een samenvatting en een 'timestamp' toe aan het logbestand. Plaats alleen besmette bestanden in het bestand. 2 Log suspected too. Idem als loglevel=1, maar nu worden ook 'ver- dachte' bestanden geregistreerd. Dit zijn bestanden die worden opgemerkt als de optie 'heuristisch' is geactiveerd. 3 Log all warnings too. Idem als loglevel=2, maar alle bestanden die een waarschuwingsteken achter de naam hebben worden ook geregis- treerd. 4 Log clean files too. Alle files die door TbScan worden onderzocht, worden in het logbestand geregistreerd. 1.3. Commandoregel opties TbScan staat toe dat opties op de DOS commandoregel worden gespecifi- ceerd. Het programma herkent zowel de korte als de lange notatie van opties. TbScan zoekt naar een bestand TBAV.INI in de TbScan directory. Als het keyword 'UseIni' in het [TbScan] gedeelte van dit bestand is geactiveerd, zullen de daarin gespecificeerde opties ook geldig zijn als TbScan vanaf de commandoregel wordt gestart. Hierbij is enige voor- zichtigheid op zijn plaats, omdat de opties in TBAV.INI niet op de commandoregel ongedaan kunnen worden gemaakt. III - 11 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III optie parameter short verklaring ------ ---------------- ------ ----------------------------- help he help pause pa activeer 'Pause' prompt mono mo forceer monochroom quick qs snelle scan allfiles af ook niet-prog.bestanden scannen alldrives ad scan alle lokale vaste schijven allnet an scan alle netwerk vaste schijven heuristic hr activeer heuristische alarmering extract ex onttrek handtekening once oo een scan per dag slowscrol ss gebruik conventioneel scrollen secure se geen gebruikersinterventie compat co maximum-compatibiliteit modus ignofile in negeer geen-bestandfout old ol geen waarschuwing als TbScan oud is noboot nb geen bootsector controle nomem nm geen geheugen controle hma hm scan ook HMA nohmem nh geen UMB/HMA scan nosub ns geen sub-directories scannen noautohr na pas heuristisch niveau aan nowin nw zoek niet naar Windows/OS2 virussen repeat rp scan meerdere diskettes batch ba batch modus. Geen interactie delete de verwijder besmette bestanden kill ki overschrijf en wis besmette bestanden log lo output naar logbestand append ap nieuwe informatie toevoegen expertlog el geen heuristische omschrijvingen in log logname =<bestandsnaam> ln geef pad/naam in van logbestand loglevel =<0..4> ll geef log niveau aan wait =<0...255> wa aantal kloktikken vertraging rename [=<tekst-masker>] rn hernoem besmette bestanden exec =.<ext-mask> ee specificeer uitvoerbare uitgangen help (he) Met deze optie roept u het bovenstaande optie-overzicht op. pause (pa) Activeert u de optie 'pause', dan zal TbScan pauzeren zodra een window met informatie gevuld is. U krijgt daarmee de gelegenheid om de resulta- ten te beoordelen zonder achteraf het logbestand te hoeven raadplegen. mono (mo) Door het toevoegen van deze optie wordt TBAV monochroom weergegeven. Deze instelling is met name van belang voor een goede weergave op laptop computers (LCD schermen) en kleur emulerende monochroom systemen. III - 12 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III quick (qs) TbScan gebruikt de Anti-Vir.Dat bestanden om bestandswijzigingen ten opzichte van de laatste scan te kunnen opmerken. Uitsluitend gewijzigde bestanden (CRC wijziging) of bestanden die nog niet in het Anti-Vir.Dat bestand zijn opgenomen, worden gescand. Normaal gesproken zal TbScan altijd de bestanden scannen. allfiles (af) Met deze optie zal TbScan ook niet-programmabestanden (bestanden met het achtervoegsel COM, EXE, SYS of BIN) scannen. Als TbScan ontdekt dat een dergelijk bestand niets bevat dat als programma door de processor kan worden uitgevoerd, wordt het programma overgeslagen. Is dat wel het geval, dan zal TbScan het bestand doorzoeken op de aanwezigheid van COM, EXE en SYS handtekeningen. TbScan zal echter geen heuristische analyse op deze niet-programmabestanden uitvoeren. Daar virussen normaal gespro- ken niet-programmabestanden niet infecteren, is het niet nodig om ook deze bestanden te scannen. Wij raden u derhalve aan deze optie niet te gebruiken, tenzij u daarvoor een goede reden heeft. Nogmaals: een virus moet als programma uitgevoerd worden om te doen waarvoor het is geprogrammeerd. Omdat niet-programmabestanden niet kunnen worden uitgevoerd, kan een virus in zo'n bestand niets doen. Om die reden proberen virussen niet eens in deze bestanden door te dringen. Sommige virussen zullen echter toch in niet-programmabestanden schrij- ven, als gevolg van 'incorrect' programmeren. Deze bestanden zullen weliswaar nooit andere bestanden kunnen besmetten, de inhoud is echter wel onbetrouwbaar geworden. alldrives (ad) Deze optie laat TbScan alle vaste schijven scannen. allnet (an) Deze optie laat TbScan alle netwerk schijven scannen. heuristic (hr) TbScan voert altijd een heuristische scan uit op de opgegeven bestanden. Een bestand wordt echter pas als 'besmet' aangemeld, wanneer het naar alle waarschijnlijkheid met een virus is besmet. Indien u de optie 'heuristisch' gebruikt, is TbScan wat gevoeliger. In deze stand worden 90% van de nieuwe, onbekende virussen opgespoord zonder gebruikmaking van de handtekening. Deze stand kan wel enige valse alarmeringen veroor- zaken. Raadpleeg ook de paragraaf 'Heuristisch scannen' in dit hoofdstuk (paragraaf 3.1). extract (ex) Deze optie is alleen beschikbaar voor geregistreerde gebruikers. In hoofdstuk IV - 5 ('TbGensig') kunt u lezen hoe u deze optie dient te gebruiken. once (oo) Als u de optie 'once' opgeeft onthoudt TbScan na het scannen dat het programma die dag is uitgevoerd en niet nogmaals gedraaid hoeft te III - 13 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III worden. Deze optie is vooral handig als u TbScan start vanuit het AUTOEXEC.BAT bestand in combinatie met een 'scan list' bestand (.SCN): TbScan @Everyday.Scn once rename TbScan zal nu de opgegeven bestandenlijst (everyday.Scn) elke dag scannen direct na het (voor het eerst) opstarten van het systeem. Deze optie verstoort het normale gebruik van TbScan niet. Als u TbScan later die dag start zonder de 'once' optie, zal het programma gewoon werken. Indien TbScan als 'read-only' is gemarkeerd zal deze optie niet werken. slowscroll (ss) Wanneer u deze optie opgeeft laat TbScan de bestanden op het scherm op de conventionele manier scannen. Dit is trager maar ziet er fraaier uit. secure (se) Deze optie is alleen beschikbaar voor geregistreerde gebruikers. Als de optie geactiveerd is, kan TbScan niet langer d.m.v. Ctrl-Break worden afgebroken en kan de gebruiker niet langer reageren op virus alarm window. compat (co) Als u deze optie selecteert zal TbScan proberen meer compatibel met uw systeem te zijn. Gebruik deze optie als TbScan zich niet gedraagt zoals u zou verwachten, of uw systeem zelfs 'ophangt'. Deze optie zal de scanning procedure wel vertragen. U dient de optie derhalve alleen te selecteren indien strikt noodzakelijk. Deze optie zal de resultaten van het scannen niet beinvloeden. ignofile (in) Is deze optie gespecificeerd en TbScan treft geen bestanden aan, zal het programma niet de 'geen bestanden gevonden' boodschap tonen noch zal het programma met een errorlevel 1 afgebroken worden. Deze optie kan handig zijn voor het automatisch scannen van diskettes of archieven. Worden er geen uitvoerbare bestanden aangetroffen, dan stopt TBScan zonder fout- melding. old (ol) Deze optie onderdrukt de melding die wordt gegeven wanneer TbScan is verouderd. noboot (nb) Specificeert u deze optie, dan zal TbScan de bootsector niet scannen. nomem (nm) Specificeert u deze optie, dan zal TbScan het geheugen van de PC niet scannen. hma (hm) TbScan signaleert de aanwezigheid van een XMS-driver, en tast automa- tisch het HMA af. Als u over een HMA-driver beschikt, die niet compati- III - 14 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III bel is met de XMS standaard, kunt u de 'HMA' optie gebruiken om TbScan toch te dwingen HMA te scannen. nohmem (nh) Als default signaleert TbScan RAM boven de DOS limiet en scant deze ook. Dit betekent dat het video geheugen en de huidige EMS pagina's als default wel worden meegenomen in de scan. Door specificatie van deze optie de-activeert u deze functie. nosub (ns) Als default zoekt TbScan ook in sub-directory's naar programmabestanden, tenzij u een bestandsnaam (evt. met wildcards) opgeeft. Specificeert u deze optie, dan zal TbScan geen sub-directories scannen. noautohr (na) TbScan past automatisch het heuristische detectieniveau aan nadat een virus is gevonden. Dat verzekert u van maximale detectieapaciteit op het moment dat u het nodig heeft, terwijl de hoeveelheid valse meldingen in normale situaties klein blijft. M.a.w.: zodra een virus is aangetroffen zal TbScan daarop anticiperen en verdergaan alsof de optie 'heuristisch' gespecificeerd is. Als u dit niet wilt, geeft u dat aan door middel van deze optie. nowin (nw) TbScan zoekt ook naar Windows en OS/2 virussen. Hoewel er slechts een paar van dit soort virussen zijn kost het TbScan relatief gezien veel tijd om deze op te sporen. Gebruikt u geen Windows of OS/2 dan kunt u het scannen versnellen door niet meer naar Windows en OS/2 virussen te zoeken. repeat (rp) Deze optie is erg handig indien u een grote hoeveelheid diskettes wilt scannen. TbScan zal niet terugkeren naar het menu of naar DOS na het scannen van een diskette, maar zal u vragen om een volgende diskette in het station te plaatsen. batch (ba) Door middel van deze optie wordt uitgevoerd zonder dat er meldingen op het scherm zullen worden getoond. Derhalve is het gebruik van een log- bestand essentieel. delete (de) Als u de 'delete' optie activeert zal TbScan automatisch aangetroffen besmette bestanden verwijderen, zonder vraagstelling vooraf. Gebruik deze optie alleen als u een besmetting op uw systeem heeft waargenomen. Zorg vooraf voor een schone back-up, en overtuig u er vooraf van dat u de besmette bestanden inderdaad wilt verwijderen. kill (ki) Deze optie is nagenoeg hetzelfde als de 'delete' optie. Het enige verschil is dat u met de optie 'Kill' gewiste bestanden niet meer kunt terughalen met programma's zoals 'Undelete'. III - 15 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III log (lo) Door middel van deze optie zal TbScan tijdens het scannen een logbestand aanmaken. In het logbestand worden alle besmette bestanden vastgelegd, gevolgd door de heuristische vlaggen (de hoofdletters; zie appendix B) en volledige padnamen. append (ap) Door het activeren van deze optie zal TbScan een bestaand bestand niet overschrijven maar de nieuwe informatie aan het bestaande bestand toevoegen. Indien u deze optie vaak gebruikt, raden wij u aan om het logbestand regelmatig te verwijderen of op te schonen, om excessieve groei te voorkomen. => NB: u moet deze optie combineren met de optie 'log'. expertlog (el) Als u deze optie activeert zal TbScan de omschrijving van de heuristi- sche vlaggen niet in het logbestand vermelden. Een toelichting op de heuristische vlaggen vindt u in appendix B. logname =<filename> (ln) Met de optie logname kunt u plaats en naam van het logbestand opgeven. TbScan maakt het bestand aan in de huidige directory, tenzij u hier een andere locatie opgeeft. Wilt u de resultaten afdrukken, dan kunt u in plaats van een bestandsnaam een printer specificeren (logname=lpt1). => NB: u moet deze optie combineren met de 'log' optie. loglevel =<0..4> (ll) Deze niveaus bepalen welke soort informatie in het logbestand wordt opgeslagen. Het default niveau is 1. U kunt hier kiezen uit vijf ni- veaus: 0 Log only infected files. Als er geen besmette bestanden worden aangetroffen, wordt het logbestand niet aangemaakt of gewijzigd. 1 Log summary too. Voeg een samenvatting en een 'timestamp' toe aan het logbestand. Plaats alleen besmette bestanden in het bestand. 2 Log suspected too. Idem als loglevel=1, maar nu worden ook 'ver- dachte' bestanden geregistreerd. Dit zijn bestanden die worden opgemerkt als de optie 'heuristisch' geactiveerd is. 3 Log all warnings too. Idem als loglevel=2, maar alle bestanden die een waarschuwingsteken achter de naam hebben worden ook geregis- treerd. 4 Log clean files too. Alle files die door TbScan worden onderzocht, worden in het logbestand geregistreerd. => NB: u moet deze optie combineren met de log optie. wait =<0..255> (wa) Deze optie kan worden gebruikt om TbScan te vertragen, hetgeen handig kan blijken wanneer u een druk bezet netwerk wilt scannen maar niet te III - 16 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III veel beslag wilt leggen op het netwerk. U dient het aantal kloktikken vertraging op te geven die u tussen iedere twee gescande bestanden wenst te hebben. rename [=<text-mask>] Als de 'rename' optie is geselecteerd zal TbScan automatisch de naam van het besmette bestand veranderen, zonder vraagstelling vooraf. Als default zal het programma de eerste letter van het achtervoegsel vervan- gen door de letter 'V'. Een .EXE bestand wordt dus '.VXE', een .COM bestand '.VOM'. Dit voorkomt dat besmette programma's nog kunnen worden uitgevoerd en de besmetting verder verspreiden. Tevens bewaart u ze om de virussen later te kunnen bestuderen en (eventueel) te herstellen. U kunt een parameter aan de optie toevoegen, waarmee u een ander achter- voegsel aangeeft. Deze parameter dient altijd drie karakters te bevat- ten, waarbij vraagtekens (wildcards) zijn toegestaan. exec =.<ext-mask> (ee) Met deze optie kunt u bestandsnaam uitgangen opgeven die duiden op een uitvoerbaar bestand. Indien u deze optie wenst te gebruiken wilt u deze waarschijnlijk opnemen in het configuratiebestand. Raadpleeg de uitleg bij de bijbehorende menu optie voor meer informatie. Voorbeelden TbScan c:\ noboot Scan alle programmabestanden in de root directory en alle sub-directo- ry's. Sla de bootsector scan over. TbScan \*.* Scan alle bestanden in de root directory. Scan geen sub-directory's. TbScan @Local.Scn /nomem Scan alle paden die zijn opgegeven in het bestand Local.Scn en sla het geheugenscannen over. TbScan c:\ log logname=c:\test.log loglevel=2 Alle programmabestanden op schijf C: worden gecontroleerd. Een logbe- stand met de naam c:\test.log zal aangemaakt worden. Dit logbestand bevat alle besmette en verdachte bestanden. TbScan \ log logname=lpt1 III - 17 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III TbScan zal de root directory en alle sub-directory's scannen. De resul- taten worden naar de printer gestuurd en niet naar een logbestand. 1.4. Het scanproces Kies de 'Start scanning' optie in het TbScan menu of start het TbScan programma vanaf de DOS commandoregel. TbScan zal direct met de verwer- king starten. +-------------------------------------------------------------------+ | Thunderbyte virus detector v6.03 - (C) 1989-1993, Thunderbyte B.V.| | | | TBAV wordt tenminste iedere twee iedere maanden bijgewerkt. | | Ondersteuning is beschikbaar voor alle geregistreerde gebruikers | | via telefoon, fax en/of electronisch bulletin board. | | | | C:\DOS\ | | ** Unregistered evaluation version. Do not forget to register! ** | | | | DOSSWAP.EXE looking...> c OK handtekeningen: 986 | | DOSSHELL.HLP skipping..> OK | | DOSSHELL.INI checking..> OK bestandssysteem: OWN | | DOSHELP.HLP skipping..> OK | | EDLIN.EXE looking...> c OK directories: 01 | | CHKLIST.CPS skipping..> OK bestanden: 77 | | ANSI.SYS scanning..> OK programma's: 68 | | CHKDSK.EXE looking...> c OK CRC gecontroleerd 00 | | DEBUG.EXE looking...> c OK veranderd: 00 | | EGA.SYS scanning..> c OK besmette items: 00 | | verstreken tijd: 00:05 | | Kb / seconde: 57 | +-------------------------------------------------------------------+ Het scherm is opgebouwd uit drie delen: een informatie-window, een scanning window en een status window. Het information window toont initieel informatie over de producent. Tijdens het scannen Wanneer TbScan een besmet bestand aantreft, worden de namen van het betreffende bestand en van het virus in het bovenste window getoond. Het window linksonder toont de namen van de bestanden die worden gescand, het gebruikte algoritme, en de heuristische vlaggen, en ten slotte een 'OK' aanduiding, of de naam van het opgespoorde virus. III - 18 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Voorbeeld NLSFUNC.EXE checking..> FU OK | | | | | | | resultaat | | heuristische vlaggen | gebruikte algoritme naam van het onderhavige bestand Op uw scherm ziet u achter elk bestand commentaar als: 'looking', 'checking', 'tracing', 'scanning' or 'skipping'. Deze aanduidingen verwijzen naar de verschillende algoritmen die gebruikt worden om een bepaald bestand te scannen. Ander commentaar dat TbScan hier kan tonen betreft de heuristische vlaggen. Raadpleeg hoofdstuk 1.3 ('Heuristische vlaggen') en appendix B voor meer informatie over deze waardschuwingstekens. Het window rechtsonder (3) is het status window. Het toont het aantal bestanden en directories dat is afgehandeld, en het aantal gevonden virussen. Het toont tevens welk bestandssysteem wordt gebruikt: "DOS" of "OWN". Deze laatste houdt in dat TbScan in staat is om DOS te passeren. Is dit het geval, dan leest TbScan alle bestanden rechtstreeks van schijf, teneinde een hogere mate van veiligheid en een hogere snelheid te bereiken. Het scan proces kan worden afgebroken door het indrukken van Ctrl-Break. Virussen opsporen Zodra een besmet programma wordt aangetroffen, toont TbScan de naam van dit virus. Indien u niet een van de opties 'log only', 'rename' of 'delete' heeft opgegeven, zal TbScan u vragen welke actie moet worden ondernomen. Als u kiest het bestand te hernoemen, wordt het eerste karakter van het achtervoegsel vervangen door de letter 'V'. Het pro- gramma kan nu niet meer worden uitgevoerd en kan dus geen (verdere) schade aanrichten. Wordt er een besmet bestand aangetroffen, dan toont TbScan een bood- schap: Besmet door [naam van virus] Het bestand is besmet door het genoemde virus. Is grap genaamd [naam van grap] Er bestaan enige programma's die een vi- rusbesmetting simuleren. Een zogenaamde 'joke' is volstrekt ongevaarlijk. Is trojan genaamd III - 19 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III [naam van trojan] Het bestand is een Trojaans Paard. Voer het programma niet uit, maar verwijder het van de schijf. Damaged by [naam van virus] Sommige virussen beschadigen bestanden. Zo'n beschadigd bestand bevat -in tegen- stelling tot een besmet bestand- geen vi- rus, maar is door het virus aangetast. Dropper of [naam van virus] Een 'dropper' is een programma dat zelf niet is besmet. Het programma bevat daar- entegen een bootsector virus en is in staat deze in uw bootsector te installe- ren. Overwritten by [name of virus] Sommige virussen overschrijven bestanden. Een overschreven bestand bevat -in tegen- stelling tot een besmet bestand- niet het virus zelf, maar is overschreven met rom- mel. Het is ook mogelijk dat TbScan een bestand tegenkomt dat besmet lijkt, hoewel er geen handtekening werd gevonden. In dit geval toont TbScan het voorvoegsel 'Probably' (waarschijnlijk) voor de boodschap. Programma validatie Als TbScan een bestand verdacht vindt, en het virus alert window toont, kunt u toekomstige meldingen vermijden door de letter 'V' (Valideer programma) in te toetsen. Deze functie werkt alleen indien er een Anti- Vir.Dat record van het betreffende bestand aanwezig is. Als een program- ma gevalideerd is zal het niet langer aan heuristische analyse worden onderworpen, tenzij het programma verandert en niet meer overeenkomt met het Anti-Vir.Dat record. Dit zal het geval zijn als een dergelijk programma naderhand besmet raakt. Derhalve zal TbScan te allen tijde in staat zijn om besmettingen van deze bestanden te melden. => NB: een gevalideerd programma wordt nog wel onderworpen aan de conventi- onele scanprocedure op basis van de handtekeningenlijst. Heuristisch scannen Heeft u de optie 'heuristisch' geactiveerd, dan zal TbScan naar alle waarschijnlijkheid een aantal bestanden aantreffen die er als een virus uitzien. In dit geval zal TbScan het voorvoegsel 'Might be' (mogelijk) gebruiken, om u op de hoogte te stellen. Dus wanneer TbScan toont: Waarschijnlijk besmet door onbekend virus (level 1) * of: III - 20 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Zou besmet kunnen zijn door onbekend virus (level 2) * betekent dit niet noodzakelijk dat het bestand besmet is. Er zijn nogal wat bestanden die er uitzien als een virus, maar het niet zijn. * De heuristische niveaus worden uitgelegd in paragraaf IV-3. Vals alarm => Belangrijk! Valse meldingen zijn een logisch gevolg van het heuristisch scannen. In de default stand is het zeer onwaarschijnlijk dat TbScan een vals alarm geeft. Heeft u echter de optie 'heuristisch' geactiveerd, dan kan een aantal valse meldingen voorkomen. Hoe gaat u daarmee om? Als TbScan een virus denkt te hebben aangetroffen, zal het u de reden van dit vermoeden geven. In de meeste gevallen zult u in staat zijn om deze argumenten op hun waarde te beoordelen, als u de functie van het betreffende bestand in ogenschouw neemt. => Virussen besmetten andere programma's. Het is zeer onwaarschijnlijk dat u slechts een beperkt aantal op een veelgebruikte harde schijf tegen- komt. U kunt het resultaat van een heuristische scan negeren als slechts een paar bestanden als verdacht worden aangemerkt. Gedraagt uw systeem zich echter op een vreemde wijze en veroorzaken veel programma's een alarm met dezelfde ernstige heuristische vlaggen, dan is de kans groot dat uw systeem is aangetast door een tot nu toe onbekend virus. Heuristische vlaggen Heuristische vlaggen bestaan uit enkele karaktertekens die achter de betreffende bestandsnaam worden getoond. Er zijn twee soorten vlaggen: de informatieve vlagen, die worden weergegeven in kleine letters; de vlaggen met een ernstiger duiding, die met een hoofdletter worden weergegeven. De kleine letter vlaggen geven een indicatie van bijzondere eigenschap- pen van het gescande bestand. De hoofdletter waarschuwingen kunnen een aanduiding voor de aanwezigheid van een virus zijn. Als het 'logniveau' 3 of hoger is, verschijnen de belangrijke waarschuwingen niet alleen als een waarschuwingsteken, maar wordt er in het logbestand ook een om- schrijving achter het betreffende teken getoond. Hoe gaat u met de vlaggen om? De minder belangrijke kleine letter vlaggen kunt u beschouwen als zuiver informatief. Zij verschaffen u bestandsinformatie die wellicht van belang voor u is. De meer ernstige waarschuwingsvlaggen, wijzen MOGELIJK op een virus. Het is vrij gewoon dat een beperkt aantal bestanden op uw systeem een hoofdletter vlag veroorzaken. III - 21 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Een toelichting op de heuristische vlaggen vindt u in appendix B. III - 22 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 2. TbScanX 2.1. De functie van TbScanX TbScanX is de residente versie van het TbScan programma, dat bestanden controleert op basis van een virus handtekeningenlijst. Veronderstel dat u een virusscanner automatisch laat scannen vanaf uw autoexec.bat. Wanneer er geen virussen gevonden worden, wordt uw systeem geacht onbesmet te zijn. Maar om er zeker van te zijn dat geen virus uw systeem zal besmetten, moet u de scanner activeren elke keer nadat er naar schijf gekopieerd, gedownload of ge(de-)archiveerd is. Denkt u dat u het zult volhouden om elke keer handmatig de scanner te starten nadat een nieuw bestand op de schijf is terechtgekomen? Als u dat namelijk niet consequent volhoudt neemt u het risico dat al uw bestanden binnen een paar uur met een virus zijn besmet.... Is TbScanX eenmaal geladen, dan blijft het programma resident in het geheugen en zal automatisch alle programma-bestanden scannen die u uitvoert of die u kopieert, genereert, download, wijzigt of de-archi- veert. Dezelfde benadering wordt gebruikt om uw systeem te beschermen tegen bootsector virussen: elke keer dat u een diskette in het diskettestation plaatst wordt de bootsector gescand. Is de schijf door een bootsector virus besmet, dan zal TbScanX u bijtijds waarschuwen! TbScanX is volledig netwerk compatibel. U hoeft de scanner niet opnieuw te laden nadat u op het netwerk bent ingelogd. 2.2. Hoe gebruikt u TbScanX? Omdat TbScanX geheugenresident is, kan het programma vanaf de DOS commandoregel of vanuit een batch bestand gestart en geconfigureerd worden. Het is belangrijk om TbScanX zo vroeg mogelijk na het opstarten te laden. Derhalve wordt u aangeraden om TbScanX te laden vanuit het Config.Sys bestand. => NB: TbScanX vereist dat TbDriver vooraf geladen is! TbScanX laden Er zijn drie mogelijkheden om TbScanX te laden: 1. Vanaf de DOS prompt of vanuit de Autoexec.Bat: <pad>TbScanX 2. Vanuit de Config.Sys als een TSR (Dos 4+): Install=<pad>TbScanX.Exe III - 23 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Het "Install=" Config.Sys commando is NIET beschikbaar in DOS 3.xx. 3. Vanuit de Config.Sys als een device driver: Device=<pad>TbScanX.Exe In tegenstelling tot andere anti-virus produkten kunnen de ThunderBYTE anti-virus utilities geladen worden voordat het netwerk is opgestart, zonder dat de beveiliging naderhand verloren gaat. Highload In aanvulling op de drie opstartmogelijkheden kunnen TbScanX gebruikers van DOS 5 (en hoger) TbScanX "highloaden" in een UMB (upper memory block), indien beschikbaar: LoadHigh <path>TbScanX.Exe Ook in de Config.Sys kan TbScanX 'gehighload' worden: DeviceHigh=<path>TbScanX.Exe TbScanX en MS-Windows Windows gebruikers moeten TbScanX laden VOOR het starten van Windows. Als u dat doet is er slechts een kopie van TbScanX in het geheugen. Elk DOS-window heeft desalniettemin een volledig functionele TbScanX in zich. TbScanX signaleert het opstarten van Windows en zal zichzelf indien noodzakelijk omschakelen naar multitasking mode. U kunt TbScanX zelfs in het ene window uitschakelen zonder de functionaliteit in een ander window te beinvloeden. 2.3. Commandoregel opties TbScanx kan vanaf de DOS commandoregel geconfigureerd worden. De boven- ste vier opties zijn altijd beschikbaar, de andere alleen voorzover TbScanX nog niet resident in het geheugen is. III - 24 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III optie short verklaring ------ ----- -------------------------------------- help ? toon dit helpscherm off d schakel scanning uit on e schakel scanning in remove r verwijder TbScanX uit het geheugen noexec n nooit scannen bij starten programma's allexec a altijd scannen bij starten programma's noboot b bootsectors niet scannen wild w alleen virussen die in het wild voorkomen ems me gebruik expanded memory (EMS) xms mx gebruik extended memory (XMS) secure s toegang zonder interactie weigeren lock l PC afsluiten als virus wordt opgespoord api i laadt de Application Program Interface compat c verhoogde compatibiliteit help (?) Met deze optie roept u het bovenstaande optie-overzicht op. Is TbScanX eenmaal geladen, dan zullen niet langer alle opties getoond worden. off (d) Na opgave van deze optie zal TbScanX uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbScanX opnieuw, nadat u eerder de optie 'off' heeft gebruikt. remove (r) Deze optie schakelt TbScanX uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbScanX als laatste geladen is. TbScanX controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. compat (c) In de meeste systemen wekt TbScanX zonder problemen. Het is mogelijk dat TbScanX problemen heeft met andere residente programma's die EMS of XMS gebruiken. In dat geval zal het systeem 'hangen'. De optie 'compat' kan dit probleem oplossen, hoewel de snelheid enigszins zal afnemen. noexec (n) TbScanX scant programma's op diskettes vlak voordat zij worden uitge- voerd. U kunt deze optie gebruiken om deze functie geheel uit te schake- len. III - 25 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III allexec (a) TbScanX scant uit te voeren programma's alleen indien zij op uitwissel- bare media staan. Bestanden op de harde schijf zijn 'veilig' omdat deze bestanden eerst al gekopieerd of gedownload moeten zijn. Op dat moment heeft TbScanX die bestanden dus al automatisch gecontroleerd. Wilt u echter dat ELK programma voor uitvoering gescand wordt, op harde of uitwisselbare schijven, dan gebruikt u deze optie. noboot (b) TbScanX onderzoekt het schijfsysteem: elke keer dat de bootsector wordt gelezen, scant TbScanX deze automatisch, op zoek naar bootsector virus- sen. Zodra u van schijf wisselt is het eerste wat DOS doet het lezen van de schijf, omdat het anders niet weet om welke soort van schijf het gaat. En zodra DOS de bootsector leest, controleert TbScanX deze op virussen. Als u deze functie liever uitschakelt, of als deze problemen veroorzaakt, kunt u deze uitzetten met behulp van de 'noboot' optie. Door deze optie op te geven zal TbScanX minder geheugen gebruiken, omdat de bootsector handtekeningen niet geladen hoeven te worden. wild (w) Er zijn nogal wat virussen die niet 'in het wild' voorkomen. Deze werken alleen op antieke computers of DOS versies, of ze bevatten zoveel fouten dat ze alleen kunnen overleven in speciale virus-laboratoria. Indien u optie 'wild' opgeeft zoekt TbScanX alleen voor virussen die echt in het wild voorkomen, en bespaart zo geheugen en tijd. secure (s) In de normale stand vraagt TbScanX de gebruiker of het programma moet stoppen of moet doorgaan, als het een virus heeft gesignaleerd. Sommige organisaties willen deze keuze niet door de gebruiker laten maken. Door middel van de optie 'secure' worden verdachte activiteiten niet langer toegestaan. Tevens is gebruik van de opties 'off' en 'remove' niet meer mogelijk. lock (l) Systeembeheerder kunnen deze optie gebruiken om TbScanX op te dragen het systeem te "hangen" zodra een virus is ontdekt. api (i) Deze optie is voor gevorderde gebruikers. U dient deze optie te gebrui- ken indien u in uw programmatuur TbScanX wilt aanroepen. Raadpleeg het bestand Addendum.Doc voor meer informatie. ems (me) Wanneer u deze optie meegeeft zal TbScanX expanded geheugen gebruiken (zoals geboden door LIM/EMS expansion boards of 80386 geheugen managers) om de handtekeningen en een deel van de programmacode op te slaan. Daar conventioneel geheugen van meer waarde is voor uw programma's dan expanded geheugen, wordt het gebruik van EMS geheugen aanbevolen. III - 26 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III xms (mx) Door deze optie zal TbScanX extended geheugen gebruiken om de handteke- ningen en deel van de programmacode op te slaan. Er moet een XMS driver (zoals HIMEM.SYS) geinstalleerd zijn om deze optie te kunnen gebruiken. XMS geheugen is niet direct toegankelijk vanuit DOS, dus elke keer dat TbScanX bestanden moet scannen, moet het de handtekeningen naar het conventionele geheugen kopieren. Om de inhoud van het oorspronkelijk geheugen weg te schrijven heeft TbScanX een dubbele hoeveelheid XMS geheugen nodig. Het 'swappen' naar XMS is trager dan het 'swappen' naar EMS geheugen, dus als u over EMS geheugen beschikt kunt u het beste naar EMS swappen. Het is mogelijk dat het swappen naar XMS problemen geeft met andere software. Mocht u problemen tegenkomen, probeer TbScanX dan zonder de XMS optie te gebrui- ken. Voorbeeld: Device=C:\utils\TbScanX.Exe xms noboot 2.4. Tijdens het scannen Zodra een programma naar een programmabestand probeert te schrijven (bestanden met de extensies '.COM' en '.EXE'), ziet u de tekst "*Scan- ning*" linksboven op uw beeldscherm. Omdat TbScanX met hoge snelheid werkt ziet u de boodschap maar heel kort. De tekst "*Scanning*" ver- schijnt eveneens wanneer u een programma direct vanaf een diskette uitvoert, en wanneer DOS de bootsector benadert of een diskettestation. Virussen opsporen Als TbScanX een verdachte handtekening signaleert dat op het punt staat in een bestand te worden weggeschreven, verschijnt er een pop-up window met de boodschap: WAARSCHUWING, <bestandsnaam> bevat <virusnaam>! Afbreken? (J/N) Als TbScanX een verdachte handtekening in de bootsector tegenkomt, toont het de boodschap: WAARSCUWING, Schijf in <drive> bevat <virus name>! Druk een toets... Alhoewel er een virus in de bootsector van de opgegeven schijf schijnt te zijn, kan dat virus niets uitrichten, omdat het nog niet is uitge- voerd. Start u de PC echter op met de geinfecteerde diskette in het station, dan zal het virus zichzelf op de harde schijf kopieren. Om de naam van het virus te kunnen tonen heeft TbScanX het handtekenin- genbestand nogmaals nodig. Het zal automatisch het bestand gebruiken dat III - 27 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III ook gebruikt is bij het laden van TbScanX. Wanneer het handtekeningenbe- stand niet wordt aangetroffen (omdat u het bestand of de betreffende diskette heeft verwijderd) of wanneer er geen file handles over zijn, zal TbScanX nog steeds virussen opsporen, maar is het niet langer in staat om de naam van het virus te tonen. Het programma zal dan [Naam onbekend] melden. III - 28 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 3. TbCheck 3.1. De functie van TbCheck TbCheck is een geheugenresidente integrity checker, die in actie komt zodra een programma op het punt staat te worden uitgevoerd. TbCheck gebruikt de Anti-Vir.Dat records die door TbSetup zijn gegenereerd om bestandswijzigingen te signaleren, vaak het eerste teken van een virus besmetting. Deze records bevatten gegevens als bestandsgrootte en checksums van elk programmabestand in een directory. Door deze informa- tie te vergelijken met het feitelijke programma status kan TbCheck automatisch elke verandering opmerken, inclusief infecties veroorzaakt door virussen. Stel, u heeft een conventionele integrity checker die automatisch vanuit de autoexec.bat wordt gestart. Als er geen bestanden zijn veranderd, wordt uw systeem geacht schoon te zijn. Om er echter zeker van te zijn dat geen enkel virus uw systeem kan besmetten dient u de checker met grote regelmaat te gebruiken. Eenmaal in het geheugen geladen zal TbCheck resident in het geheugen blijven, en zal het automatisch alle programma's controleren die u probeert uit te voeren. TbCheck is volledig netwerk compatibel. U hoeft het programma niet opnieuw te laden zodra u op het netwerk bent ingelogd. 3.2. Hoe gebruikt u TbCheck? Omdat TbCheck geheugenresident is, kan het programma vanaf de DOS commandoregel of vanuit een batch bestand gestart en geconfigureerd worden. Het is belangrijk om TbCheck zo vroeg mogelijk na het opstarten te laden, liefst vanuit de Autoexec.Bat of de Config.Sys. => NB: TbCheck vereist dat TbDriver vooraf geladen is! TbCheck laden Er zijn drie mogelijkheden om TbCheck te laden: 1. Vanaf de DOS prompt of vanuit de Autoexec.Bat: <path>TbCheck 2. Vanuit de Config.Sys als een TSR (Dos 4+): Install=<path>TbCheck.Exe Het "Install=" Config.Sys commando is NIET beschikbaar in DOS 3.xx. III - 29 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 3. Vanuit de Config.Sys als een device driver: Device=<path>TbCheck.Exe In tegenstelling tot andere anti-virus produkten kunnen de ThunderBYTE anti-virus utilities geladen worden voordat het netwerk is opgestart, zonder dat de beveiliging naderhand verloren gaat. Highload TBCheck In aanvulling op de drie opstartmogelijkheden kunnen gebruikers van DOS 5 (en hoger) TbCheck "highloaden" in een UMB (upper memory block), indien beschikbaar: LoadHigh <path>TbCheck.Exe Ook in de Config.Sys kan TbCheck 'gehighload' worden: DeviceHigh=<path>TbCheck.Exe TbCheck en MS-Windows Windows gebruikers moeten TbCheck laden VOOR het starten van Windows. Als u dat doet is er slechts een kopie van TbCheck in het geheugen. Elk DOS-window heeft desalniettemin een volledig functionele TbCheck in zich. TbCheck signaleert het opstarten van Windows en zal zichzelf indien noodzakelijk omschakelen naar multitasking mode. U kunt TbCheck zelfs in het ene window uitschakelen zonder de functionaliteit in een ander window te beinvloeden. 3.3. Commandoregel opties TbCheck kan vanaf de DOS commandoregel geconfigureerd worden. De boven- ste vier opties zijn altijd beschikbaar, de andere alleen voorzover TbCheck nog niet resident in het geheugen is. III - 30 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III optie parameter short verklaring ------ --------- ----- ------------------ help ? toon dit helpscherm off d ontkoppel checking on e activeer checking remove r verwijder TbCheck uit geheugen noavok [=<drives>] o alleen op verschillen controleren fullcrc f bereken volledige CRC (traag!) secure s geen ongeautoriseerde bestanden uitvoeren help (?) Met deze optie roept u het bovenstaande optie-overzicht op. Is TbCheck eenmaal geladen, dan zullen niet langer alle opties getoond worden. off (d) Na opgave van deze optie zal TbCheck uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbCheck opnieuw, nadat u eerder de optie 'off' heeft gebruikt. remove (r) Deze optie schakelt TbCheck uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbCheck als laatste geladen is. TbCheck controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. noavok (o) TbCheck zoekt in het Anti-Vir.Dat bestand naar informatie over het te controleren programma. TbCheck toont een boodschap als het geen checksum informatie kan vinden of wanneer de betreffende checksum incorrect is. Zodoende bent u gewaarborgd dat u altijd een melding krijgt wanneer een kwaadaardig programma het Anti-Vir.Dat bestand probeert te verwijderen. Alhoewel het raadzaam is om op alle schijven Anti-Vir.Dat bestanden te onderhouden, is dit niet in alle gevallen praktisch met floppy disks, RAM disks of CD-ROM disks. De optie 'noavok' zegt TbCheck niet te zoeken naar een Anti-Vir.Dat op aangegeven schijven. Wanneer u bijvoorbeeld niet gewaarschuwd wilt worden over de afwezigheid van een Anti-Vir.Dat record op de floppy disks (A: en B:) of op uw RAM disk (E:), dan geeft u op: "NoAvOk=ABE" Indien u geen melding wenst wanneer een Anti-Vir.Dat record ontbreekt op een netwerk schijf dient u een sterretje te gebruiken in plaats van een schijfletter. III - 31 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Specificeert u geen schijfletter achter de optie, dan zal TbCheck nooit een melding geven wanneer een Anti-Vir record wordt gemist op welke schijf dan ook. => Dit betekent echter wel een gat in de beveiliging tegen virussen: door het verwijderen van het Anti-Vir.Dat bestand bent u niet meer in staat om bestandswijzigingen veroorzaakt door virussen op te sporen. => De 'noavok' optie doet niets om de ontdekking van virusbesmettingen te voorkomen, indien er een Anti-Vir.Dat record aanwezig is. Is een pro- gramma gewijzigd, en het Anti-Vir record is aanwezig, krijgt u sowieso een alarmmelding, ongeacht de optie 'noavok'. fullcrc (f) Als default, verifieert TbCheck alleen dat deel van een bestand bij het 'entry point'. Als een virus een bestand besmet, dan wordt dit gebied gegarandeerd aangetast, dus is dit de aangewezen plaats om alle besmet- tingen op te sporen. Andere bestandswijzigingen, met name wijzigingen van de configuratie, zullen het alarm niet doen afgaan. Indien u echter op enig moment een volledige controle nodig heeft die elke wijziging signaleert, dan kunt u deze optie gebruiken. Gevolg is wel dat de verwerking van het systeem aanzienlijk wordt vertraagd: deze optie wordt dan ook niet aangeraden bij normaal (anti-virus) gebruik! secure (s) In de normale stand vraagt TbCheck de gebruiker of het programma moet stoppen of moet doorgaan, als een bestand gewijzigd is of wanneer er geen checksum informatie aanwezig is. Sommige organisaties willen deze keuze niet door de gebruiker laten maken. Door middel van de optie 'secure' wordt het gebruikers onmogelijk gemaakt om nieuwe, onbekende of gewijzigde programma's uit te voeren. Tevens is het niet meer mogelijk de opties 'off' en 'remove' te gebruiken. 3.4. Tijdens het checken Zodra een programma wordt uitgevoerd, controleert TbCheck of het pro- gramma voor die activiteit geautoriseerd is. Gedurende die tijd ziet u de tekst "*Checking*" linksboven op uw beeldscherm. Zolang TbCheck bezig is met de controle, blijft die boodschap in beeld. Omdat TbCheck met hoge snelheid werkt ziet u de boodschap maar heel kort. Opsporing van bestandswijzigingen TbCheck controleert elk programma op het moment dat het wordt geladen. Als TbCheck een wijziging signaleert, verschijnt er een pop-up window met de betreffende melding. U kunt kiezen om door te gaan of om het programma niet te laden. Is er geen informatie (Anti-Vir.Dat) over het programma voorhanden, dan zal TbCheck u dat ook melden. Ook nu kunt u weer kiezen om door te gaan of om het laden af te breken. III - 32 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III => NB: U kunt voorkomen dat gebruikers niet geautoriseerde software uitvoe- ren, door het TbCheck commando te combineren met de 'secure' optie. 3.5. TbCheck testen Veel mensen willen -begrijpelijk- de produkten testen die zij gebruiken. In tegenstelling tot bijvoorbeeld een tekstverwerker, is het erg moei- lijk om een 'slimme' integrity checker als TbCheck te testen. U kunt niet zomaar een willekeurige 25 bytes van een programmabestand verande- ren om uit te vinden of TbCheck de verandering zal opmerken. Integendeel, het is waarschijnlijker dat TbCheck deze NIET zal signale- ren omdat het programma alleen het entry-gebied controleert, terwijl de gewijzigde bytes op een andere plek binnen het bestand kunnen staat. III - 33 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 4. TbClean 4.1. De functie van TbClean TbClean isoleert viruscode in een besmet programma en verwijdert de code. Vanaf dat moment kan het programma weer veilig gebruikt worden, omdat het risico van besmetting of beschadiging van andere bestanden zorgvuldig geelimineerd is. Generieke cleaner TbClean werkt volstrekt anders in vergelijking met 'conventionele' virus cleaners. In de eerste plaats herkent TbClean geen enkel virus. Het desinfectieschema is totaal anders, waardoor het programma op bijna elk virus kan worden toegepast. Feitelijk bevat TbClean twee cleaners: een 'reparatieve' cleaner, en een 'heuristische' cleaner. De reparatieve cleaner behoeft een Anti-Vir.Dat bestand, dat voor de infectie door het TbSetup programma gegenereerd is. In dit Anti-Vir.Dat bestand is essen- tiele informatie opgeslagen, zoals de oorspronkelijke bestandsgrootte, de bytes aan het begin van het programma, een cryptografische checksum om de resultaten te verifieren, etc. Deze informatie stelt TbClean in staat om bijna elk bestand te desinfecteren, ongeacht het virus waarmee het programma is besmet, bekend of onbekend. Geen informatie beschikbaar? In de heuristische cleaning stand heeft TbClean ook geen virus-informa- tie nodig. Het voordeel van deze modus is, dat het programma zelfs geen gegevens nodig heeft over het de oorspronkelijke, niet geinfecteerde staat van het programma. Deze cleaning methode is zeer effectief wanneer uw systeem besmet is met een onbekend virus en u heeft nagelaten om TbSetup op tijd de Anti-Vir.Dat bestanden te laten genereren. TbClean laadt het besmette bestand en begint met het emuleren van de programma code om na te gaan welk deel van het bestand tot het oorspronkelijke programma behoort en welk deel tot het virus. Het resultaat Het resultaat is geslaagd als de functionaliteit van het oorspronkelijke programma is hersteld, en die van het virus tot nul is teruggebracht. => Dit wil echter niet zeggen dat het gezuiverde bestand 100% gelijk is aan het origineel. Wanneer TbClean de heuristische methode gebruikt om het programma te ontsmetten, zal het bestand hoogstwaarschijnlijk niet gelijk zijn aan het origineel. Dat is geen zwakte van TbClean, noch betekent het dat het bestand nog in enige mate besmet is. In de eerste plaats is het een normaal verschijnsel dat het heuristisch gezuiverde bestand groter III - 34 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III blijft dan het origineel. TbClean gaat namelijk voorzichtig te werk en zal trachten niet te veel te verwijderen. De bytes die aan het einde van het bestand worden achtergelaten zijn 'dode' code; de instructies kunnen nooit meer uitgevoerd kunnen worden omdat de 'jump' aan het begin van het programma is verwijderd. Als het gezuiverde bestand een programma van het type EXE is, zullen sommige bytes aan het begin van het program- ma - de exeheader - anders zijn. Dit heeft te maken met het feit dat er verscheidene geschikte methodes zijn om de exeheader te reconstrueren, en TbClean kan natuurlijk niet weten hoe het programma er oorspronkelijk uitzag. De functionaliteit van het gezuiverde bestand is desalniettemin gelijk aan die van het oorspronkelijke programma! => Vanzelfsprekend heeft bovenstaande alleen betrekking op heuristische cleaning: is er een geschikt Anti-Vir.Dat record, dan zal het gezuiverde bestand over het algemeen gelijk zijn aan het origineel. Het besmette bestand kan met meerdere virussen besmet zijn. Daarnaast zijn er virussen die bestanden blijven besmetten, waardoor de besmette bestanden zullen blijven groeien. Als TbClean de heuristische methode zou gebruiken, wordt er waarschijnlijk slechts een verschijning van het virus verwijderd. In dit geval dient u de procedure te herhalen, totdat er niets meer verwijderd kan worden. 4.2. Hoe gebruikt u TbClean? Nadat er een of meerdere virussen zijn opgespoord is het enige dat u moet doen het selecteren van de 'Start cleaning' optie in het TbClean menu. Nadat u de betreffende bestandsnaam heeft ingegeven gaat TbClean tot actie over. U kunt daarbij tevoren enige parameters instellen. Deze parameters worden in het onderstaande toegelicht. Het TbClean menu De TbClean parameters worden gepresenteerd in het TbClean menu. U activeert een optie door de selectiebalk naar deze optie te bewegen en vervolgens op <ENTER> te drukken. Een afvinkteken (v) geeft aan dat de betreffende parameter 'aan' staat. +----Main menu-----+ | Confi+-----TbClean menu-----+ | TbSet| Start cleaning | | TbSca| List-file name | | TbUti| Use TBAV.INI file | | TbCLe| Prompt for pause | | TBAV |v Use Anti-Vir.Dat | | Docum|v Use Heuristics | | Regis|v Expanded memory | | Quit | Show program loops | | eXit | Make list file | +-------+----------------------+ III - 35 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III List-file name Na selectie van deze optie kunt u een bestandsnaam opgeven dat als lijst- bestand zal worden gebruikt (zie de 'Make list-file' optie). Use TBAV.INI file Door het activeren van deze optie zullen de TbClean configuratiewaarden in het TBAV.INI bestand ook worden gebruikt wanneer TbSetup vanaf de DOS commandoregel wordt gestart. Speciale aandacht is gewenst, omdat de in TBAV.INI gespecificeerde opties niet op de commandoregel ongedaan kunnen worden gemaakt. Zie hoofdstuk I-2. Prompt for pause TbClean stopt na elk vol scherm met het disassembleren van een bestand, zodat u de resultaten kunt bestuderen. Use Anti-Vir.Dat Als u deze optie niet geactiveerd hebt, zal TbClean te werk gaan alsof er geen Anti-Vir.Dat records beschikbaar zijn (dus volgens de heuristi- sche methode). Use Heuristics Indien u deze optie hebt uitgezet zal TbClean nooit de heuristieke methode gebruiken, zelfs niet wanneer de Anti-Vir.Dat bestanden ontbre- ken. Show program loops Als default zal TbClean 'looping' omstandigheden signaleren. Zodoende zal een instructie die bij voortduring wordt herhaald op uw scherm worden getoond. => Als deze optie geactiveerd is zal TbClean veel langzamer opereren. Combineer deze optie niet met de 'list' optie, daar het lijstbestand te groot zou kunnen worden. Expanded memory Indien geactiveerd zal TbClean de aanwezigheid van expanded geheugen signaleren en zal het deze in de heuristische stand gebruiken. U kunt EMS gebruik ontkoppelen wanneer het programma te traag gaat werken, of wanneer uw expanded geheugen manager niet erg stabiel is. III - 36 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Make list file TbClean genereert een output bestand met een chronologische disassembly van het te verwijderen virus. 4.3. Commandoregel opties TbClean staat toe dat opties op de DOS commandoregel worden gespecifi- ceerd. Het programma herkent zowel de korte als de lange notatie van opties. optie parameter short verklaring -------- ---------------- ----- --------------------- help he help pause pa activeer 'Pause' prompt mono mo forceer monochroom noav na gebruik geen Anti-Vir.Dat record noheur nh gebruik geen heuristiek cleanen noems ne gebruik geen expanded geheugen showloop sl toon elke loop list [=<filename>] li genereer lijstbestand help (he) Na ingave van TbClean met de 'he' optie toont TbClean de inhoud van het TBCLEAN.HLP bestand (indien aanwezig in de TbClean directory). Met de '?' optie roept u het bovenstaande optie-overzicht op. pause (pa) TbClean stopt na elk vol scherm met het disassembleren van een bestand, zodat u de resultaten kunt bestuderen. mono (mo) Door het toevoegen van deze optie wordt TBAV monochroom weergegeven. Deze instelling is met name van belang voor een goede weergave op laptop computers (LCD schermen) en kleur emulerende monochroom systemen. noav (na) Als u deze optie specificeert, zal TbClean te werk gaan alsof er geen Anti-Vir.Dat records beschikbaar zijn (dus volgens de heuristische methode). noheur (nh) Indien u deze optie gebruikt zal TbClean nooit de heuristieke methode gebruiken, zelfs niet wanneer de Anti-Vir.Dat bestanden ontbreken. noems (ne) Indien u deze optie opgeeft zal TbClean de aanwezigheid van expanded geheugen niet signaleren en zal het deze in de heuristische stand niet gebruiken. U kunt EMS gebruik ontkoppelen wanneer het programma te traag III - 37 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III gaat werken, of wanneer uw expanded geheugen manager niet erg stabiel is. showloop (sl) Als default zal TbClean 'looping' omstandigheden slechts eenmaal signa- leren. Bij het aanklikken van deze optie zal een instructiereeks die bij voortduring wordt herhaald op uw scherm worden getoond. => Als deze optie geactiveerd is zal TbClean veel langzamer opereren. Combineer deze optie niet met de 'list' optie, daar het lijstbestand te groot zou kunnen worden. list [<bestandsnaam>] (li) TbClean genereert een output bestand met een chronologische disassembly van het te verwijderen virus. Voorbeelden TbClean VIRUS.EXE TbClean zal een back-up met de naam VIRUS.VIR maken, en vervolgens VIRUS.EXE ontsmetten. TbClean VIRUS.EXE TEST.EXE TbClean kopieert VIRUS.EXE naar TEST.EXE en ontsmet TEST.EXE. 4.4. Het ontsmettingsproces Begin ontsmetten Kies 'Start cleaning' in het TBAV menu. vervolgens geeft u de naam in van het te ontsmetten bestand. Stel dat u een bestand 'virus.exe' wilt ontsmetten: Specificeer naam van te cleanen programma. Backup wordt eerst aangemaakt. C:\VIRUS\VIRUS.EXE De ThunderBYTE utilitie gaat bestand-voor-bestand te werk: ontsmet een bestand, verifieert het resultaat, en vervolgt met het volgende bestand. Op deze wijze kunt u goed bijhouden in welke fase van ontsmetting een bestand zich bevindt. Naam van het gecleande bestand. Indien leeg wordt origineel over- schreven. C:\VIRUS\TEST.EXE III - 38 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Door een afwijkende naam op te geven, bijvoorbeeld 'test.exe', geeft u aan dat het te ontsmetten bestand het origineel niet mag overschrijven. In dit voorbeeld zal TbClean VIRUS.EXE kopieren naar TEST.EXE, en TEST.EXE ontsmetten. Indien u geen backup bestand opgeeft, zal TbClean een backup bestand genereren met de '.vir' extensie (bijv. VIRUS.VIR) en het .exe bestand ontsmetten. +-----------------------------------------------------------------+ | Thunderbyte clean utility v6.03 (C) 1992-93 Thunderbyte B.V. | +---------Infected state----------++---------Original state-------+ | Entry point (CS:IP) 34BF:0012 || Entry point (CS:IP) 34BF:0012| | File length || File length UNKNOWN! | | Cryptographic CRC 9F90F52A || Cryptographic CRC UNKNOWN! | +---------------------------------++------------------------------+ | | | Starting clean attempt. Analyzing infected file... | | Anti-Vir not found: original state unknown. Trying emulation... | | Emulation terminated: | | | | C:\VIRUS\TEST.EXE | | CS:IP Instruction AX BX CX DX DS SI ES DI SS SP | | 9330:0101 mov ah,40 FFFE9330FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0103 mov bx,0002 40FE9330FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0106 mov cx,0016 40FE0002FFFFEFFFD382FFEDEFFEFFFF9520007E| | 9330:0109 mov dx,cs 40FE00020016EFFFD382FFEDEFFEFFFF9520007E| | 9330:010B mov ds,dx 40FE000200169330D382FFEDEFFEFFFF9520007E| | 9330:010D mov dx,0117 40FE0002001693309330FFEDEFFEFFFF9520007E| | 9330:0110 int 21 40FE0002001601179330FFEDEFFEFFFF9520007E| | 9330:0112 mov ax,4CFF 40FE0002001601179330FFEDEFFEFFFF9520007E| | 9330:0115 int 21 4CFF0002001601179330FFEDEFFEFFFF9520007E| | 9330:0115 <End of emulation> | +-----------------------------------------------------------------+ Gedurende ontsmetting TbClean toont zoveel mogelijk informatie over de huidige operatie, zoals hierboven wordt getoond. Alle belangrijke acties worden gepresenteerd in het emulatie venster, met name een disassembly en de registerinhoud van het onderhavige programma (1), een voortgangsrapport (2) en de status vensters (3) die enige bruikbare details tonen over het besmette bestand en -als TbClean een bruikbaar Anti-Vir.Dat record vindt-, de oorspronke- lijke status. U kunt het ontsmettingsproces afbreken met <Ctrl-Break>. Het werk is nog niet gedaan! Een succesvolle desinfectie is niet het einde van het verhaal! Sommige virussen beschadigen gegevensbestanden. Zij kunnen willekeurig bytes op uw schijf veranderen, sectoren verwisselen, of andere schadelijke acties III - 39 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III uitvoeren. Een cleaning utility is nooit in staat om uw gegevens te herstellen! Controleer uw databestanden zorgvuldig en raadpleeg een virusdeskundige om te achterhalen waartoe het betreffende virus in staat is. Bij de geringste twijfel is het terugzetten van een back-up de meest betrouwbare optie. => Onder geen enkele omstandigheid mag u met ontsmette software verder werken! Cleaning is een tijdelijke oplossing, die ertoe dient de langdurige restore operatie te laten plaatsvinden op een passend, dus rustig, moment. U kunt niet onbeperkt uitgaan van de betrouwbaarheid van een gedesinfecteerd programma. Beschouw dit niet als een devaluatie van antivirus cleaning produkten. Als uw bestanden waardevol zijn, dient u er zo zorgvuldig mogelijk mee om te springen. Het gebruik maken van originele software is daarbij een fundamentele voorzorgsmaatregel. Met andere woorden, installeer de originele programma's zo snel mogelijk! Ontsmettingsbeperkingen Alhoewel TbClean een grote kans van slagen biedt en besmettingen kan verwijderen waarop andere cleaners geen kans hebben, kunnen niet alle virussen worden verwijderd, en kunnen niet alle bestanden worden ont- smet. Virussen die niet uit een besmet bestand verwijderd kunnen worden: - Overschrijvende virussen. Dit type virussen voegt zichzelf niet toe aan het einde van het origine- le programma; zij kopieren zichzelf over het oorspronkelijke bestand. Zij proberen niet het oorspronkelijke programma te starten, maar zullen eenvoudigweg terugkeren naar DOS nadat zij zijn geactiveerd, of zij 'hangen' uw systeem. Omdat het oorspronkelijke programma overschreven en dus vernietigd is, kan geen enkele cleaner zo'n virus verwijderen. - Sommige gecodeerde virussen. TbClean is normaal gesproken in staat om een virus te decoderen. Sommige virussen gebruiken echter anti-debugger features, die TbClean (nog) niet weet te bestrijden. De manier waarop sommige programmabestanden zijn gebouwd maakt het onmogelijk deze te ontsmetten. Herinstallatie van de originelen is de enige oplossing. Tot deze categorie behoren: - EXE-programma's met interne overlays. TbScan markeert deze bestanden met een 'i' vlag. Elke besmetting kan dit soort bestanden ernstig beschadigen. Sommige virussen herkennen zulke programma's en besmetten ze niet. De meeste virussen doen dat echter III - 40 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III wel, en verminken daarmee het programma. Geen enkele cleaner kan derge- lijke schade herstellen. - Programma's met 'sanity check' routines. Sommige programma's - meestal anti-virus software of copy-beveiligde programma's - voeren een bepaald soort sanity check uit. Heuristische ontsmetting van een besmet programma resulteert meestal in een programma dat niet voor 100 procent fysiek gelijk is aan het origineel. Hoewel het virus uit het programma is verwijderd, en het programma functioneel gelijk is aan het origineel, zal de sanity check de (kleine) verschillen signaleren en het programma afbreken. Meerdere bestanden ontsmetten TbClean heeft geen faciliteiten om meerdere programma's in een keer te ontsmetten. Deze omissie kent twee redenen: - TbClean kan niet automatisch naar virussen zoeken omdat het geen virussen kent. - Het is ten zeerste aan te raden om bestanden bestand-voor-bestand te ontsmetten. Ontsmet een bestand, verifieer het resultaat en ga verder met het volgende. Met deze werkwijze bent u altijd op de hoogte van de status van geinfecteerde bestanden. III - 41 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 5. Voortdurende viruspreventie: TbMon Het doel van de TbMon utilities TbMon is een set van drie geheugenresidente anti-virus utilities: TbMem : signaleert pogingen van programma's om resident in het geheugen te blijven; het programma draagt zorg dat geen programma zonder permissie resident in het geheugen kan komen. TbFile : signaleert pogingen van programma's om andere programma's te besmetten. TbDisk : signaleert pogingen van programma's om direct naar de schijf te schrijven (zonder gebruik te maken van DOS), formatteerpogingen, enz. Hierna vindt u een toelichting op functie en gebruik van deze program- ma's. Hoe gebruikt u TbMon programma's? Het laden van TBMon De TbMon programma's worden allen op dezelfde wijze gestart. Programma- specifieke informatie, zoals de commandoregel opties, vindt u bij de hierna bij de respectievelijke programmabeschrijvingen. Er zijn drie mogelijkheden om TbMon programma's te starten: 1. Vanaf de DOS prompt of vanuit de Autoexec.Bat (of TbStart.Bat): <path>Tbxxx 2. Vanuit de Config.Sys als een TSR (Dos 4+): Install=<path>Tbxxx.Exe Het "Install=" Config.Sys commando is NIET beschikbaar in DOS 3.xx. 3. Als een device driver vanuit de Config.Sys: Device=<path>Tbxxx.Exe Een TbMon programma zou altijd moeten werken indien gestart vanuit de Autoexec.Bat. III - 42 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III In tegenstelling tot andere anti-virus produkten kunnen de ThunderBYTE anti-virus utilities geladen worden voordat het netwerk is gestart, zonder verlies van de bescherming na het starten van het netwerk. Highload In aanvulling op de drie startmogelijkheden,kunnen gebruikers van DOS 5 TbMon programma's 'highloaden' in een upper memory block (UMB), indien beschikbaar: LoadHigh <path>Tbxxx.Exe Ook vanuit de Config.Sys kan een TbMon programma gehighload worden: DeviceHigh=<path>Tbxxx.Exe TbMon en MS-Windows Windows gebruikers moeten een TbMon programma laden VOOR het starten van Windows. Als u dat doet is in Windows slechts een kopie van het TbMon programma in het geheugen. Elk DOS-window heeft desalniettemin een volledig functionele TbMon programma in zich. Het TbMon programma signaleert het opstarten van Windows en zal zichzelf indien noodzakelijk omschakelen naar multitasking mode. U kunt het TbMon programma zelfs in het ene window uitschakelen zonder de functionaliteit in een ander window te beinvloeden. Commandoregel opties De TbMon programma's kunnen vanaf de DOS commandoregel geconfigureerd worden. De onderstaande opties kunnen in combinatie met alle drie utilities worden gebruikt. Specifieke opties worden bij het betreffende programma toegelicht. help (?) Met deze optie roept u het desbetreffende optie-overzicht op. Is het TbMon programma eenmaal geladen, dan zullen niet langer alle opties getoond worden. off (d) Na opgave van deze optie zal het TbMon programma uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u het TbMon programma opnieuw, nadat u eerder de optie 'off' heeft gebruikt. III - 43 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III remove (r) Deze optie schakelt het TbMon programma uit en zal proberen het residen- te deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als het TbMon programma als laatste geladen is. Het TbMon pro- gramma controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. secure (s) Indien u deze optie opgeeft is de gebruiker nooit gerechtigd om toestem- ming te verlenen voor verdachte operaties. Het is dan ook niet meer mogelijk om de opties 'off' en 'remove' te gebruiken. 5.1. TbMem De functie van TbMem De meeste virussen blijven resident in het geheugen wanneer zij geacti- veerd zijn. Tijdens die residente aanwezigheid hebben zij alle kans om andere bestanden op de achtergrond te besmetten, de werking van het systeem te verstoren, zichzelf te verbergen voor virusscanners of 'checksummers', en/of andere schadelijke activiteiten te verrichten. Omdat echter zo veel virussen geheugenresident trachten te worden, wordt het gemakkelijk deze op te sporen wanneer het de actie van resident raken wordt gesignaleerd. TbMem controleert het systeem en draagt zorg dat geen enkel programma zonder toestemming geheugenresident wordt. Op deze wijze kan geen enkel virus onopgemerkt resident in het geheugen komen. TbMem beschermt tevens CMOS. Wat is een geheugen-resident programma? De meeste programma's worden door een commando vanaf de DOS-commandore- gel gestart, voeren hun taak uit, en sluiten af, waarna u terugkeert op de plaats waar u begonnen bent. Sommige programma's echter gaan door met hun activiteiten nadat zij zijn afgesloten. Deze programma's laden zichzelf in het geheugen van uw PC, blijven resident in het geheugen en voeren een bepaalde taak op de achtergrond uit. Programma's in deze categorie zijn disk caches, print spoolers, netwerk software, etc. Deze programma's worden meestal 'TSR-software' genoemd, ofwel 'Terminate-and- Stay-Resident'. Ook de meeste virussen blijven geheugenresident hetgeen een goede controle van het resident worden noodzakelijk maakt. III - 44 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III TbMem biedt u de mogelijkheid om het programma te beeindigen voordat het resident kan worden. TbMem bewaakt de DOS TSR functie calls, terwijl tevens belangrijke interrupts en geheugen structuren worden gecontro- leerd. TbMem gebruikt de Anti-Vir.Dat records om vast te stellen of een bepaald programma geautoriseerd is om geheugenresident te zijn. Veel gebruikelijke TSRs zullen door TbSetup herkend worden. Als TbSetup een TSR echter niet herkend, zal TbMem u toestemming vragen om de betreffende TSR te laden. Permissiegegevens worden in de Anti-Vir.Dat bestanden bijgehouden, om te voorkomen dat TbMem u met onnodige vragen blijft lastigvallen. TbMem controleert ook de inhoud van het CMOS configuratie geheugen na het beeindigen van elk programma, om ervoor te zorgen dat programma's deze ongemerkt kunnen wijzigen. TbMem biedt de mogelijkheid om de CMOS configuratie terug te zetten wanneer deze is gewijzigd. Zodra u aan TbMem de TSR's van een PC heeft 'geleerd', kunt u TbSetup gebruiken om de permissievlaggen op andere PC's in te stellen. TbMem installeert een 'hot key' die u kunt gebruiken om vrijwel elk programma af te breken. TbMem is volledig netwerk compatibel. U hoeft het programma niet opnieuw te starten nadat u op het netwerk bent ingelogd. Hoe gebruikt u TbMem? Omdat TbMem geheugenresident is, kan het programma vanaf de DOS comman- doregel of vanuit een batch bestand gestart en geconfigureerd worden. Het is belangrijk om TbMem zo vroeg mogelijk na het opstarten te laden, liefst vanuit de Autoexec.Bat of de Config.Sys. => NB: TbMem vereist dat TbDriver vooraf geladen is! Commandoregel opties TbMem kan vanaf de DOS commandoregel geconfigureerd worden. De bovenste vier opties zijn altijd beschikbaar, de andere alleen voorzover TbMem nog niet resident in het geheugen is. III - 45 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III optie parameter short verklaring ------- -------------- ----- --------------------------------- help ? toon dit helpscherm off d checking uitschakelen on e checking inschakelen remove r verwijder TbMem uit geheugen secure s niet geautoriseerde TSRs niet uitvoeren hotkey =<keycode> k keyboard scancode voor de hotkey nocancel n cancel hot key niet installeren nocmos m CMOS niet beveiligen help (?) Met deze optie roept u het TbMem optie-overzicht op. Is TbMem eenmaal geladen, dan zullen niet langer alle opties getoond worden. off (d) Na opgave van deze optie zal TbMem uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbMem opnieuw, nadat u eerder de optie 'off' heeft gebruikt. remove (r) Deze optie schakelt TbMem uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbMem als laatste geladen is. TbMem controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. secure (s) In de normale stand vraagt TbMem de gebruiker of het programma moet stoppen of moet doorgaan, als een programma resident probeert te worden. Sommige organisaties willen deze keuze niet door de gebruiker laten maken. Door middel van de optie 'secure' wordt het onmogelijk gemaakt om nieuwe of onbekende residente programma's uit te voeren. Tevens is het dan niet meer mogelijk om de opties 'off' en 'remove' te gebruiken. hotkey (k) TbMem biedt u een betrouwbare mogelijkheid om aan elk programma te ontsnappen door een bepaalde toetscombinatie in te drukken. Deze facili- teit kan bijvoorbeeld gebruikt worden bij programma's die 'hangen', maar natuurlijk ook om aan verdachte software te ontsnappen (alhoewel het uitzetten van het systeem en het opstarten vanaf een write-protected systeem diskette aan te raden is). De 'cancel hot key' van TbMem is default Ctrl-Alt-Insert. Desgewenst kunt u een andere toetscombinatie opgeven m.b.v. 'hotkey =<keycode>'. De 'keycode' dient in een hexadecimale waarde van 4 posities te worden III - 46 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III gespecificeerd. De linker bytes geven het shift-key masker aan, de rechter bytes de scancode van het toetsenbord. Raadpleeg de handleiding bij uw PC voor een scancode lijst. De default scancode is 0C52h (Ctrl- Alt-Insert). De scancode voor Ctrl-Alt-Escape is 0C01h. nocancel (n) In default stand zal TbMem een 'cancel hot key' (Ctrl-Alt-Insert) installeren. Wilt u dit niet, dan geeft u deze optie op, hetgeen boven- dien enkele bytes geheugen bespaart. nocmos (m) TbMem beschermt default het CMOS geheugen, indien dit beschikbaar is. Door middel van deze optie kunt u de CMOS bescherming uitschakelen. Voorbeelden: C:\utils\TbMem of: Device=C:\utils\TbMem.Exe TbMem in werking Als TbMem signaleert dat een programma resident in het geheugen probeert te komen, verschijnt er een pop-up window met een melding. U kunt kiezen om ofwel verder te gaan, of om het laden van het programma af te breken. Indien u de vraag 'Remove program from memory?' met N(o) beantwoordt, zal het programma ongehinderd worden geladen. TbMem markeert het Anti- Vir.Dat record. De volgende keer dat u het zelfde residente programma laadt, zal TbMem u niet meer storen. Er zijn vrij veel 'gewone' programma's die volgens hun werking resident in het geheugen komen, zoals disk caches, print spoolers, etc. Hoe onderscheidt TbMem deze programma's van virussen? TbMem gebruikt het Anti-Vir.Dat record, gegenereerd door TbSetup om te bekijken wat normale TSRs zijn en wat niet. De meeste gewone residente software zal als zodanig al door TbSetup gemarkeerd zijn, zodat u zich over deze bestanden geen zorgen behoeft te maken. Als TbMem verschijnt met een melding dat een programma resident in het geheugen probeert te komen, dient u goed de functie van het betreffende programma te overwegen. Is het programma bedoeld om op de achtergrond te opereren? Het antwoord is hoogstwaarschijnlijk 'ja' als het bewuste programma een disk cache, een print spooler, een pop-up utility of systeem extensie software is. Als de melding echter verschijnt nadat u bijvoorbeeld een tekstverwer- kingstaak beeindigd heeft, of zojuist een database- of spreadsheet applicatie heeft afgesloten, dan is er vrijwel zeker iets mis! U moet het programma direct beeindigen en een virusscanner gebruiken om het systeem te controleren. Hetzelfde geldt voor software die normaal III - 47 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III gesproken niet resident te werk gaat en plotseling van gedrag verandert door te proberen wel resident in het geheugen te komen. 5.2. TbFile De functie van TbFile De twee meest gevaarlijke categorieen van computervirussen zijn de bootsector- en de bestandsvariant. Bestandsvirussen hebben allen een gemeenschappelijk doel: zij besmetten programma's. Het besmetten van een programma betreft zeer ongewoonlijke bestandsmanipulaties, die sterk afwijken van normale file handling procedures. Om virus-activiteiten te kunnen signaleren is het derhalve essentieel om te letten op wijzigingen in programmabestanden met name die met specifieke acties. TbFile controleert het systeem en signaleert pogingen van programma's om andere programma's te besmetten. In tegenstelling tot andere file guards controleert TbFile het systeem alleen op virus-specifieke bestandswijzi- gingen. TbFile zal geen alarmmelding geven als een programma zich door een configuratiewijziging verandert. Ook zal het programma u niet lastigvallen wanneer u een programma update of zelf een nieuw programma aanmaakt. Configuraties op een gewoon systeem zouden nooit valse alarm- meldingen tot gevolg mogen hebben! TbFile signaleert niet alleen besmettingspogingen, het biedt u daarnaast de mogelijkheid om het besmettingsproces af te breken en om het program- ma voort te zetten. TbFile bemerkt ook andere verdachte activiteiten, inclusief het instel- len van illegale waarden van time stamps. TbFile maakt gebruik van een hoogwaardige infectie detector waardoor u niet wordt geconfronteerd met valse meldingen wanneer u standaard bestandsoperaties uitvoert. Bestanden kunnen tegen ongewenste wijzigingen worden beschermd door middel van het read-only attribuut. Zonder TbFile kan deze standaard DOS beveiliging gemakkelijk omzeild worden. TbFile verzekert u ervan dat elke poging om het read-only attribuut te saboteren zal worden opge- merkt. TbFile is volledig netwerk compatibel. U hoeft de checker niet opnieuw te laden nadat u op het netwerk bent ingelogd. Andere residente anti- virus utilities dwingen u te kiezen tussen bescherming voor het laden van het netwerk of erna, maar nooit beiden. III - 48 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Commandoregel opties TbFile kan vanaf de DOS commandoregel geconfigureerd worden. De bovenste vier opties zijn altijd beschikbaar, de andere alleen voorzover TbFile nog niet resident in het geheugen is. optie short verklaring ---------- ----- ----------------------- help ? toon dit helpscherm off d schakel checking in on e schakel checking uit remove r verwijder TbFile uit geheugen secure s elke permissie afgewezen allattrib a readonly controle op alle bestanden compat c laat CPM aanroepen toe help (?) Met deze optie roept u het TbFile optie-overzicht op. Is TbFile eenmaal geladen, dan zullen niet langer alle opties getoond worden. off (d) Na opgave van deze optie zal TbFile uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbFile opnieuw, nadat u eerder de optie 'off' heeft gebruikt. remove (r) Deze optie schakelt TbFile uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbFile als laatste geladen is. TbFile controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. secure (s) In de normale stand vraagt TbFile de gebruiker of het programma moet stoppen of moet doorgaan, wanneer een verdachte operatie wordt uitge- voerd. Sommige organisaties willen deze keuze niet door de gebruiker laten maken. Door middel van de optie 'secure' wordt het onmogelijk gemaakt om verdachte operaties uit te voeren. Tevens is het dan niet meer mogelijk om de opties 'off' en 'remove' te gebruiken. allattrib (a) TbFile beschermt als default alleen het read-only attribuut van executa- bles (programmabestanden met het achtervoegsel .COM en .EXE). Als u de read-only controle op alle bestanden wilt laten uitvoeren, dient u de III - 49 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 'allattrib' optie toe te voegen. In dit geval zult u altijd een alarm- melding krijgen wanneer een poging wordt gedaan om het read-only attri- buut van elk willekeurig bestand te verwijderen. ~ compat (c) DOS bevat enkele CPM - een oud besturingssysteem - functies. Geen enkel DOS programma gebruikt deze functies nog, maar sommige virussen gebrui- ken deze functies als een achterdeurtje om anti-virus software te omzeilen. TbFile sluit deze achterdeurtjes tenzij u optie 'compat' gebruikt. Voorbeelden C:\utils\TbFile allattrib of: Device=C:\utils\TbFile.Exe allattrib 5.3. TbDisk De functie van TbDisk Veel virussen proberen de gegevens op de schijf te beschadigen. Zij doen dit door de schijf te formatteren, de FAT te overschrijven, disk secto- ren te verwisselen, etc. Bijna alles is mogelijk. Een andere categorie van schadelijke software, bekend als 'bootsector virus droppers', installeert een bootsector virus op de schijf. Het programma is zelf geen virus, dus detectie met virusscanners en andere anti-virus software is erg moeilijk. De enige manier om zulke program- ma's op te sporen is door het gedrag te controleren. Het belangrijkste probleem ligt in de manier waarop deze programma's de normale DOS procedures weten te omzeilen - zij gaan rechtstreeks naar de BIOS, het Basic Input/Output System. Daarom heeft u TbDisk nodig - om het systeem te controleren en te verzekeren dat geen enkel programma zonder toestemming naar de harde schijf kan schrijven! TbDisk signaleert elk programma dat naar de schijf probeert te schrijven, waardoor geen virus onopgemerkt zal blijven. TbDisk voorkomt dat virussen gegevens op uw schijf beschadigen en stopt bootsector virus droppers. TbDisk is ook handig om een harde schijf schrijfbescherming te geven, met name tijdens het testen van nieuwe software. TbDisk informeert u niet alleen wanneer een programma direct naar de schijf probeert te schrijven, het programma biedt u ook de mogelijkheid om het programma af te breken teneinde enige schade te voorkomen. Signalering van 'stealth' technieken. TbDisk is in staat om pogingen op te sporen die de BIOS handler raken en kan zelfs het gebruik van ongedo- cumenteerde calls waarnemen die schade aan de schijf zouden kunnen veroorzaken. III - 50 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III TbDisk kan onderscheid maken tussen directe schrijfpogingen doen via Int 13h van DOS of van een applicatie. Directe schrijfpogingen zijn legaal voor DOS, maar ongebruikelijk voor applicatie-software. TbDisk vraagt niet veel onderhoud. Het programma gebruikt de Anti- Vir.Dat records om te bepalen of een programma gerechtigd is om recht- streeks naar de schijf te schrijven, inclusief populaire disk utilities, die door TbSetup herkend zullen zijn. Bij afwezigheid van een Anti- vir.Dat record zal TbDisk vooraf om uw toestemming vragen, en indien verkregen, het record dienovereenkomstig bijwerken, teneinde herhaalde waarschuwingen met betrekking tot hetzelfde programma te voorkomen. TbDisk is volledig netwerk compatibel. U hoeft het programma niet te herladen nadat u op het netwerk bent ingelogd. Andere residente anti- virus utilities dwingen u te kiezen tussen ofwel bescherming voor, ofwel bescherming na het starten van het netwerk. Hoe gebruikt u TbDisk? TbDisk laden Foutieve installatie kan een grote hoeveelheid valse alarmmeldingen opleveren. Indien u TbDisk in uw Config.Sys of AutoExec.Bat wilt instal- leren, wordt ten zeerste aangeraden om de 'install' optie van TbDisk als eerste te gebruiken. Als het systeem zich normaal blijft gedragen en TbDisk geen valse alarmmeldingen geeft wanneer u bestanden op de harde schijf kopieert, is TbDisk correct geinstalleerd en kunt u de optie 'install' verwijderen. TbDisk 'install' Indien de optie 'install' niet is opgegeven (wanneer TbDisk is geinstal- leerd in uw Config.Sys of AutoExec.Bat), kan dat verlies van gegevens veroorzaken! De optie 'install' zorgt ervoor dat TbDisk elke schijfbena- dering toestaat, hoewel het programma wel een melding geeft, zoals het ook in de normale stand doet. Als er geen valse alarmmeldingen komen wanneer u bestanden op uw harde schijf kopieert, is TbDisk correct geinstalleerd en kan de optie 'install' verwijderd worden. Als TbDisk foutieve alarmmeldingen veroorzaakt dient u TbDisk verderop in de Config.Sys te laden, of op te nemen in de AutoExec.Bat. => In tegenstelling tot de andere TBAV utilities wordt aangeraden om TbDisk NA andere residente software te laden! Wordt deze regel niet nagevolgd, dan kan dat een grote hoeveelheid valse meldingen tot gevolg hebben. TbDisk en MS-Windows III - 51 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III TbDisk signaleert het starten van Windows en zal zichzelf indien noodza- kelijk omschakelen naar multi tasking mode. U kunt TbDisk zelfs in het ene window uitschakelen zonder de functionaliteit in een ander window te beinvloeden. Als u Windows fast 32-bit disk access laat gebruiken heeft u, in geval van een foutmelding, wellicht de TbDisk optie 'win32' nodig. Commandoregel opties TbDisk kan vanaf de DOS commandoregel geconfigureerd worden. De bovenste vier opties zijn altijd beschikbaar, de andere alleen voorzover TbDisk nog niet resident in het geheugen is. optie kort verklaring ------ ---- ------------------ help ? toon dit helpscherm remove r verwijder TbDisk uit het geheugen off d schakel checking uit on e activeer checking wrprot p maak de harde schijf schrijf beveiligd nowrprot n schrijfacties op de harde schijf toestaan win32 w Windows 32bit schijftoegang toestaan secure s toegang zonder interactie weigeren nostealth a geen stealth schijftoegang signaleren notunnel t tunneling niet signaleren install i installatie test mode help (?) Met deze optie roept u het bovenstaande optie-overzicht op. Is TbDisk eenmaal geladen, dan zullen niet langer alle opties getoond worden. remove (r) Deze optie schakelt TbDisk uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbDisk als laatste geladen is. TbDisk controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. off (d) Na opgave van deze optie zal TbDisk uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbDisk opnieuw, nadat u eerder de optie 'off' heeft gebruikt. III - 52 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III wrprot (p) Harde schijven zijn moeilijker tegen schrijfacties te beschermen dan diskettes, hetgeen de risico's -bijvoorbeeld bij het testen van nieuwe software- aanzienlijk verhoogt. Soms wilt u weten wat deze nieuwe software met uw harde schijf doet, en welke invloed dit mogelijkerwijs op uw gegevens heeft. Met de optie 'wrprot' wordt dit testen een veili- ger aangelegenheid. Elke keer dat een programma naar een beveiligde harde schijf wil schrijven krijgt u een melding als: "Write protect error writing drive C: A)bort, R)etry, I)gnore?" U kunt dan de gewenste maatregelen treffen. => NB: Een software schrijfbeschermingsoplossing is niet honderd procent betrouwbaar. Het kan worden omzeild, hoewel er gelukkig weinig virussen bestaan die daartoe in staat zijn. Ondanks de beperking kan het echter toch een waardevol schild zijn tegen de meeste kwaadaardige software. nowrprot (n) Deze optie kunt u gebruiken op de optie 'wrprot' ongedaan te maken. win32 (w) Windows 386 Enhanced Mode gebruikt enige ongedocumenteerde DOS calls om de originele BIOS disk handler te localiseren wanneer 32-bit disk access geactiveerd is. Daar TbDisk deze calls bewaakt, is 32-bit disk access niet langer mogelijk, tenzij u de optie 'win32' specificeert bij het laden van TbDisk. => NB: Gebruik deze optie (die de anti-virus beveiliging enigermate redu- ceert) alleen in Windows 386 Enhanced Mode met fast 32-bit disk access geactiveerd! secure (s) In de normale stand vraagt TbScanX de gebruiker of het programma moet stoppen of moet doorgaan, als een programma directe toegang tot de schijf zoekt. Sommige organisaties willen deze keuze niet door de gebruiker laten maken. Door middel van de optie 'secure' wordt directe schijfbenadering door nieuwe of onbekende software uitgeschakeld. Tevens is het dan niet meer mogelijk de opties 'off' en 'remove' te gebruiken. nostealth (a) TbDisk tracht directe calls in de BIOS op te sporen. Als zich zo'n poging voordoet toont TbDisk de melding dat de schijf op ongewoonlijke wijze wordt benaderd. Als deze functie valse alarmmeldingen veroorzaakt, kunt u deze middels de optie 'nostealth' uitschakelen. notunnel (t) Een van de taken van TbDisk is het signaleren van 'tunneling' pogingen door virussen. 'Tunneling' is een techniek die door virussen wordt gebruikt om de locatie van de BIOS systeemcode in het geheugen te bepalen, om dat adres vervolgens te gebruiken om direct met DOS te III - 53 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III communiceren. Hierdoor worden alle TSR programma's uitgeschakeld, inclusief residente anti-virus software. TbDisk signaleert zogenaamde tunneling pogingen door virussen en waarschuwt wanneer een poging plaatsvindt. Enkele andere anti-virus produkten maken eveneens van deze techniek gebruik teneinde residente virussen te kunnen omzeilen en veroorzaken daardoor valse alarmeringen. Maakt u momenteel ook gebruik van andere anti-virus software, dan kunt u de optie 'notunnel' gebruiken om de signalering van tunneling uit te schakelen. install (i) Foutieve installatie kan een groot aantal valse alarmmeldingen tot gevolg hebben. U kunt de optie 'install' gebruiken bij het installeren van TbDisk, hetgeen de kans vermindert dat legale schrijfoperaties vanwege valse meldingen worden geannuleerd. TbDisk in werking Wat is direct disk access? Programma's openen regelmatig bestanden, meestal via het disk bestu- ringssysteem (DOS). Elke keer dat een programma bijvoorbeeld een bestand wil bijwerken, vraagt het DOS om de gegevens naar schijf te schrijven. Er zijn echter ook mogelijkheden om direct naar schijf te schrijven zonder van DOS gebruik te maken. Dit heet 'direct disk access'. Normale programma's schrijven nooit rechtstreeks naar de schijf. Er zijn echter programma's die rechtstreeks naar de schijf moeten schrijven. Tot deze categorie behoren: - Format utilities. Een schijf kan alleen door direct disk access geformatteerd worden. - Schijf diagnose utilities (zoals de NORTON disk doctor, DOS chkdsk, etc.) - Schijf optimizers. Daar de meeste virussen ook direct disk access kunnen uitvoeren, is het van groot belang om dit proces onder controle te houden. TbDisk kan met behulp van de Anti-Vir.Dat records onderscheid maken tussen legale programma's en virussen. Signalering van direct disk access Wanneer TbDisk verschijnt met een melding dat een programma rechtstreeks naar de schijf probeert te schrijven, dient u goed te letten op de functie van dat programma. Terwijl het voor een format utility of een disk optimizer zeer legitiem is dat er schijf sectoren worden geformat- teerd of bijgewerkt, kan datzelfde niet gezegd worden van een tekstver- werkings- of een database-programma. III - 54 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Wanneer TbDisk u waarschuwt dat een spreadsheet of een ander 'normaal' programma op het punt staat een sector te formatteren, kunt u er zeker van zijn dat er iets mis is. Sluit het programma direct af en controleer uw systeem met een virusscanner voordat er kwalijke dingen gebeuren. III - 55 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III 6. TBAV Tools 6.1. TbUtil De functie van TbUtil TbUtil verschaft u een adequate afweer tegen partitietabel- en bootsec- tor virussen: - TbUtil kopieert de partitietabel, de bootsector en de CMOS data area naar een bestand. U kunt TbUtil regelmatig gebruiken om de huidige en de kopieen van de partitietabel, de bootsector en de CMOS data area met elkaar te vergelijken. Na een (virus) ongeval kunt u de kopie met behulp van TbUtil terugzetten. - TbUtil verwijdert een partitietabel virus zonder low-level format van de harde schijf, zelfs indien er geen back-up van de partitie- tabel is. - TbUtil verwijdert bootsector virussen. - TbUtil genereert een partitietabel waarin een aantal eerstelijns virus afweermiddelen zijn ingebouwd. - TbUtil vervangt de besmette of de schone bootsector door een veilige TBAV bootsector. Wat is een partitietabel? Een partitie is een logische drive op een harde schijf. Een fysieke harde schijf kan meerdere DOS partities bevatten. Elke DOS partitie heeft een eigen drive identificatie (bijv. C: D: E:). De partitietabel bevat de schijf lay-out en de start- en eindcilinder van elke partitie. De partitietabel bevat ook informatie over het besturingssysteem van een partitie en geeft aan welke partitie moet worden gebruikt om op te starten. De partitietabel bevindt zich altijd in de eerste sector van de harde schijf. Deze heet de "Master Boot Record". Geen format nodig In tegenstelling tot de meeste bestandsvirussen zijn partitietabel virussen moeilijk te verwijderen. De enige oplossing is een low-level format van de harde schijf en het aanmaken van een nieuwe partitietabel, of door gebruik te maken van ongedocumenteerde DOS commando's. TbUtil maakt een back-up van de partitietabel en van de bootsector, en zal deze back-up gebruiken om de oorspronkelijke partitietabel en bootsector te vergelijken en terug te zetten wanneer deze besmet zijn. U hoeft uw schijf niet meer te formatteren om van een partitietabel of III - 56 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III bootsector virus af te komen. Het programma kan eveneens de CMOS confi- guratie terugzetten. Indien gewenst vervangt TbUtil de partitietabel code door een geimmuni- seerde partitietabel, die virusbescherming bevat. DE TbUtil partitiecode wordt uitgevoerd voordat de bootsector controle over het systeem krijgt, en is dus in staat om de bootsector in een schone omgeving te controle- ren. Is de bootsector eenmaal uitgevoerd, dan is het moeilijk om deze te controleren, omdat het virus al resident in het geheugen aanwezig is en dus elke beveiliging op een dwaalspoor kan zetten. In plaats van het opstarten van een schone DOS diskette inspecteert TbUtil de bootsector; de TbUtil partitiecode voert een CRC berekening op de bootsector uit juist nadat deze controle heeft gekregen. Is de bootsector veranderd, dan zal de TbUtil partitiecode u dat melden. De TbUtil partitiecode controleert eveneens de RAM lay-out en informeert u wanneer deze is gewijzigd. Deze controle zal elke keer gebeuren wanneer u vanaf de harde schijf opstart. TbUtil kan besmette en schone diskette bootsectors vervangen door een nieuwe bootsector, die voordeel biedt boven de standaard bootsector. Het programma heeft bootsector virus detectie capaciteiten, het voert een 'sanity check' uit, en het biedt u de mogelijkheid om de opstartprocedu- re om te leiden naar de harde schijf zonder het diskette station te openen. Hoe gebruikt u TbUtil? De TbUtil module bevat verschillende programma's, die kunnen worden gestart vanuit het TbUtil menu of -in noodgevallen- vanaf een TbUtil diskette op de DOS commandoregel. TbUtil kan gestart worden in combina- tie met een aantal aanvullende (menu) opties. Deze opties worden hieron- der toegelicht. Een overzicht van de corresponderende commandoregel opties treft u aan in hoofdstuk 6 van dit hoofdstuk. Het System maintenance menu Dit menu bevat het eigenlijke TbUtil programma. Het programma draagt zorg voor het wegschrijven, terugzetten, of vergelijken van de systeem- configuratie van uw PC. De back-up systeemconfiguratie wordt op een diskette weggeschreven in een bestand met een default naam of een naam die u zelf bepaalt. => Waarschuwing: U kunt een systeemconfiguratie alleen terugzetten op de PC die het databestand gegenereert heeft. Gebruikt u een ander bestand, dan maakt het 'terugplaatsen'uw PC ontoegankelijk! III - 57 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III +----Main menu-----+ | Confi+-----------TbUtil menu-----------+ | TbSet| Syste+-------System maintenance-------+ | TbSca| Immun| Execute TbUtil | | TbUti| Immun| Describe this machine | | TbCLe| Immun| Save system configuration | | TBAV +-------|v Compare system configuration | | Documentation| Restore system configuration | | Register TBAV|v process CMOS memory | | Quit and save|v process Partition code | | eXit (no save|v process Bootsector | +---------------+--------------------------------+ Execute TbUtil Voor het activeren van deze optie dient u een van de optionele functies te kiezen: wegschrijven, vergelijken of terugzetten van de systeemconfi- guratie. Beweeg de selectiebalk naar de gewenste optie en druk op <ENTER>. Een afvinkteken geeft de geselecteerde optie aan. Describe this machine (description) Vul een zinvolle beschrijving van de PC in, bijvoorbeeld "AT 12MHz, 4Mb, kamer 12, dhr. Smit". U hoeft die aanduiding niet te onthouden; TbUtil zal deze op het scherm tonen tijdens het vergelijken of terugzetten; de aanduiding helpt u te verifieren dat het databestand bij de betreffende PC behoort. Save system configuration (store) Deze optie schrijft de partitietabel, de bootsector en de CMOS data area weg in het TbUtil databestand. => Attentie! Omdat de PC volledig ontoegankelijk is voor DOS als de parti- tietabel beschadigd raakt, wordt het TEN ZEERSTE AANBEVOLEN om zowel het TbUtil databestand en het programma TbUtil.Exe zelf op een diskette weg te schrijven! Het is uiterst vervelend als de partitietabel vernietigd is en de enige oplossing van het probleem zich op dezelfde ontoeganke- lijke schijf bevindt... Wanneer u TbUtil start vanaf de DOS commandoregel dient u een bestands- naam te specificeren achter de 'store' optie. Gebruikt u het TBAV menu, dan kunt u desgewenst de default bestandsnaam 'TBUTIL.DAT' gebruiken. Heeft u meer dan een PC, dan is het raadzaam om een TbUtil diskette aan te maken met alle TbUtil databestanden van alle PC's. Gebruik de exten- sie van de bestandsnaam om de betreffende PC te identificeren, bijv.: a:TbUtil.<number> III - 58 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Compare system configuration (compare) Deze optie stelt u in staat op regelmatige basis te controleren dat alles nog in orde is. Als u deze optie activeert zal TbUtil de informa- tie in het TbUtil databestand vergelijken met de partitietabel, de bootsector en de CMOS data area. Het programma zal ook de commentaarvel- den tonen die in dit bestand zijn opgeslagen. Vanzelfsprekend bent u er ook van verzekerd dat het TbUtil databestand nog leesbaar is. Restore system configuration (restore) Door middel van deze optie kunt u de partitietabel, de bootsector (van de boot-partitietabel) en de CMOS data area terugzetten. Het programma zal u vooraf om de bevestiging vragen dat het databestand behoort bij de onderhavige machine. Process Partition code/Bootsector/CMOS memory (part/boot/cmos) Als default zal TbUtil de partitiecode, de bootsector en de CMOS terug- zetten als de 'restore' optie is ingegeven. Gebruikt u de optie 'resto- re' in combinatie met een van de bovengenoemde opties, zal TbUtil alleen de opgegeven items terugzetten. Het TbUtil menu Naast het System maintenance menu bevat het TbUtil menu enkele handige programma's om bootsector virus infectie te voorkomen of deze virussen te verwijderen. +----Main menu-----+ | Confi+-----------TbUtil menu-----------+ | TbSet| System maintenance menu >| | TbSca| Immunize/clean bootsector A: | | TbUti| Immunize/clean bootsector B: | | TbCLe| Immunize/clean partition code | | TBAV +---------------------------------+ | Documentation >| | Register TBAV | | Quit and save | | eXit (no save) | +------------------+ Diskette protectie Immunize/clean bootsector diskette (immunize) III - 59 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III U kunt het 'immunize' programma gebruiken om diskettes te zuiveren die besmet zijn met een bootsector virus of om de standaard bootsector te vervangen door een bootsector met beveiligings-voordelen boven de originele: - TbUtil heeft virus detectie capaciteiten. De TbUtil bootsector controleert of deze nog op de juiste plaats op de diskette staat en dat Int 13h en/of Int 40h nog in de systeem ROM gelokaliseerd zijn. Dit maakt het mogelijk om zelfs 'stealth' en bootsector virussen op te sporen. - De TBAV bootsector is in staat om eventueel aanwezige systeembe- standen te laden. Zijn er geen DOS systeembestanden op de schijf, dan zal de TBAV bootsector een klein menu tonen dat u twee moge- lijkheden biedt: probeer opnieuw op te starten met een andere diskette, of probeer om vanaf de harde schijf te starten. Als u voor de laatste mogelijkheid kiest, is het niet vereist om het dis- kette station te openen. Immunize/clean harde schijf (immunize) Dit is een zeer krachtige optie, die u kunt gebruiken om een besmette partitietabel te zuiveren wanneer er geen TbUtil databestand beschikbaar is. Het vervangt de bestaande partitietabel code door een nieuwe parti- tieroutine die enige virusdetectie functies bevat. De originele parti- tiecode wordt in een bestand weggeschreven. Daartoe dient u TbUtil vanaf een diskette uit te voeren, of een bestandsnaam op te geven op een diskette drive. Als de originele partitietabel volledig beschadigd is, en niet gebruikt kan worden om een nieuwe te reconstrueren, zal TbUtil de hele schijf aftasten om informatie te verzamelen over de lay-out van de oorspronkelijke schijf. TbUtil zal tevens op de harde schijf zoeken naar TbUtil databestanden. Desondanks wordt aangeraden om het databe- stand op een diskette op te slaan, en een kopie op de harde schijf te bewaren. Uitsluitend voor het geval dat! Als uw systeemconfiguratie verandert, d.w.z. als u een nieuwe DOS versie installeert of de geheugenomvang wijzigt, moet u ook de informatie in de geimmuniseerde partitie ook bijwerken. U kunt dat met behulp van deze optie doen. Als uw systeem niet goed opstart, kunt u de oorspronkelijke partitieta- bel terugzetten met behulp van de TbUtil 'restore' optie, of een nieuwe partitietabel aanmaken met behulp van het DOS 5+ 'FDISK /MBR' commando. Als de nieuwe partitiecode goed werkt, dient u er een back-up op disket- te van te maken met behulp van de TbUtil 'store' optie. III - 60 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Commandoregel opties TbUtil kan vanaf de DOS commandoregel geconfigureerd worden. Hiertoe kunt u het TbUtil startcommando combineren met een van de onderstaande opties. optie parameter kort verklaring ------ --------- ---- -------------------- immunize <drive> im Immunize/Clean boot/MBR of <drive> getboot <drive> gb Bewaar bootsector in bestand store [<filename>] st Schrijf systeem informatie restore [<filename>] re Zet systeem informatie terug compare [<filename>] co Vergelijk systeem informatie Sub-opties van de 'Immunize' opties: norepeat nr Vraag niet om volgende diskette nomem nm Controleer geen geheugen batch ba Vraag niet om een schijf Sub-opties van de 'Store' optie: description <descr.> de Voeg omschrijving toe aan databestand Sub-opties van de 'Restore' optie: part pt Herstel partitie table boot bo Herstel bootsector of HD cmos cm Herstel CMOS immunize <drive> (im) Diskette protectie U kunt het 'immunize' programma gebruiken om diskettes te zuiveren die besmet zijn met een bootsector virus of om de standaard bootsector te vervangen door een bootsector met beveiligingsvoordelen boven de origi- nele: - Het bevat virusdetectie capaciteiten. De TbUtil bootsector contro- leert of deze nog op de juiste plaats op de diskette staat en dat Int 13h en/of Int 40h nog in de systeem ROM gelokaliseerd zijn. Dit maakt het mogelijk om zelfs 'stealth' en bootsector virussen op te sporen. - De TBAV bootsector is in staat om eventueel aanwezige systeembe- standen te laden. Zijn er geen DOS systeembestanden op de schijf, dan zal de TBAV bootsector een klein menu tonen dat u twee moge- lijkheden biedt: probeer opnieuw op te starten met een andere diskette, of probeer om vanaf de harde schijf te starten. Als u voor de laatste mogelijkheid kiest, is het niet vereist om het dis- kette station te openen. III - 61 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III harde schijf protectie Dit is een zeer krachtige optie, die u kunt gebruiken om een besmette partitietabel te zuiveren wanneer er geen TbUtil databestand beschikbaar is. Het vervangt de bestaande partitietabel code door een nieuwe parti- tieroutine die enige virusdetectie functies bevat. De originele parti- tiecode wordt in een bestand weggeschreven. Daartoe dient u TbUtil vanaf een diskette uit te voeren, of een bestandsnaam op te geven op een diskette drive. Als de originele partitietabel volledig beschadigd is, en niet gebruikt kan worden om een nieuwe te reconstrueren, zal TbUtil de hele schijf aftasten om informatie te verzamelen over de lay-out van de oorspronkelijke schijf. TbUtil zal tevens op de harde schijf zoeken naar TbUtil databestanden. Desondanks wordt aangeraden om het databe- stand op een diskette op te slaan, en een kopie op de harde schijf te bewaren. Uitsluitend voor het geval dat! Als uw systeem configuratie verandert, d.w.z. als u een nieuwe DOS versie installeert of de geheugenomvang wijzigt, moet u ook de informa- tie in de geimmuniseerde partitie ook bijwerken. U kunt dat met behulp van deze optie doen. Als uw systeem niet goed opstart, kunt u de oor- spronkelijke partitietabel terugzetten met behulp van de TbUtil 'resto- re' optie, of een nieuwe partitietabel aanmaken met behulp van het DOS 5+ 'FDISK /MBR' commando. Als de nieuwe partitiecode goed werkt, dient u er een back-up op diskette van te maken met behulp van de TbUtil 'store' optie. getboot <drive> (gb) Met deze optie kunt u de bootsector van de specificeerde schijf in een bestand opslaan. store [<bestandsnaam>] (st) Deze optie schrijft de partitietabel, de bootsector en de CMOS data area weg in het TbUtil databestand. => Attentie! Omdat de PC volledig ontoegankelijk is voor DOS als de parti- tietabel beschadigd raakt, wordt het TEN ZEERSTE AANBEVOLEN om zowel het TbUtil databestand en het programma TbUtil.Exe zelf op een diskette weg te schrijven! Het is uiterst vervelend als de partitietabel vernietigd is en de enige oplossing van het probleem zich op dezelfde ontoeganke- lijke schijf bevindt... Wanneer u TbUtil start vanaf de DOS commandoregel dient u een bestands- naam te specificeren achter de 'store' optie. Gebruikt u het TBAV menu, dan kunt u desgewenst de default bestandsnaam 'TBUTIL.DAT' gebruiken. Heeft u meer dan een PC, dan is het raadzaam om een TbUtil diskette aan te maken met alle TbUtil databestanden van alle PC's. Gebruik de exten- sie van de bestandsnaam om de betreffende PC te identificeren, bijv.: a:TbUtil.<number> III - 62 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III restore [<filename>] (re) Door middel van deze optie kunt u de partitietabel, de bootsector (van de boot-partitietabel) en de CMOS data area terugzetten. Het programma zal u vooraf om de bevestiging vragen dat het databestand behoort bij de onderhavige machine. compare [<filename>] (co) Deze optie stelt u in staat op regelmatige basis te controleren dat alles nog in orde is. Als u deze optie activeert zal TbUtil de informa- tie in het TbUtil databestand vergelijken met de partitietabel, de bootsector en de CMOS data area. Het programma zal ook de commentaarvel- den tonen die in dit bestand zijn opgeslagen. Vanzelfsprekend bent u er ook van verzekerd dat het TbUtil databestand nog leesbaar is. norepeat (nr) TbUtil zal u om een volgende diskette vragen nadat u een diskette heeft geimmuniseerd. Met de 'norepeat' optie kunt u deze functie uitschakelen. nomem (nm) Indien u deze optie opgeeft wanneer u de harde schijf immuniseert zal de partitiecode de controle op de hoeveelheid geheugen achterwege laten. Dit is nodig voor de systemen waarbij de hoeveelheid vrij geheugen tijdens het booten wordt aangepast. batch (ba) Indien u deze optie opgeeft waneer u een diskette immuniseert vraagt TbUtil niet eerst of u een schijf in het station heeft gedaan maar neemt gewoon aan dat dit het geval is. description <descr.> (de) Vul een zinvolle beschrijving van de PC in, bijvoorbeeld "AT 12MHz, 4Mb, kamer 12, dhr. Smit". U hoeft die aanduiding niet te onthouden; TbUtil zal deze op het scherm tonen tijdens het vergelijken of terugzetten; de aanduiding helpt u te verifi ren dat het databestand bij de betreffende PC behoort. part (pt) boot (bo) cmos (cm) Als default zal TbUtil de partitiecode, de bootsector en de CMOS terug- zetten als de 'restore' optie is ingegeven. Gebruikt u de optie 'resto- re' in combinatie met een van de bovengenoemde opties, zal TbUtil alleen de opgegeven items terugzetten. Voorbeelden TbUtil store TbUtil st TbUtil store A:TbUtil.Dat III - 63 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III TbUtil store A:TbUtil.Dat description = "Test machine" TbUtil compare A:TbUtil.Dat TbUtil restore A:TbUtil.Dat part cmos TbUtil immunize A: TbUtil immunize C: nomem Type A:TbUtil.Dat De anti-virus partitie Wanneer u de Thunderbyte partitiecode installeert (TbUtil immunize), ziet u het volgende tijdens het opstarten van uw systeem: Thunderbyte anti-virus partition v6.03 (C) 1993 Thunderbyte BV. Checking bootsector CRC -> OK! Checking available RAM -> OK! Checking INT 13h -> OK! Indien er een virus in de bootsector of de partitietabel wordt aange- troffen, ziet u dit: Thunderbyte anti-virus partition v6.03 (C) 1993 Thunderbyte BV. Checking bootsector CRC -> OK! Checking available RAM -> Failed! System might be infected. Continue? (N/Y) Enkele andere mogelijke boodschappen zijn: "No system", hetgeen betekent dat er geen actieve partitie op de schijf aanwezig is, en "Disk error" waarvan de betekenis duidelijk zal zijn. De TbUtil diskette Neem een nieuwe diskette, formatteer deze als een bootable diskette (bijv. met behulp van het DOS 'format /s' commando). Kopieer de TbUtil bestanden op de diskette: copy tbutil.* a: III - 64 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III De TbUtil bestanden die u nodig heeft zijn: tbutil.exe tbutil.lng 'Tbutil.doc' is een documentatiebestand dat niet strikt noodzakelijk is, maar dat u wel enige ondersteuning kan bieden. Trouble-shooting In noodgevallen, d.w.z. in geval van een beschadigde of besmette parti- tietabel, dient u vanaf de TbUtil diskette op te starten. Vervolgens start u het TbUtil programma in combinatie met de 'immunize' optie: a:\tbutil immunize c: 6.2. TbLog De functie van TbLog TbLog is een programma dat TBAV meldingen bijhoudt in een logboek bestand. Ook wanneer TbScan een virus ontdekt wordt dit bijgehouden. Dit programma is hoofdzakelijk bedoeld voor netwerk gebruikers. Indien alle werkstations TbLog hebben geladen en hebben ingesteld om hetzelfde logboek te gebruiken kan de systeembeheerder vanaf een centraal punt eenvoudig in de gaten houden hoe het met de integriteit van het netwerk is gesteld. Wanneer een virus het netwerk binnendringt kan hij eenvoudig vaststellen via welke PC het is binnengekomen en tijdig maatregelen nemen. Een TbLog record bestaat uit een datumstempel, de naam van de PC, en een vermelding van de betreffende gebeurtenis en welke bestanden hierbij waren betrokken. Het gebruik van TbLog Net als de andere TBAV utilities kan TbLog worden geladen in het Con- fig.Sys of AutoExec.Bat bestand, na de TbDriver aanroep. TbLog kan het beste op alle werkstations worden geinstalleerd. Indien u wilt dat elk werkstation hetzelfde logbestand gebruikt kun TbLog het beste worden geladen nadat het netwerk is opgestart. TbLog zal standaard een logbestand aanmaken met de naam TbLog.Log in de TBAV directory. Indien u een andere naam of pad wenst te gebuiken kunt u deze opgeven op de commandline. In een netwerkomgeving is het aan te raden om het logbestand op de schijf van de server te laten zetten. III - 65 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III Commandoregel opties TbLog kan vanaf de DOS commandoregel geconfigureerd worden. De bovenste vijf opties zijn altijd beschikbaar, de andere alleen voorzover TbLog nog niet resident in het geheugen is. optie parameter kort verklaring ------ --------- ---- -------------------- help ? toon dit helpscherm remove r verwijder TbLog uit het geheugen on e zet TbLog aan off d zet TbLog uit test t log test melding machine = <machine> m naam van uw PC secure s laat geen verwijdering toe. help (?) Met deze optie roept u het bovenstaande optie-overzicht op. Is TbLog eenmaal geladen, dan zullen niet langer alle opties getoond worden. remove (r) Deze optie schakelt TbLog uit en zal proberen het residente deel van de code uit het geheugen te verwijderen om zodoende de geheugenruimte aan het systeem terug te geven. Helaas werkt deze optie alleen als TbLog als laatste geladen is. TbLog controleert of de residente code zonder problemen kan worden verwijderd. Is dat niet het geval, dan zal het programma zichzelf alleen maar uitschakelen. off (d) Na opgave van deze optie zal TbLog uitgeschakeld worden, maar wel in het geheugen blijven. on (e) Met 'on' activeert u TbLog opnieuw, nadat u eerder de optie 'off' heeft gebruikt. test (t) Indien u deze optie gebruikt tijdens het laden van TbLog worden de datum, tijd, en naam van de PC opgenomen in het logbestand. Indien u deze optie later gebruikt wordt er een testmelding in het logbestand opgenomen. machine (m) Met deze optie kunt u de naam van de PC opgeven. Deze naam verschijnt in het logbestand wanneer de desbetreffende PC een melding veroorzaakt. Op NetBios compatibel netwerken zal TbLog de naam die via het netwerk aan de PC is toegekend gebruiken. Op andere netwerken - zoals Novell - dient u zelf een netwerk naam op te geven. III - 66 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel III secure (s) Met deze optie schakelt u de opties 'off' en 'remove' uit. Voorbeeld: C:\TBAV\TbLog f:\security\Tblog.log secure machine=DESK3 III - 67 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV DEEL IV. Informatie voor gevorderde gebruikers. 1. Geheugen vereisten Benodigd vrij geheugen: min. min. om te na starten: beeindiging: TbScan 200 Kb TbScanX 10 Kb 800 bytes TbCheck 4 Kb 600 bytes TbUtil 64 Kb TbClean 96 Kb TbMem 4 Kb 600 bytes TbFile 5 Kb 1 Kb TbDisk 4 Kb 800 bytes TbDriver 5 Kb 3 Kb TbLog 5 Kb 1 Kb Indien u gebruik maakt van een Log-bestand, heeft TbScan een aanvullende 16 Kb geheugen nodig t.b.v. de buffer van dit Log-bestand. Indien TbScan gebruik maakt van het eigen ingebouwde file systeem gebruikt het enig aanvullend geheugen om de FAT in het geheugen te houden. Hier dient te worden opgemerkt dat het aantal handtekeningen niet van invloed is op de geheugen-vereisten. De huidige geheugenvereisten voldoen om tenminste 2500 handtekeningen aan te kunnen. De hoeveelheid geheugen die TbScanX behoeft, hangt af van het aantal handtekeningen. Indien alle mogelijkheden van het programma geactiveerd zijn, gebruikt TbScanX 30 Kb geheugenruimte als het programma op 1.400 handtekeningen-families scant. Activeert u 'swapping', dan gebruikt TbScanX gewoonlijk slechts 1Kb geheugenruimte. U kunt zowel naar EMS als naar XMS swappen. Natuurlijk kan de overgebleven kilobyte van TbScanX in upper memory worden geladen. In de heuristische ontsmettingsstand heeft TbClean veel meer geheugen- ruimte nodig, afhankelijk van de grootte van het besmette bestand. TbClean kan ook gebruik maken van expanded memory (EMS). Het verminderen van geheugengebruik De meeste PC gebruikers proberen zo veel mogelijk DOS geheugen vrij te houden. De geheugenresidente TBAV utilities (TbScanX, TbCheck, TbMem, TbFile, TbDisk and TbDriver) zijn zo ontworpen, dat zij slechts een kleine hoeveelheid van het geheugen gebruiken. III - 1 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Wilt u het geheugengebruik nog verder terugdringen, dan kunt u de volgende maatregelen treffen: - Start het programma vanuit het Config.Sys bestand. Indien geladen als device driver heeft het programma geen Program Segment Prefix (PSP), hetgeen 256 bytes voor elke TBAV utility bespaart. - Indien u de TBAV utilities start vanuit het Autoexec.Bat bestand, laadt ze dan voor het instellen van omgevingsvariabelen. DOS houdt een lijst bij van alle omgevingsvariabelen voor elk resident programma. Probeer deze lijst dus klein te houden, bij het laden van TSR's. Zodra alle TSR's zijn geinstalleerd, kunt u alle omge- vingsvariabelen definieren zonder de systeemvereisten van de TSR's te beinvloeden. - Gebruik swapping. Door gebruik te maken van de optie 'ems' of de optie 'xms' swapt TbScanX zichzelf naar non-DOS geheugen, met achterlating van slechts 1 Kb code in het DOS geheugen. Swapping naar expanded memory ('ems') is aan te bevelen. - Indien u DOS 5 of hoger gebruikt, kunt u proberen het programma in een upper memory block te laden door gebruik te maken van het "loadhigh" of het "device-high" commando. Om het gebruik van upper memory te beperken is ook het activeren van swapping aan te beve- len. - Gebruik een van de processor-specifieke versies van de desbetref- fende TBAV utility. Deze gebruiken minder geheugen dan de generieke versies. Deze geoptimaliseerde versies zijn verkrijgbaar via uw ThunderBYTE dealer en via het ThunderBYTE support BBS. - Let in het bijzonder op de volgende geheugenbesparende opties: TbDriver: NoStack TbMem: NoCancel TbScanX: NoBoot, XMS, EMS, wild IV - 2 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV 2. TbSetup 2.1. Anti-Vir.Dat ontwerp overwegingen De ThunderBYTE Anti-Virus utilities verwachten in elke directory op uw systeem met programmabestanden een eigen Anti-Vir.Dat bestand aan te treffen. Sommige andere anti-virus produkten onderhouden een enigszins vergelijkbare lijst van 'vingerafdrukken' van alle programmabestanden, maar eerder in een groot bestand dan in een afzonderlijk bestand in elke directory. TBAV volgt een andere strategie: - Een bestand in elke directory vergemakkelijkt het onderhoud. Indien u een compleet pakket wilt verwijderen, kan het bijbehorende Anti- Vir.Dat bestand ook verwijderd worden. - Het zal minder schijfruimte vragen, omdat padinformatie niet in het gegevensbestand hoeft te worden opgeslagen. - De TBAV utilities werken sneller, omdat zij niet in een groot bestand hoeven te zoeken om de gegevens over een bepaald programma te lokaliseren. - In netwerkomgevingen is installatie gemakkelijker en betrouwbaar- der. Op netwerken is het niet ongebruikelijk dat dezelfde bestanden verschillende schijfaanduidingen op verschillende werkstations hebben. Is er slechts een gegevensbestand, dan zullen de schijfaan- duidingen ook bewaard moeten worden. Voor elk werkstation moet dus een afzonderlijke lijst worden onderhouden. In deze situatie raakt de systeembeheerder al snel het overzicht kwijt. 2.2. Lay-out van het TbSetup.Dat bestand Wilt u de TBAV utilities op meerdere werkplekken installeren, dan kan het handig zijn om het TbSetup.Dat bestand handmatig aan te passen (zie 2.3). Daarvoor heeft u enige informatie over de lay-out van het bestand nodig. Lege regels of regels die beginnen met een puntkomma of het percentage-teken worden genegeerd of als commentaarregels behandeld. De regels die worden voorafgegaan door het percentage-teken worden tevens getoond in het bovenste window in TbSetup. Elk record in het TbSetup.Dat bestand bestaat uit vier onderdelen: - De bestandsnaam. De naam moet zonder spaties en in hoofdletters geschreven worden. - De bestandsgrootte in hexadecimale waarden. Dit veld mag een enkel asterisk teken ('*') bevatten, indien een exacte overeenstemming van bestandsgrootte niet vereist is. IV - 3 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV - Het 32-bit CRC van het bestand in hexadecimale waarden. Een enkel asterisk-teken is toegestaan als een exacte overeenkomst van de checksum niet vereist is. - De hexadecimale waarde die de vlaggen representeert die gezet moeten worden indien het bestand op de schijf wordt aangetroffen. De rest van de regel kan gebruikt worden voor kort commentaar. U kunt de volgende vlaggen gebruiken: bit 0 (0001) Geen heuristische analyse verrichten bit 1: (0002) CRC veranderingen negeren (self-modifying file) bit 2: (0004) Aftasten op alle handtekeningen (lan remote boot file) bit 3: (0008) Read-only attribuut van dit bestand niet wijzigen. bit 4: (0010) Het programma blijft resident in het geheugen. bit 5: (0020) Het programma voert een direct disk access uit. bit 6: (0040) Het programma mag read-only attributen verwijderen. bit 15:(8000) Interrupt terugnemen vereist voor TbDriver.Exe De records in TbSetup.Dat zien er als volgt uit: ; bestand Grootte 32-bit CRC Vlaggen Commentaar ; Bestanden die een heuristisch alarm veroorzaken in TbScan: 4DOS.COM 19FEA * 0001 ;4Dos 4.0a AFD.COM 0FEFE 4B351A86 0001 ;AFD debugger ARGV0FIX.COM 001D8 431E70C0 0001 ;Argv[0]fix EXE2COM.EXE 00BEA 49276F89 0001 ;Exe to Com conv. utility KILL.EXE 00632 74D41811 0001 ;PcTools 6.0 utility WATCH.COM 003E1 2353625D 0001 ;TSR monitoring utility ; Bestanden die volledig gescand moeten worden op ALLE handtekeningen: NET$DOS.SYS * * 0004 ;Disk image of Novell boot disk ; Bestanden die geen vaste checksum hebben vanwege interne ; config area's: Q.EXE * * 000A ;Qedit (all versions) TBCONFIG.COM * * 000A ;all versions Definitie van nieuwe records Als u bestanden heeft die aan deze lijst moeten worden toegevoegd, laat het ons weten! Wij ontvangen gaarne een kopie om onze produkten te verbeteren en om TbSetup up-to-date te houden. Elk programma dat de aandacht trekt van de heuristische analyse van TbScan is kandidaat om in de lijst te worden opgenomen. IV - 4 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Indien u 'V)alidate program' kiest in het boodschappenwindow van TbScan, zult u zien dat TbSetup in volgende sessies de waarde '0001' toont in het flags veld. Zijn dergelijke bestanden binnen uw organisatie op meerdere PC's geinstalleerd, dan wilt u de bestanden waarschijnlijk zelf toevoegen aan het TbSetup.Dat bestand. Om dat te bewerkstelligen voert u TbSetup uit op het betreffende bestand en noteert u de bestandsgrootte en de 32-bit CRC, zoals deze op het scherm worden getoond. Vervolgens bewerkt u het TbSetup.Dat bestand door ingave van de juiste bestands- naam, de bestandsgrootte, de CRC waarde en de vlaggen die u voor dit bestand wilt instellen. Gebruikt u TbSetup vervolgens op een andere PC, dan zal het de desbe- treffende vlaggen automatisch specificeren. => NB: U kunt de waarde van een flag veld handmatig instellen of op nul stellen door op de DOS commandoregel na het TbSetup commando de SET of RESET optie te gebruiken: TBSETUP TEST.EXE SET=0001 2.3. TBAV werkplek installatie Indien u de TBAV utilities op meerdere machines binnen een bedrijf moet installeren, hoeft u niet bijvoorbeeld alle TSR's en/of disk utilities op alle PC's op te starten om deze utilities te 'leren' welke program- ma's geautoriseerd zijn. In deze paragraaf wordt uitgelegd, hoe de installatie op meerdere machines vereenvoudigd kan worden. 1. Als er in uw bedrijf een residente utility met de naam TSRUTIL.EXE wordt gebruikt, stel dan m.b.v. TbSetup de lengte en de CRC van dat programma vast. Specificeer vervolgens de naam van dit programma samen met de getoonde informatie in het TbSetup.Dat bestand en voeg de waarde '0010' toe. Voorbeeld: TSRUTIL.EXE 01286 E387AB21 0010 ;Our TSR utility 2. Als er in uw bedrijf een disk utility met de naam DISKUTIL.EXE wordt gebruikt, stel dan m.b.v. TbSetup de lengte en de CRC van dat programma vast. Specificeer vervolgens de naam van dit programma samen met de getoonde informatie in het TbSetup.Dat bestand en voeg de waarde '0020' toe. Voorbeeld: DISKUTIL.EXE 01286 E387AB21 0020 ;Our DISK utility Als u vervolgens TbSetup draait op elke PC (hetgeen u sowieso moet doen), zal het programma deze utility herkennen en zal het automa- tisch de schijftoegang permissievlag voor TbMem/TbDisk instellen. IV - 5 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV 3. Als op meerdere werkplekken een utility met bijvoorbeeld de naam UTIL.EXE wordt gebruikt, dat TbScan valse alarmmeldingen doet geven, kunt u door een aanpassing in het TbSetup.Dat bestand het heuristisch scannen van het betreffende programma vermijden. Specificeer de naam van dit programma samen met de getoonde infor- matie in het TbSetup.Dat bestand en voeg de waarde '0001' toe. Voorbeeld: UTIL.EXE 01286 E387AB21 0001 ;Our utility Als u vervolgens TbSetup draait op elke PC (hetgeen u sowieso moet doen), zal het programma deze utility herkennen en zal TbScan geen heuristische scanning op het gespecificeerde programma uitvoeren. Meer informatie vindt u in het TbSetup.Dat bestand. IV - 6 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV 3. TbScan 3.1. Heuristisch scannen TbScan is niet alleen een handtekening scanner. Het programma disassem- bleert het behandelde bestand voor de onderstaande doelen: 1) Door het 'uit elkaar halen' van het bestand kan de scanner zich beperken tot dat gebied van het bestand waar het virus zich zal bevinden. Daarmee wordt het aantal loze alarmmeldingen verminderd en het proces versneld. 2) Disassembly maakt het mogelijk om de algoritmische detectiemethode op gecodeerde virussen te gebruiken. De handtekeningen van deze virussen zouden anders voor de scanner onzichtbaar blijven. 3) Disassembly maakt het mogelijk om verdachte instructies op te sporen. Dit laatste, het opsporen van verdachte instructies, wordt 'heuristische scanning' genoemd. Dit is een erg krachtige functie die u in staat stelt om nieuwe of aangepaste virussen te onderkennen en om de resultaten van de handtekening scan te verifieren. U hoeft niet er langer op te ver- trouwen dat de leverancier van de scanner het virus kent dat uw systeem mogelijk besmet heeft. In normale situaties kan een scanner alleen een virus vinden als de bouwer van de scanner een voorbeeld van het virus had om een bruikbare handtekening te kunnen samenstellen. Met heuristi- sche scanning is een handtekening niet langer benodigd, omdat deze methode de scanner in staat stelt om tot nu toe onbekende virussen op te sporen. U moet het belang van heuristische scanning niet onderschatten. Elke maand worden minstens 50 nieuwe virussen gemeld. Het is erg onwaar- schijnlijk dat een ontwikkelaar van anti-virus software de eerste is die deze nieuwe virussen in handen krijgt... Heuristisch niveau 1 Heuristisch niveau 2 ------------------------------------------------------------ Altijd geactiveerd Alleen met de optie 'heuristisch' of nadat een virus gevonden is. Spoort 50% van de onbekende vi- Spoort 90% van de virussen op russen op Veroorzaakt bijna nooit valse me- Veroorzaakt slechts een paar val- ldingen se meldingen Toont 'Probably infected' Toont 'Might be infected' IV - 7 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV TEST.EXE <scanning...> OK (no flags) TEST.EXE <scanning...> R OK (nothing serious) TEST.EXE <scanning...> FRM might be infected by unknown virus TEST.EXE <scanning...> FRALM# probably infected by unknown virus Hoe gaat heuristische scanning te werk? Elk programma bevat instructies voor de processor van de PC's. Door naar de inhoud van een programmabe- stand te kijken en door de instructies te interpreteren, is TbScan in staat om het doel van die instructies te achterhalen. Als dat doel het formatteren van de schijf schijnt te zijn, of het besmetten van een bestand, zal TbScan een waarschuwing geven. Er zijn zeer veel instruc- ties die zeer gebruikelijk zijn voor virussen, maar erg ongebruikelijk voor normale programma's. Aan elke verdachte instructie wordt een karakter gekoppeld: een zogenaamde heuristische vlag. Elke vlag staat voor een bepaalde waardering. Wanneer de totale waardering boven een vooraf vastgestelde waarde komt, veronderstelt TbScan dat het bestand een virus bevat. Er zijn in feite twee vooraf vastgestelde limieten. De eerste is zeer gevoelig en kan door sommige onschuldige programma's bereikt worden. Als deze limiet bereikt wordt, licht TbScan de heuristische vlaggen op die op het scherm worden getoond en vermeerdert TbScan de 'verdachte items' teller. TbScan geeft niet het bestaan van een virus aan, tenzij u de 'heuristic' optie gespecificeerd heeft. Heeft u deze optie gespecifi- ceerd, dan meldt TbScan u dat het bestand 'Might be infected by an unknown virus'. De tweede heuristische limiet wordt door veel virussen 'gehaald', maar niet door normale programma's. Wordt deze limiet bereikt, dan meldt TbScan u over het bestand 'Probably infected by an unknown virus.' => NB: TbScan voert de heuristische analyse alleen bij het entry-point van een bestand uit. Derhalve signaleert TbScan geen direct-writes naar schijf door sommige disk utilities noch identificeert TbScan sommige programma's als TSR programma's. Dit is het resultaat van een specifieke benadering om het aantal valse meldingen te minimaliseren. In geval van een virus bevinden de kwaadaardige instructies zich altijd in de buurt van het entry-point (behalve wanneer het virus groter is dan 10Kb). TbScan zal verdachte verschijnselen in deze situaties in elk geval herkennen. 3.2. Integriteitscontrole Tijdens het scannen voert TbScan een integriteitscontrole uit. Daartoe dient u door TbSetup de Anti-Vir.Dat bestanden te laten genereren. Zijn deze bestanden eenmaal op de schijf aanwezig, dan zal TbScan controleren of elk te scannen bestand overeenkomt met de informatie die in de Anti- Vir.Dat bestanden wordt bijgehouden. Wanneer een virus een bestand besmet, zal de bewaarde informatie niet meer overeenstemmen met het nu IV - 8 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV veranderde bestand, en TbScan zal u dit melden. Er zijn geen (commando- regel) opties om deze functie te activeren: TbScan voert automatisch een integriteitscontrole uit als het de Anti-Vir.Dat bestanden tegenkomt. TbScan meldt overigens uitsluitend bestandswijzigingen die duiden op een virus. Interne configuratiegebieden van programmabestanden kunnen ook veranderen, maar TbScan zal dat gewoonlijk niet melden. Anderzijds, wanneer een bestand besmet raakt met om het even welk virus, - bekend of onbekend - zal de vitale informatie veranderen en zal TbScan dat zeker rapporteren! Desondanks is het mogelijk dat het gecontroleerde bestand zichzelf verandert of door een andere oorzaak regelmatig verandert. In dit geval wilt u het programma waarschijnlijk van de integriteitscontrole uitslui- ten, om toekomstige foutieve meldingen te voorkomen. TbScan biedt u een aanvullende menu optie: 'V)alidate program'. Voor meer informatie verwijzen wij u naar paragraaf 3.3, 'Programma validatie'. 3.3. Programma validatie Deze paragraaf is voor u alleen van belang indien u TbSetup gebruikt om de Anti-Vir.Dat bestanden te genereren. Zonder deze records is programma validatie geen optie. TbScan zal volgens bedoeling de meeste programma's kunnen behandelen. Er zijn echter programma's die speciale aandacht vragen om valse meldingen te vermijden. De meeste van deze programma's worden automatisch door TbSetup herkend. Niettemin is het zeker mogelijk dat uw PC programma- bestanden bevat die het heuristische alarm van TbScan doen afgaan en/of programmabestanden bevat die regelmatig veranderen. Als een 'besmetting' alleen door de heuristische analyse of door de integriteitscontrole wordt ontdekt, en indien er een Anti-Vir.Dat record beschikbaar is, biedt TbScan een aanvullende optie in het virus-alert window: 'V)alidate program' Bent u ervan overtuigd dat het betreffende programma geen virus bevat, dan kunt u de 'V' intoetsen om een vlag aan het programmarecord toe te voegen. Hierdoor worden toekomstige alarmmeldingen vermeden. Er zijn twee validatie standen. Als TbScan u waarschuwt als gevolg van een bestandswijziging, heeft de validatie alleen betrekking op toekom- stige bestandswijzigingen. Als het alarm een gevolg is van heuristische analyse, heeft de validatie uitsluitend betrekking op heuristische resultaten. Als het bestand wordt uitgesloten van heuristische analyse, wordt het nog wel aan de checksum controle onderworpen. Wordt het bestand uitgesloten van integriteitscontrole, dan zal TbScan nog wel heuristische analyse uitvoeren. IV - 9 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV => NB: Wanneer u een bestand heeft teruggeplaatst (een software upgrade) en u heeft TbSetup niet gebruikt, zal TbScan het virus alert window tonen om u de bestandswijziging te melden. Selecteer in dit geval de validatie optie NIET, omdat u hierdoor het bestand voor toekomstige integriteits- controle zou uitsluiten. U moet TbScan afbreken en in plaats daarvan TbSetup uitvoeren op de veranderde bestanden. 3.4. De algoritmen Wanneer TbScan een bestand behandelt toont het de melding 'Looking', 'Checking', 'Tracing', 'Scanning', 'Decrypting' of 'Skipping'. Looking Met 'Looking' geeft TbScan aan dat het programma met succes het entry point van het programma in een keer heeft gevonden. De programmacode is geidentificeerd, dus TbScan weet waar te zoeken zonder verdere analyse 'Looking' wordt op de meeste bekende software gebruikt. Checking 'Checking' geeft aan dat TbScan het entry point van het programma gelokaliseerd heeft, en nu een frame van ongeveer 2Kb rond het entry point aftast. Als het bestand besmet is, zal de handtekening van het virus in dit gebied te vinden zijn. 'Checking' is een zeer snel en betrouwbaar scan algoritme. 'Checking' zal op de meeste onbekende software worden gebruikt. Tracing 'Tracing' betekent dat TbScan een keten van jumps of calls heeft opge- spoord tijdens het lokaliseren van het entry point van het programma, en nu een frame van ongeveer 2Kb rond deze locatie aftast. Als het bestand besmet is, zal de handtekening van het virus in dit gebied te vinden zijn. 'Tracing' is een snel en betrouwbaar scan algoritme. 'Tracing' zal met name worden gebruikt voor COM bestanden van het TSR type en voor in Turbo Pascal gecompileerde programma's. De meeste virussen zullen TbScan dwingen om 'Tracing' te gebruiken. Scanning TbScan scant het gehele bestand (behalve de exe-header, die geen virus- code kan bevatten). Dit algoritme zal worden gebruikt wanneer 'Looking', 'Checking' of 'Tracing' niet veilig kunnen worden gebruikt. Dit is het geval wanneer het entry point van het programma andere jumps en calls bevat naar code buiten het gescande frame, of wanneer de heuristische scanner iets vond dat nadere bestudering behoeft. 'Scanning' is een IV - 10 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV traag algoritme. Omdat bijna het gehele bestand wordt afgetast, inclu- sief gegevensgebieden, zullen loze alarmmeldingen sneller voorkomen. Het 'Scanning' algoritme zal worden gebruikt voor het scannen van bootsectors, SYS en BIN bestanden. Decrypting TbScan detecteerde dat het betreffende bestand is encrypted, en decrypt het om het 'van binnen' te kunnen bekijken. TbScan zoekt naar handteke- ningen en past heuristische analyse toe op de decrypte code omdat dat erg betrouwbaar is en ook 'polymorfe' virussen ontmaskert. Skipping 'Skipping' zal alleen voorkomen met sommige SYS en OVL bestanden. Het betekent eenvoudigweg dat het bestand niet gescand zal worden. Veel SYS bestanden bevatten in het geheel geen code (zoals CONFIG.SYS). Het heeft absoluut geen zin om deze bestanden op de aanwezigheid van virussen te scannen. Hetzelfde geldt ook voor veel .OV? bestanden. Veel overlay bestanden mogen eigenlijk niet zo genoemd worden, omdat ze geen exe- header hebben. Zulke bestanden kunnen niet door DOS gestart worden, hetgeen ze net zo onkwetsbaar maakt om virussen te activeren als tekst- bestanden. Als er wordt gemeld dat een .OV? bestand door een virus is besmet, betreft dit een van de relatief weinige overlays die wel een exe-header bevatten. In dat geval komt de besmetting tot stand doordat het virus een DOS exec-call (functie 4Bh) signaleert en elk programma dat op die manier wordt gestart, inclusief 'echte' overlay bestanden, besmet. 3.5. Het TbScan.Lng bestand Het TbScan.Lng bestand bevat alle teksten die door TbScan worden ge- toond. U kunt de meldingen vertalen of bewerken met behulp van een ASCII editor. De meldingen worden van elkaar gescheiden door het dollar teken ($). De eerste melding toont het adres van de leverancier en enige registratie informatie. U kunt deze melding desgewenst aanpassen, bijvoorbeeld door uw bedrijfsnaam toe te voegen. U kunt kleurcodes aan het TbScan.Lng bestand toevoegen. Een kleurcode moet worden voorafgegaan door het piping teken '|'. De volgende kleurco- des zijn beschikbaar (in hexadecimale waarden): Kleur Voorgrond Highlight Achtergrond Zwart 00 08 00 Blauw 01 09 10 Groen 02 0A 20 IV - 11 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Cyaan 03 0B 30 Rood 04 0C 40 Magenta 05 0D 50 Geel/Bruin 06 0E 60 Wit/grijs 07 0F 70 Voorbeeld: Om een 'gehighlight' groen karakter op een rode achtergrond te verkrijgen dient de kleurcode te luiden: 0A+40=4A. Om het karakter te laten knipperen voegt u 80h aan het resultaat toe. 3.6. Het TBAV.MSG bestand De TBAV menuschil drukt de inhoud van het bestand TBAV.MSG af op het scherm indien dit bestand wordt aangetroffen. U kunt dit bestand gebrui- ken om uw bedrijfslogo of iets dergelijks op het scherm te laten tonen. Voor informatie over de kleurcodes zie hoofdstuk 3.5 ('Het TbScan.Lng bestand'). IV - 12 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV 4. TbClean Om te kunnen begrijpen hoe een cleaningprogramma werkt, moet u zich voorstellen hoe een virus meestal te werk gaat als het een programma besmet. Het basisprincipe is niet moeilijk. Een virus - eigenlijk gewoon een programma - voegt zichzelf toe aan het eind van het 'normale' programma. De aanvullende viruscode, vermeerdert vanzelfsprekend de programmagrootte. Maar het eenvoudigweg toevoegen van een virusprogramma aan een ander programma is niet voldoende om enige echte schade te berokkenen: de viruscode moet als eerste uitgevoerd worden. Daarom pakt het virus de eerste paar bytes aan het begin van het programma en vervangt die door een 'jump' instructie naar de eigen viruscode. Op die manier kan het virus de besturing overnemen zodra het programma gestart wordt. De kans is groot dat u de korte vertraging, ontstaan door het uitvoeren van het virus, niet eens zult opmerken. Het virus herstelt vervolgens de oorspronkelijke instructie en herstart het programma (een 'jump' naar het begin). Uw programma werkt in de regel weer zoals gewoonlijk - en het moge duidelijk zijn dat elk 'zichzelf respecterend' virus z'n best doet om niet te snel de aandacht op zich te vestigen! Met andere woorden, om een programma te kunnen zuiveren moeten we eerst de startinstructie bytes herstellen, die het virus door zijn eigen code vervangen heeft. Het virus heeft deze bytes later weer nodig, dus zullen deze ergens in de viruscode worden opgeslagen. De cleaner zoekt deze bytes, plaatst ze terug op hun oude plaats en verkort het bestand tot de oorspronkelijke bestand. Cleaner programma's bestaan er in twee typen: het conventionele type, voor specifieke virustypen, en de veel geavanceerdere generieke cleaner, die een veel bredere blik biedt. Hieronder worden beide typen nader toegelicht. Conventionele cleaners Een conventionele cleaner moet weten welk virus het moet verwijderen. Stel dat uw systeem besmet is met een Jerusalem/PLO virus. Wanneer u een conventionele cleaner start, zal een procedure als de volgende plaats- hebben: IV - 13 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV origineel programma besmet programma | | | | | p | 100: |jump | | r | |naar 2487 | | o | | o | | g | | g | | r | | r | | a | | a | | m | | m | | m | | m | | a | | a | | c | | c | | o | | o | | d | | d | | e | | e | 2487: | | | VIRUS! p | | r | |jmp 100 | Het conventionele cleaning programma: "He, het handtekeningenbestand zegt me dat dit bestand besmet is met het Jerusalem/PLO virus. OK, laat eens kijken, dit virus voegt 1783 bytes aan het einde toe, en het overschrijft de eerste drie bytes van het originele programma door een jump naar zichzelf. De oorspronkelijke bytes bevinden zich op offset 483 in de viruscode. Ik moet die bytes dus naar het begin van het bestand kopieren en vervolgens moet ik 1873 bytes van het bestand verwijderen. Dat is alles!" Een scenario als het bovenstaande bevat een aantal valkuilen. Klaarblij- kelijk moet de cleaner een aantal aanknopingspunten hebben om het virus dat het moet verwijderen te kunnen herkennen. Een conventionele cleaner kan alleen virussen aanpakken wanneer het weet waar het naar moet zoeken. Nog belangrijker is het dat het virus exact gelijk is aan het virus dat de virus meent te herkennen op basis van een controle van de validatie- gegevens. Stelt u zich voor wat er zou gebeuren als het virus in het voorbeeld was veranderd, en nu 1869 bytes groot is in plaats van 1873... De cleaner zou te veel verwijderen! Geen uitzonderlijk geval, zeker niet nu er zo veel virusmutanten opduiken. De Jerusalem/PLO familie bijvoor- beeld kent nu al meer dan 100 familieleden. IV - 14 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Generieke cleaners Een generieke cleaner werkt volgens het principe dat elke virussoort - ook die waarvan geen handtekening voorhanden is- schadelijk is en dus verwijderd dient te worden. Daarom werkt TbClean volgens een volstrekt ander ontsmettingsschema dat effectief is op vrijwel alle virussen, terwijl deze niet eens herkend hoeven te worden. Feitelijk vertegenwoor- digt TbClean twee cleaners in een: een 'reparatie' cleaner en een 'heuristische' cleaner. Reparatie cleaning Reparatieve ontsmetting heeft een Anti-Vir.Dat bestand nodig, dat door TbSetup voor de virusinfectie gegenereerd is. Het Anti-Vir.Dat bestand bewaart vitale programma-informatie, waaronder de oorspronkelijke grootte, de eerste paar instructiecodes en een cryptografische checksum. Deze informatie is meestal het enige dat nodig is om een bestand te ontsmetten, ongeacht welk (bekend of onbekend) virus de besmetting heeft veroorzaakt. De cleaner zal de bytes aan het begin van het programma eenvoudigweg herstellen, het programma terugbrengen naar z'n oorspronke- lijke grootte, en het resultaat verifieren door een vergelijking te maken met de oorspronkelijke checksum. Heuristisch ontsmetten TbClean is de eerste cleaner ter wereld die een heuristische cleaning mode heeft. Wanneer op deze wijze wordt ontsmet is er ook geen informa- tie over virussen nodig, en is er het bijkomende voordeel dat het programma zelf niets hoeft te weten over de oorspronkelijke staat van het programma. Deze cleaning mode is zeer effectief als uw systeem besmet is met een onbekend virus en u niet tijdig Anti-Vir.Dat bestanden heeft laten genereren door TbSetup. In de heuristische modus laadt TbClean het besmette bestand en emuleert de programmacode. Het gebruikt daarvoor een techniek die een combinatie is van 'disassemblage', emulatie en, in een aantal gevallen, executie om de loop van de viruscode te kunnen traceren, waarbij het zich min of meer hetzelfde gedraagt als het virus normaal gesproken zou doen. Komt het virus bij de oorspronkelijke programma-instructies en springt het terug naar de oorspronkelijke programmacode, dan stopt TbClean het emulatieproces en herstelt TbClean de oorspronkelijke bytes. Het feitelijke ontsmettingsproces bestaat bijna geheel uit dezelfde drie stappen die bij reparatieve ontsmetting worden doorlopen. Eerst wordt de startcode hersteld en naar het bestand gekopieerd. Vervolgens wordt de - waardeloze- viruscode verwijderd en zal TbClean (uit veiligheidsoogpunt) een finale analyse doen op het ontsmette programmabestand. IV - 15 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV 5. TbGensig De functie van TbGenSig TbGenSig is een handtekeningbestand compiler. Daar TBAV wordt gedistri- bueerd met een actueel en kant-en-klaar handtekeningenbestand, heeft u deze compiler feitelijk niet nodig. Wanneer u echter uw eigen virushandtekeningen wilt definieren, heeft u de TbGensig utility wel nodig. Indien u bekend bent met de structuur van software, kunt u zowel gepubliceerde als eigen handtekeningen in het bestand opnemen. In elk geval hoeft u dit uitsluitend in noodgevallen te doen, bijvoor- beeld wanneer uw bedrijf is getroffen door een tot nu toe onbekend virus. Het is raadzaam om dan een aantal voorbeelden van het virus naar een deskundige te sturen, zodat scanners het virus in hun volgende update zullen herkennen. Omdat het praktisch niet mogelijk is om de totale jacht op computervi- russen in een handleiding uit de doeken te doen, gaat deze paragraaf ervan uit dat u voldoende kennis en ervaring hebt om uw eigen handteke- ningen te definieren. TbGenSig zoekt naar een bestand met de naam UserSig.Dat in de huidige directory. Dit bestand moet de handtekeningen bevatten die u aan het TBAV handtekeningbestand wilt toevoegen. TbGenSig controleert de inhoud van het UserSig.Dat bestand en voegt de gegevens aan TbScan.Sig toe. Wilt u handtekeningen wijzigen of verwijderen, dan hoeft u alleen het UserSig.Dat bestand te bewerken of te verwijderen en opnieuw het pro- gramma TbGenSig uit te voeren. Tijdens het uitvoeren toont TbGenSig alle handtekeningen uit het TbScan.Sig bestand op het scherm. Definitie van handtekeningen Formaat van het UserSig.Dat bestand U kunt het UserSig.Dat bestand met elke willekeurige DOS text editor aanmaken die in staat is om non-document text te produceren. Alle regels die beginnen met ';' zijn commentaarregels. TbGenSig negeert deze regels. Regels die met '%' beginnen worden in het bovenste TbGenSig window getoond. Op de eerste regel legt u de naam van het virus vast. De tweede regel bevat een of meerdere keywords. Op de derde regel volgt de handtekening. Deze combinatie van drie regels vormt het 'handtekening record'. IV - 16 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Een handtekening record dient er als volgt uit te zien: Test virus exe com inf abcd21436587abcd U mag desgewenst spaties gebruiken. Deze zullen door TbGensig genegeerd worden. Een gepubliceerde handtekening toevoegen Wilt u een gepubliceerde handtekening toevoegen, dan kunt u te werk gaan zoals hieronder is beschreven. - Edit of maak het UserSig.Dat bestand aan. Wijzig de gepubliceerde handtekening in het gewenste TbGenSig formaat. - Gebruik de keywords COM EXE BOOT INF U krijgt dan: Nieuw virus exe com boot inf 1234abcd5678efab - Voer TbGenSig uit. Definitie van een handtekening met TbScan Deze paragraaf is bedoeld voor ervaren gebruikers die beschikken over een TBAV.KEY bestand. Alhoewel het TbScan.Sig bestand met grote regelmaat wordt ge-updated, worden er elke dag nieuwe virussen gebouwd, en wordt de reguliere update service daardoor ingehaald. Derhalve is het theoretisch mogelijk dat uw systeem op een dag wordt besmet door een virus dat recentelijk is ontwikkeld en nog niet is opgenomen in de lijst van handtekeningen. TbScan zal het virus niet in alle gevallen kunnen ontmaskeren, zelfs niet met de heuristische analyse. Bent u ervan overtuigd dat uw systeem besmet moet zijn zonder dat TbScan dit bevestigt, dan verschaft deze paragraaf u een waardevol hulpmiddel om onbekende virussen op te sporen. Deze paragraaf biedt ondersteuning bij het genereren van een 'noodhand- tekening' die (tijdelijk) aan uw versie van TbScan.Sig kan worden toege- voegd. - Verzamel enkele besmette bestanden en kopieer deze naar een tijde- lijke directory. IV - 17 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV - Start op vanaf een schone tegen schrijven beschermde diskette. Voer GEEN ENKEL programma uit vanaf het besmette systeem, zelfs niet als u denkt dat het om een schoon programma gaat. - Voer TbScan uit vanaf uw tegen schrijven beschermde TbScan diskette met de 'extract' option. De doeldirectory moet de zojuist gemaakte tijdelijke directory zijn. Door de 'extract' optie zal TbScan NIET de bestanden scannen maar in plaats daarvan de eerste instructies tonen bij het entry point van het besmette programma. Het verdient aanbeveling om tevens de 'log' optie te specificeren, zodat TbScan een logbestand genereert. - Vergelijk de 'handtekeningen' die door TbScan zijn onttrokken. U moet dan een volgende soort gegevens zien: NOVIRUS1.COM 2E67BCDEAB1290909 09090 ABCD123490CD NOVIRUS2.COM N/A VIRUS1.COM 1234ABCD5678EFAB9 09090 ABCD123478FF VIRUS2.COM 1234ABCD5678EFAB9 01234 ABCD123478FF VIRUS3.COM 1234ABCD5678EFAB9 A5678 ABCD123478FF Wanneer de 'handtekeningen' volstrekt anders zijn, zijn de bestan- den ofwel waarschijnlijk niet geinfecteerd, ofwel besmet door een polymorf virus dat een algoritmische detectiemodule vereist om deze op te sporen. - Er kunnen enige verschillen tussen de 'handtekeningen' voorkomen. In dat geval kunt u van het vraagteken ('?') als wildcard gebrui- ken. Een handtekening om het virus in het bovenstaande voorbeeld op te sporen zou zijn: 1234ABCD5678EFAB ?3 ABCD123478FF De '?3' betekent dat er drie bytes op die positie zijn die moeten worden weggelaten. - Voeg de handtekening toe aan het UserSig.Dat bestand. Geef het virus in de eerste regel een naam mee. Specificeer de volgende keywords: COM, EXE, INF, ATE in de tweede regel. Geef de handteke- ning in op de derde regel. U krijgt dan: Nieuw virus exe com ate inf 1234abcd5678efab?3abcd123478ff IV - 18 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV - Voer TbGenSig uit. Let erop dat het TbScan.Sig bestand in de TbScan directory staat. - Voer TbScan opnieuw uit in de directory met de besmette bestanden. TbScan moet het virus nu signaleren. - Stuur een paar besmette bestanden naar een virus deskundige, bij voorkeur naar ThunderBYTE. Gefeliciteerd! U heeft uw eigen handtekening gegenereerd. Vervolgens zoekt u met TbScan alle systemen af naar het nieuwe virus. U dient hierbij echter wel te bedenken dat het extrapoleren van een handtekening een 'quick-and-dirty' oplossing is. Mogelijk merkt de nieuwe handteke- ning de aanwezigheid van het nieuwe virus niet in alle gevallen op. Een handtekening die gegarandeerd alle verschijningen van het virus op- spoort, kan alleen worden gemaakt nadat dit virus volledig gedisassem- bleerd is. Derhalve dient u deze handtekening NIET aan derden ter be- schikking te stellen. De handtekening die door ervaren anti-virus onderzoekers wordt samengesteld, ziet er in de meeste gevallen volstrekt anders uit! Technische achtergrond Keywords Keywords worden voor verschillende doelen gebruikt. Zij worden in verschillende categorieen gerangschikt. Keywords mogen van elkaar worden gescheiden door spaties, komma's of tabs. De maximale regellengte is 80 bytes. Ten minste een van de volgende vlaggen moet gespecificeerd zijn: BOOT, COM, EXE, HIGH, LOW, SYS of WIN. Item keywords BOOT Handtekening kan in de bootsector/partitietabel gevonden worden COM Handtekening kan in COM programma's gevonden worden. Deze vlag zorgt ervoor dat de scanner deze handtekening in programmabe- standen zoekt die geen EXE header of device header hebben. => NB: De bestandsinhoud bepaalt het bestandstype, niet de uitgang van de bestandsnaam! EXE Handtekening kan in EXE programma's gevonden worden. Deze vlag zorgt ervoor dat de scanner deze handtekening zoekt in de load module van bestanden van het EXE type. EXE bestanden zijn bestanden die een exe-header hebben. IV - 19 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV => NB: De bestandsinhoud bepaalt het bestandstype, niet de uitgang van de bestandsnaam! HIGH Handtekening kan in HIGH memory gevonden worden. Deze vlag zorgt ervoor dat de scanner deze handtekening zoekt in het geheugen boven het door de scanner gealloceerde geheugen. Dit keyword is bedoeld voor residente virussen die geheugen allo- ceren tijdens het opstarten van het systeem geheugen, of virussen die de grootte van het laatste MCB (Memory Control Block) verminderen. => NB: De HIGH vlag betekent niet dat de handtekening in UPPER memory gezocht moet worden. LOW Handtekening kan in LOW memory gevonden worden. Deze vlag zorgt ervoor dat de scanner de handtekening zoekt in geheugen onder de PSP (Program Segment Prefix) van de scanner en in de UMB (Upper Memory Blocks). Dit keyword is bedoeld voor virus- sen die resident in het geheugen komen en gebruik maken van de normale DOS TSR (Terminate and Stay Resident) function calls. SYS Handtekening kan in SYS programma's gevonden worden. WIN Handtekening kan in Windows programma's gevonden worden. Message keywords DAM Message prefix: 'damaged by'. DROP Message prefix: 'dropper of'. FND Message prefix: 'found the'. INF Message prefix: 'infected by' Message suffix: 'virus' Message prefix: 'joke named'. OVW Message prefix: 'overwritten by'. PROB Mess. pre-prefix:'probably'. TROJ Message prefix: 'trojanized by'. Positie keywords UATE Handtekening kan bij een unresolved entry point gevonden worden. Doel: De handtekening begint direct bij het entry point van de viruscode. Bij sommige polymorfe virussen kan het mogelijk zijn om een handte- kening te genereren uit de decryptor routine, alhoewel deze of te kort kan zijn of valse meldingen kan geven bij een globale scan. Een initiele sprong instructie kan deel uitmaken van de handteke- ning. IV - 20 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV COM type files: top of file (IP 0100h). EXE type files: CS:IP as defined in the EXE-header. WIN type files: Non-DOS CS:IP of the new EXE-header. Opmerkingen: Het keyword UATE is niet toegestaan voor handtekeningen van het type BOOT, SYS, LOW, HMA of HIGH. ATE Handtekening kan bij het entry point worden gevonden. Doel: De handtekening begint direct bij het entry point van de viruscode. Bij sommige polymorfe virussen kan het mogelijk zijn om een handte- kening te genereren uit de decryptor routine, alhoewel deze of te kort kan zijn of valse meldingen kan geven bij een globale scan. Daarom wordt het keyword gebruikt om er voor te zorgen dat de scan- ner niet het gehele bestand op basis van de handtekening doorzoe- ken, maar alleen bij het entry point kijkt. Het entry point van een virus wordt gedefinieerd door het eerste byte dat niet gelijk is aan een JUMP SHORT, JUMP LONG of een CALL NEAR. Unresolved entry point: 1 JUMP LONG 3 2... 3 JUMP SHORT 5 4... 5 CALL FAR 7 6... 7 CALL NEAR 9 8... Resolved entry point: 9 POP <reg> Het entry point van het bovenstaande fragment is Regel 9 daar dit de eerste code is die wordt uitgevoerd en die geen JUMP SHORT, JUMP LONG, CALL NEAR of CALL FAR is. Opmerkingen: 1) Het entry point kan worden vastgesteld door een code analyser om trucs het hoofd te bieden als het coderen van een NOP of DEC juist voor de sprong instructie. De resultaten van de scanner moeten dan ook zorgvuldig worden getest. Bij problemen kunt u de TbScan 'extract' optie gebruiken om te bekijken wat TbScan als entry point van het programma beschouwd. 2) De ATE vlag is niet toegestaan voor handtekeningen van het BOOT, SYS, LOW, HMA of HIGH type. XHD Handtekening kan bij offset 2 van de EXE header gevonden worden. IV - 21 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Doel: Dit positie keyword wordt zelden gebruikt. U dient het alleen te gebruiken om de eveneens zeldzame high-level language virussen op te sporen, virussen die in een taal als C of Basic geschreven zijn. Deze virussen bevatten normaal gesproken standaard setup routines en library routines die niet bruikbaar zijn voor de definitie van een handtekening. Het XHD keyword kan als een laatste redmiddel om een virus op te sporen gebruikt worden. Opmerkingen: Deze vlag mag alleen gebruikt worden bij handtekeningen van het type EXE of WIN. Wildcards In een virus handtekening mogen wildcard karakters gebruikt worden om zogenaamde polymorfe (self-modifying/mutating) virus code te kunnen herkennen. Hieronder ziet u een beschrijving van de wildcard notatie. Alle getallen zijn hexadecimale waarden. Positie wildcards Positie wildcards betreffen de positie waar de delen van de handtekening overeenstemmen. Skip ?n = Skip n amount of bytes and continue. ?@nn = Skip nn amount of bytes and continue. nn should not exceed 7F. Variable *n = Skip up to n bytes. *@nn = Skip up to nn bytes and continue. nn should not exceed 1F. Opcode wildcards Met de 'opcode' wildcards kunnen instructie reeksen opgespoord worden: Low opcode nL = One of the values in the range n0-n7. High opcode nH = One of the values in the range n8-nF. Bedoeld gebruik van de opcode wildcards: IV - 22 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV Stel dat een polymorf virus een waarde plaatst in een woord register (m.b.v. een MOV WREG,VALUE instructie), en een register vermeerdert (m.b.v. een INC WREG instructie), en een woord register van de stack haalt (m.b.v. een POP instructie). Zowel de registers als de waarde zijn variabel. U zou dit als volgt kunnen coderen: bh4l5h B8-BF zijn de opcodes voor 'MOV WREG,VALUE', 40-47 zijn de opcodes voor 'INC WREG', en 58-5F zijn de opcodes voor 'POP REG'. Voorbeeld Om de kracht van de keywords en wildcards te tonen, volgt hier de handtekening van het Haifa.Mozkin virus. Dit virus is zeer polymorf en gecodeerd. Een kleine variabele decoder is nodig om het virus te decode- ren. Er zijn twee problemen: de meeste bytes zijn gecodeerd of variabel, dus niet geschikt om deel uit te maken van een handtekening, en datgene wat overblijft is kort en kan veel valse alarmmeldingen veroorzaken. Door middel van de desbetreffende keywords en wildcards echter is het mogelijk om een betrouwbare handtekening te definieren. De onderstaande handtekening wordt door TbScan gebruikt om het Haifa.Mozkin virus op te sporen. Haifa.Mozkin com exe ate inf bh?2bh?109?2*22e80?24l4h75fl Een analyse. De eerste regel beschrijft de naam van het virus. De tweede regel zegt de scanner naar deze handtekening te zoeken in bestanden van het type COM en EXE. Het vertelt de scanner bovendien dat deze het bestand als 'besmet' moet melden als de handtekeningen overeenstemmen. Het keyword ATE instrueert de scanner om deze handtekening alleen te vergelijken bij het entry point van het bestand. Het virus begint natuurlijk met het decoderen van zichzelf, dus is het zeker dat de scanner uiteindelijk deze locatie zal scannen. De ATE instructie beperkt het bereik van deze handtekening tot slechts een positie in een bestand, hetgeen de kansen op valse alarmmeldingen aanzienlijk doet afnemen. De derde regel is de definitie van de handtekening. Reverse engineering levert het volgende op: bh?2 Hetgeen betekent: een byte in de reeks B8-BF gevolgd door twee variabele bytes. B8-BF is een 'MOV WREG,VALUE' instructie. Van IV - 23 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Deel IV het register weten we alleen dat het ook om een woordregister gaat; de waarde is onbekend. bh?109 Hetgeen betekent: een andere 'MOV WREG,VALUE' instructie. Het register is een woordregister, en van de waarde weten we dat het binnen de reeks van 0900 tot 09FF valt. ?2*2 Hetgeen betekent: sla twee tot vier bytes over. Deze instruc- tie is door het virus ingevoegd om het moeilijker te maken om een handtekening te definieren. 2e80?2 Hetgeen betekent: het virus voert een aritmetische byte sized operatie uit met een immediate value (codeert een byte) met een CS: segment override. De precieze operatie, de geheugen locatie en de waarde zijn onbekend. 4l Hetgeen betekent: een byte in de reeks 40-47. Dit is een 'INC WREG' instructie. Het virus hoogt de teller op tot de volgende te decoderen byte. 4h Hetgeen betekent: een byte in de reeks 48-4F. Dit is een 'DEC WREG' instructie. Het virus vermindert de 'iteration count'. 75fl Opcode 75 is een JNZ instructie. Als het verminderde register nul niet bereikt heeft, springt het virus terug en herhaalt de operatie. Hoever springt het virus? Dat vertelt het 'fl' deel: ergens tussen -16 (F0h) en -8 (F7h) bytes. Alhoewel de handtekening taal van TbGenSig zeer krachtig is bestaan er virussen die dermate polymorf zijn dat zij zelfs nog meer geavanceerde wildcards, keywords of zelfs speciale detectie algoritmen vereisen. De uitleg van die wildcards, keywords en algoritmische detectie definities is zo complex, dat zij buiten de strekking van een gebruikershandleiding vallen. IV - 24 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A Appendix A. TBAV boodschappen De TBAV utilities kunnen verschillende meldingen tonen wanneer zij worden uitgevoerd. De meeste boodschappen bieden voldoende duidelijk- heid. Hierna volgt enige aanvullende informatie op alfabetische volgor- de, met de naam van de betreffende TBAV utility. TbClean Anti-Vir.Dat record found: information matches the current state of file. Het Anti-Vir.Dat record is gevonden, maar de informatie komt overeen met de huidige status van het bestand. Anti-Vir.Dat file was created after the infection. Trying emulation... Het Anti-Vir.Dat record is aangemaakt nadat het bestand is besmet, of het bestand is in het geheel niet gewijzigd. TbClean gaat het bestand emuleren om het heuristisch te kunnen ontsmetten. Anti-Vir.Dat record found: reconstructing original state... Het Anti-Vir.Dat record dat bij het besmette bestand hoort, is gevonden. De informatie zal worden gebruikt om het bestand te reconstrueren. Anti-Vir.Dat record not found: original state unknown. Trying emulati- on... Het Anti-Vir.Dat bestand bestaat niet of bevat geen informatie over het besmette programma. De oorspronkelijke status van het besmette bestand is dus niet bekend. TbClean zal naar de heuristische stand overschakelen om de status van het originele bestand te bepalen. => NB: om een situatie als deze te voorkomen, dient u door het programma TbSetup Anti-Vir.Dat records te laten genereren. Deze records zijn van groot belang voor TbClean. Is het bestand al besmet, dan is het te laat om de Anti-Vir.Dat records nog te genereren. IV - 25 TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A Emulation terminated: <reden> Het emulatieproces is om de aangegeven reden afgebroken. TbClean zal de verzamelde informatie nu evalueren om te beoordelen of het bestand ontsmet kan worden. <reden> kan een van de volgenden zijn: Jump to BIOS code. Het virus probeerde een rechtstreekse call of een jump naar de BIOS code uit te voeren. Dit proces kan niet geemuleerd worden dus wordt het afgebroken. Het programma kan waarschijnlijk niet ontsmet worden. Approached stack crash. Het geemuleerde programma nadert een crash. Omdat er tijdens de emulatie iets is misgegaan wordt het programma afgebroken. Het programma kan waarschijnlijk niet ontsmet worden. Attempt to violate license agreements. TbClean zal het programma om duidelijke redenen niet disassembleren. Encountered keyboard input request. Het geemuleerde programma probeert het toetsenbord te lezen. Dit is een zeer ongebruikelijke actie voor virussen. Het bestand is dan ook waar- schijnlijk niet besmet. Encountered an invalid instruction. De emulator is tegen een onbekende instructies gelopen. Door onbekende oorzaak is de emulatie mislukt. Het programma kan waarschijnlijk niet ontsmet worden. DOS program-terminate request. Het geemuleerde programma vraagt DOS om de uitvoering te stoppen. Het programma is ofwel niet besmet, ofwel besmet door een overschrijvend virus dat de besturing niet aan het virusdragende programma teruggeeft. Het programma kan niet ontsmet worden. Jumped to original program entry point. Het programma is naar de startpositie teruggesprongen. Het is zeer waarschijnlijk besmet. Het programma kan waarschijnlijk niet ontsmet worden. Undocumented DOS call with pointers to relocated code. Een gebruikelijke melding bij virussen die zich aan het begin van COM programma's hechten. Het programma kan waarschijnlijk ontsmet worden. Encountered an endless loop. TbClean is tegen een situatie aangelopen waarbij het programma dezelfde instructie onophoudelijk herhaalt. Het programma zal waarschijnlijk niet uit deze 'loop' ontsnappen. Derhalve wordt de emulatie afgebroken. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A Ctrl-break pressed. De gebruiker heeft <Ctrl><Break> ingetoetst, waardoor de ontsmettingspo- ging is afgebroken. Emulation aborted for unknown reason. Als deze boodschap wordt getoond, verzoeken wij u een kopie van het te emuleren bestand aan ESaSS op te sturen, of te uploaden op het Thunder- BYTE Bulletin Board Support Systeem. Sorry, the collected information is not sufficient to clean file... De heuristische ontsmettingsmethode van TbClean is afgebroken en is niet geslaagd. De enige overgebleven mogelijkheid is het terugzetten van het bestand van een backup of het opnieuw installeren van het programma. Collected enough information to attempt a reliable clean operation... De emulatie van het virus heeft TbClean alle benodigde informatie opgeleverd om het bestand te kunnen ontsmetten. Some DOS error occured. Clean aborted! Er is een DOS fout opgetreden gedurende het ontsmetten van het bestand. De desbetreffende bestanden mogen NIET read-only zijn en NIET op een schrijf-beschermde schijf staan. Zorg ook voor voldoende vrije geheugen- ruimte op de schijf. The clean attempt seems to be successful. Test the file carefully! TbClean lijkt het virus uit het bestand te hebben verwijderd. Geen twijfel over het virus: het is verdwenen. Neem echter geen risico en ga zorgvuldig na of het programma naar behoren werkt. Reconstruction failed. Program might be overwritten. Trying emulation... TbClean probeerde het oorspronkelijke bestand te reconstrueren met behulp van het Anti-Vir.Dat record. Deze poging is echter mislukt. TbClean gaat het bestand nu emuleren en zal proberen het heuristisch te ontsmetten. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A Reconstruction successfully completed. Het bestand is in z'n oorspronkelijke staat hersteld met behulp van het Anti-Vir.Dat record. De CRC (checksum) van het oorspronkelijke bestand en het ontsmette bestand zijn volstrekt gelijk, hetgeen impliceert dat het ontsmette bestand vrijwel zeker gelijk is aan het origineel (TbCle- an). Starting clean attempt. Analyzing infected file... TbClean analyseert het besmette bestand en probeert het Anti-Vir.Dat record op te sporen (TbClean). TbDriver Another version of TbDriver is already resident! U startte een TbDriver.Exe programma met een ander versienummer of pro- cessor type dan de TbDriver die reeds resident in het geheugen is. Cannot remove TbDriver. Unload other TSRs first! U probeerde TbDriver uit het geheugen te verwijderen, maar er is na TbDriver andere residente software geladen. Residente software kan alleen uit het geheugen worden verwijderd door de programma's in omge- keerde volgorde te 'unloaden'. Invalid use of option 'net'. De optie 'net' is zinloos bij het TbDriver startcommando. LAN support was already installed. U probeerde de optie 'net' opnieuw te gebruiken, of TbDriver heeft de netwerk support reeds automatisch geactiveerd. TbDriver not active. Load TbDriver first! De residente TBAV utilities gebruiken TbDriver; u moet dit programma dus eerst installeren. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A TbDriver version is not <version>. De in het geheugen aangetroffen versie van TbDriver komt niet overeen met het versienummer van deze residente TBAV utility. Overtuig u ervan dat u geen versienummers door elkaar gebruikt. TbDriver was not resident. U probeert TbDriver uit het geheugen te verwijderen, maar TbDriver is niet resident in het geheugen. This version of TbDriver requires a <typeID> processor. U gebruikt een voor de processor geoptimaliseerde versie van TbDriver, die niet door de huidige processor kan worden uitgevoerd. TbScan Cannot create logfile. Het gespecificeerde log-bestandenpad is onjuist, de schijf is vol of schrijf beschermd, of het bestand komt reeds voor en kan niet overschre- ven worden. [Cannot read datafile] TbScan heeft toegang tot het eigen databestand nodig om u de naam van het virus te kunnen melden. Indien het databestand niet benaderd kan worden, wordt -in plaats van een virusnaam- deze boodschap getoond. Command line error. Er is een ongeldige optie op de commandoregel gespecificeerd. No matching executable files found. Het opgegeven pad komt niet voor of is leeg; het opgegeven bestand komt niet voor of is geen programmabestand. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix A Sanity check failed! TbScan signaleert dat de eigen interne checksum niet meer overeenkomt. TbScan is mogelijk beschadigd door virus. Neem een schone kopie van TbScan, kopieer het programma op een schrijf beschermde bootable disket- te, start op vanaf die diskette, en probeer opnieuw! TbScanX Data file not found. TbScanX heeft het databestand niet kunnen lokaliseren. Not enough memory Er is niet genoeg vrij geheugen om het databestand te gebruiken. Probeer 'swapping' te activeren of, indien u dat reeds geprobeerd heeft, kies een andere swapping mode. Zie ook het hoofdstuk 'Geheugenvereisten' in deel IV van de handleiding. This version of TbScanX requires a <typeID> processor. U gebruikt een voor de processor geoptimaliseerde versie van TbScanX die niet door de huidige processor kan worden uitgevoerd. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix B Appendix B. TbScan - Toelichting heuristische vlaggen # - Instructie-decryptie routine aangetroffen. Dit komt voor bij zowel virussen als bij kopieerbeveiligde programma- tuur. Sommige copy-beschermde software is gecodeerd, zodat deze waar- schuwing op enige van uw bestanden van toepassing kan zijn. Verschijnt deze waarschuwing echter in combinatie met bijvoorbeeld de 'T' melding, dan kan er een virus in het spel zijn en gaat TbScan er vanuit dat het bestand is aangetast! Veel virussen coderen zichzelf en veroorzaken deze waarschuwing. ! - Ongeldige opcode of ongeldige sprong-instructie. Het programma heeft ofwel een entry point dat zich buiten het 'lichaam' van het bestand bevindt, of toont een keten van 'jumps' die gevolgd kan worden naar een plaats buiten het programmabestand. Een andere mogelijk- heid is dat het programma ongeldige processor instructies bevat. Het gecontroleerde programma is waarschijnlijk beschadigd en kan in de meeste gevallen niet worden uitgevoerd. In elk geval neemt TbScan geen enkel risico en gebruikt het de 'scan' methode om het bestand te scan- nen. 1 - 80186+ opcodes Het bestand bevat instructies die niet door een 8088 processor kunnen worden uitgevoerd maar een 80186 of betere processor vereisen. @ - Vreemde instructies Het bestand bevat instructies die niet door een normale compiler zijn gemaakt maar waarschijnlijk door een soort code generator of polymor- fisch virus zijn gegenereerd. ? - Inconsistente exe-hoofd. Kan een virus zijn, maar ook een fout. Het onderhavige programma heeft een exe-header die niet overeenkomt met de feitelijke programma lay-out. Veel virussen herstellen de exe-header van een EXE bestand niet correct nadat zij een bestand besmet hebben. Verschijnt deze waarschuwing dan ook regelmatig, dan heeft u waarschijnlijk een probleem. c - Geen checksum/herstel informatie (Anti-Vir.Dat) beschikbaar. Het is zeer aan te bevelen om TbSetup in dit geval te gebruiken teneinde de programma-informatie te bewaren. Deze informatie kan later gebruikt worden t.b.v. integriteitscon trole en om na een virusbesmetting te kunnen herstellen. h - Het programma heeft het 'hidden-' of 'systeem-' attribuut. Dit betekent dat het bestand niet zichtbaar is in een DOS directory display maar dat TbScan het bestand niettemin wel zal scannen. Indien u de herkomst of de functie van het bestand niet kent, heeft u mogelijk met een 'Trojan Horse' of een 'joke' virus te maken. Kopieer een derge- lijk bestand op een diskette, verwijder het vervolgens uit de programma omgeving en controleer dan of het betreffende programma het bestand mist. Als het bestand niet wordt gemist, heeft u wat schijfruimte vrijgemaakt en heeft u wellicht uw systeem voor een komende ramp be- hoedt. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix B i - Toevoeging aan einde bestand. Waarschijnlijk interne overlay. Het onderhavige programma heeft additionele gegevens of programmacode achter de load-module zoals die in de exe-header van het bestand is gespecificeerd. Het programma heeft mogelijk interne overlays, of configuratie of debug informatie toegevoegd achter de load-module van het EXE bestand. p - Gecomprimeerd bestand. Kan een verborgen virus bevatten. Het programma is gepacked of gecomprimeerd. Er zijn enige utilities die een programmabestand kunnen comprimeren, zoals EXEPACK en PKLITE. Als een bestand besmet is nadat het gecomprimeerd is kan TbScan het virus opsporen. Was het bestand echter al besmet voor het werd gecomprimeerd, dan is het virus tijdens dat proces ook gecomprimeerd zodat een scanner het virus mogelijk niet meer herkent. Gelukkig gebeurt dit niet al te vaak, maar u moet toch opletten! Een nieuw programma kan er schoon uitzien, maar kan desondanks de drager van een gecomprimeerd virus zijn. Andere bestanden op uw systeem zullen dan ook besmet worden, en deze infecties zullen wel zichtbaar zijn voor de virusscanners. w - Programma bevat MS-Windows of OS/2 exe-hoofd. Het programma is bedoeld om te worden gebruikt in een Windows (of OS/2) omgeving. TbScan zoekt in dit soort bestanden ook naar Windows en OS/2 virussen. A - Verdachte geheugenallocatie. Het programma zoekt of alloceert op ongebruikelijke wijze geheugen. Veel virussen proberen zichzelf in het geheugen te verbergen en gebruiken daarom een niet-standaard methode om dat geheugen te alloceren. Sommige normale programma's (high-loaders en diagnostische software) gebruiken ook niet-standaard methoden om geheugen te zoeken of te alloceren. B - Terug naar startpositie. Bevat code om een programma te herstarten nadat modificaties op het entry point zijn gemaakt. Het programma lijkt enige code uit te voeren, waarna het terugspringt naar het entry point van het programma. Normaal resulteert dit in een eindeloze 'loop', behalve wanneer het programma ook enkele van de programma-instructies heeft gewijzigd. Dit is vrij normaal gedrag voor computervirussen. In combinatie met een andere vlag zal TbScan een virus melden. C - De checksum klopt niet! Bestand is veranderd! Deze waarschuwing kan alleen verschijnen als u TbSetup heeft gebruikt om de Anti-Vir.Dat bestanden te genereren. Als deze waarschuwing ver- schijnt, betekent dit dat het bestand is gewijzigd. Als u uw software niet ge-update heeft, is het zeer goed mogelijk dat een virus het be- stand heeft besmet. TbScan zal deze melding niet geven wanneer een intern configuratiegebied van het bestand verandert. Deze waarschuwing betekent dat de code bij het entry point van het programma, het entry point zelf en/of de bestandsgrootte veranderd zijn. D - Directe schijftoegang. Programma schrijft buiten DOS om. Deze vlag wordt getoond als het gescande programma dichtbij het entry point instructies bevat om recht- streeks naar de schijf te schrijven. Het is vrij gewoon dat schijf TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix B gerelateerde utilities het tonen van deze vlag veroorzaken. Zoals in veel gevallen, indien veel van uw bestanden (die niets van doen hebben met het rechtstreeks schrijven naar de schijf) deze vlag veroorzaken, kan uw systeem door een onbekend virus besmet zijn. Een programma dat de schijf rechtstreeks benadert hoeft niet altijd door de 'D' vlag gemarkeerd te worden. Alleen wanneer de 'direct disk' instructies in de nabijheid van het entry point staan, zal dat door TbScan gemeld worden. Is er een virus in het spel, dan zullen de schade- lijke instructies zich altijd in de buurt van het entry point bevinden, en dat is dan ook de plaats waar TbScan ze zoekt. E - De code is ontworpen om aangeroepen te worden op iedere plek binnen een uitvoerbaar bestand. Dit is normaal voor virussen. Het programma begint met een routine die z'n eigen locatie in het programmabestand vaststelt. Dit is nogal verdacht omdat gezonde programma's een vast entry point hebben, en deze vaststelling dus niet nodig hebben. Voor virussen is het echter een vrij algemeen kenmerk: ongeveer 50 procent van de bekende virussen veroorza- ken het tonen van deze vlag. F - Verdachte bestandstoegang. Kan mogelijk een bestand besmetten. TbScan heeft instructiesequenties gevonden die lijken op de infectieschema's die door virussen worden gebruikt. Deze vlag verschijnt met die programma's die in staat zijn om bestaande bestanden aan te maken of te wijzigen. G - Rommel-instructies. Code schijnt geen andere bedoeling te hebben dan decryptie en/of mislei- ding van virusscanners. In de meeste gevallen zijn er geen andere vlaggen omdat het bestand gecodeerd is en de instructies verborgen zijn. In een aantal gevallen verschijnt deze vlag bij 'normale' bestanden. Die bestanden zijn zo slecht ontworpen dat zij het tonen van de 'rommel' vlag veroorzaken. J - Verdachte sprong constructie. Toegangspositie via ketting- of indirecte sprong. Dit is ongebruikelijk voor normale programmatuur. Het programma startte niet bij het entry point. De code is minstens twee keer versprongen voordat het de uitein- delijke opstartcode bereikte, of het programma sprong d.m.v. een indi- recte operand. Gezonde programma's horen dit soort vreemd gedrag niet te vertonen. Als veel bestanden het tonen van deze vlag veroorzaken, dient u uw systeem grondig te onderzoeken. K - Ongebruikelijke (verdachte of oneven) stack. Het EXE bestand dat wordt gescand heeft een vreemde (of oneven) stack of een verdacht stack segment. Veel virussen zijn nogal 'buggy' door de instelling van een illegale stack waarde. L - Programma vangt het opstarten van programma's af. Kan een virus zijn dat dit doet om programmatuur te besmetten. Als het bestand ook een vlag M (geheugen residente code) toont, gaat het waar- schijnlijk om een resident programma dat bepaalt wanneer een ander programma wordt uitgevoerd. Veel virussen vangen de program load en TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix B gebruiken deze om het programma te besmetten. Sommige anti-virus utili- ties doen datzelfde. M - Geheugenresidente code. Programma is een TSR of mogelijk een virus. TbScan heeft instructiese- quenties gevonden die belangrijke interrupts kunnen overnemen. Veel TSR (Terminate and Stay Resident) programma's zullen deze vlag veroorzaken, omdat dit onderdeel van hun gewoonlijke gedrag is. Indien echter veel niet-TSR programma's deze melding veroorzaken, moet u oplettend zijn. Het is niet onwaarschijnlijk dat uw bestanden besmet zijn door een virus dat geheugenresident blijft. Deze melding zal niet verschijnen in geval van echte TSR programma's, noch kan er altijd vertrouwd worden op TSR signalering in niet-TSR programma's. N - Verkeerde naamuitgang. Uitgang klopt niet met programmastructuur. Het programma draagt de .EXE extensie maar blijkt een gewoon .COM bestand te zijn, of het heeft de extensie .COM maar de interne lay-out van een .EXE bestand. Een ver- keerde extensie kan in sommige gevallen op een virus duiden, meestal is dat echter niet zo. O - Code aangetroffen die wordt gebruikt om een programma in het geheugen te verplaatsen of overschrijven. Deze vlag wordt getoond wanneer TbScan signaleert dat het programma een deel van zijn eigen instructies overschrijft. Desondanks lijkt het bestand geen volledige (de)codeer-routine te hebben. R - Relocator. Code kan op verdachte wijze worden gereloceerd. Een relocator is een reeks van instructies die de verhouding CS:IP veranderen. Het wordt vaak door virussen gebruikt. Deze virussen moeten de CS:IP verhouding relo- ceren omdat zij gecompileerd zijn voor een specifieke locatie in het programmabestand. Een virus dat een ander programma besmet, kan bijna nooit de originele locatie in het bestand gebruiken omdat het aan dit bestand is toegevoegd. Gezonde programma's 'kennen' hun locatie in het programmabestand, dus hoeven zij zichzelf niet te reloceren. Op systemen die normaal opereren zal slechts een klein deel van de programma's deze vlag veroorzaken. S - Bevat routine om te zoeken naar uitvoerbare (COM/EXE) bestanden. Het programma zoekt naar *.COM en *.EXE bestanden. Op zichzelf is dit nog geen indicatie voor virusaanwezigheid; het is echter wel een kenmerk van de meeste virussen (zij moeten zelf naar geschikte bestanden zoe- ken). Indien deze vlag door andere vlaggen vergezeld wordt, neemt TbScan aan dat het bestand besmet is. T - Ongeldige datumstempel. Sommige virussen markeren zo bestanden. Het datumstempel van het pro- gramma is ongeldig, d.w.z. het aantal seconden in de datumstempel is ongeldig, of de datum is ongeldig of ligt later dan het jaar 2000. Dit is verdacht, omdat veel virussen het datumstempel op een ongeldige waarde zetten (zoals 62 seconden) om aan te geven dat het bestand reeds besmet is. Hiermee wordt voorkomen dat een bestand voor een tweede maal wordt besmet. Het is mogelijk dat gecontroleerde programma's beschadigd TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix B zijn door een nog onbekend virus, met name wanneer veel bestanden op het systeem een ongeldig datumstempel hebben. Als slechts een paar pro- gramma's een ongeldige datumstempel hebben, dient u deze te corrigeren en er op te letten dat het verschijnsel zich niet herhaalt. U - Ongedocumenteerde interrupt/DOS aanroep. Programma kan een virus bevatten dat zichzelf op deze manier detecteert. Deze onbekende calls kunnen gelanceerd worden om ongedocumenteerde DOS functies te starten, of om met een onbekende driver in het geheugen te communiceren. Daar veel virussen ongedocumenteerde DOS functies gebrui- ken, of met eerder geladen geheugenresidente delen van het virus commu- niceren, is het verdacht als een programma onbekende of ongedocumenteer- de communicatie uitvoert. Desalniettemin is dit niet noodzakelijk een aanwijzing voor een virus, omdat enkele 'tricky' programma's ook ongedo- cumenteerde functies gebruiken. V - Gevalideerd programma Dit verdachte bestand is gevalideerd tegen heuristisch alarm. - Het ontwerp van dit programma zou normaal gesproken een loos alarm veroorzaken door de heuristische scan modus van TbScan, of: - Dit programma kan mogelijk veelvuldig veranderen en het bestand is uitgesloten van integriteitscontrole. Deze uitsluitingen zijn opgeslagen in het Anti-Vir.Dat bestand door ofwel TbSetup (automatisch) ofwel door TbScan (handmatig). Y - Bootsector klopt niet met IBM specificatie. Mist '55AA' markering. De bootsector is niet geheel in overeenstemming met het door IBM gedefinieerde bootsector formaat. De bootsector bevat mogelijk een virus, of is verminkt. Z - EXE/COM vaststelling. Programma probeert te ontdekken of een bestand een COM dan wel EXE bestand is. Kan een virus zijn! Het besmetten van een COM bestand werkt anders dan het besmetten van een EXE bestand, hetgeen impliceert dat virussen die beide typen kunnen besmetten, de typen ook uit elkaar kunnen houden. Er zijn natuurlijk ook onschuldige programma's die moeten bepalen of een bestand COM dan wel EXE is. Executable file compressors, EXE2COM converters, debuggers, en high-loaders zijn voorbeelden van pro- gramma's die een routine kunnen bevatten om EXE en COM bestanden te onderscheiden. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix C Appendix C. Oplossingen t.a.v. incompatibiliteit Alhoewel de TBAV utilities ontworpen zijn om samen te werken met andere residente software, werkt die andere software mogelijk niet samen, en kan daardoor mogelijk systeemfouten -of erger- veroorzaken. Probleem: Als een TBAV utility een boodschap tracht te tonen, verschijnt de melding 'message file <filename> could not be opened'. Oplossing: Geef na het TbDriver commando het VOLLEDIGE pad en de bestandsnaam op van het bestand dat u als boodschappenbe- stand gebruikt. De default naam is "TbDriver.Lng". Probleem: Een van uw applicaties laadt een resident programma in het geheugen zonder dat dit programma een uitvoerbare uitgang heeft zoals .EXE of .COM. Omdat TbSetup alleen Anti-Vir.Dat records maakt voor uitvoerbare bestanden kan TbMem de TSR permissie niet opslaan. Solution: Roep TbSetup aan met de EXACTE bestandsnaam van het residente programma. Hierdoor maakt TbSetup een Anti- Vir.Dat record aan, ongeacht de bestandsnaamuitgang. Hierdoor kan TbMem de gewenste informatie opslaan. Hoewel het Anti-Vir.Dat record bestaat zal TbScan het niet gebruiken om veranderingen te detecteren, dit om valse alarmeringen te voorkomen. Probleem: U gebruikt een netwerk. TbScanX is met succes geinstalleerd, maar toont de "*scanning*" boodschap niet wanneer het bestanden bena- dert. Het signaleert ook geen virussen. TbCheck is met succes geinstalleerd, maar toont de "*checking*" boodschap niet gedurende het benaderen van bestanden. Het signaleert ook geen virussen. TbFile is met succes geinstalleerd, maar het signaleert niets meer. TbMem is met succes geinstalleerd, maar het signaleert geen TSRs meer. Oplossing: Gebruik het 'TbDriver net' commando nadat het netwerk geladen is. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix C Probleem: Het systeem hangt soms wanneer de boodschap "*scanning*" op het scherm wordt getoond. Oplossing: Probeer TbScanX eens zonder de optie 'EMS' of 'XMS'. Als TbScanX nu probleemloos werkt, voeg dan de optie 'EMS' of 'XMS' weer toe met de optie 'compat'. Op sommige systemen kan de TbScanX 'XMS' optie helemaal niet gebruikt worden, omdat deze systemen het gebruik van extended geheugen door residente software niet toestaan. Indien het probleem wordt veroorzaakt door de optie 'XMS' maar niet kan worden opgelost met optie 'compat' kunt u optie 'XMSseg = <value>' gebruiken om het XMS swapsegment te veranderen. De waarde dient te liggen tussen de 2000 en 8000. De verstekwaarde is 4000. Probleem: Nadat u een programma permissie heeft gegeven om resident in het geheugen te blijven, vraagt TbMem dezelfde vraag de volgende keer weer. Oplossing: 1) De 'secure' optie van TbDriver is opgegeven. Verwij- der deze optie, herstart en probeer het opnieuw. 2) Het genoemde programma komt niet voor in het Anti- Vir.Dat bestand, waardoor TbMem de permissievlag niet permanent kan opslaan. Gebruik TbSetup om het Anti-Vir.Dat record van dit programma te genereren. Probleem: Het systeem hangt af en toe wanneer u de vraag 'abort program' van TbMem met 'Yes' beantwoordt. Oplossing: Geen. Sommige residente programma's grijpen diep op het systeem in. Zodra zij geweigerd zijn om resident te worden is de status van het systeem niet stabiel meer. Probleem: Wanneer u TbDisk vanaf de DOS prompt laadt, werkt alles goed. Installeert u TbDisk echter vanuit de Config.Sys of de AutoExec.Bat, dan blijft het waarschuwen dat er pro- gramma's direct naar de schijf schrijven. Oplossing: Laadt TbDisk aan het einde van uw AutoExec.Bat. Probleem: U formatteerde de harde schijf met DOS FORMAT.COM, maar TbDisk gaf pas een melding toen het proces bijna beein- digd was. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix C Oplossing: Dit is geen probleem. Een 'high level format' programma als DOS FORMAT.COM formatteert de harde schijf feitelijk niet, maar leest alle sporen om mogelijk aanwezige slech- te plekken te lokaliseren waarna het de FAT en de direc- tory structuur opschoont. Alleen deze laatste stap bete- kent een schrijfactie. Alleen deze laatste stap wordt dus door TbDisk gesignaleerd. Probleem: Nadat u een programma toestemming heeft gegeven om een rechtstreekse schijfbenadering uit te voeren, stelt TbDisk een volgende keer dezelfde vraag. Oplossing: 1) De 'secure' optie van TbDriver is opgegeven. Verwij- der deze optie, herstart en probeer opnieuw. 2) Het genoemde programma komt niet voor in het Anti- Vir.Dat bestand, waardoor TbDisk de permissievlag niet permanent kan opslaan. Gebruik TbSetup om het Anti-Vir.Dat record van dit programma te genereren! Probleem: Wanneer u Windows fast 32 bit disk access probeert te gebruiken, krijgt u een Windows foutmelding. Oplossing: Gebruik de optie 'win32' op de TbDisk commandoregel. TBAV handleiding (C) Copyright 1994 Thunderbyte B.V. Appendix D Appendix D. Batch-bestand informatie Alle TBAV utilities keren terug naar DOS met een errorcode die u kunt benutten met het DOS 'errorlevel' commando. Raadpleeg uw DOS handleiding voor informatie over deze commando's. TbScan wordt afgesloten met een van de volgende exit codes: Errorlevel 0 Geen virussen gevonden / Geen fout opgetreden 1 Geen bestanden gevonden 2 Fout opgetreden 3 Bestanden zijn veranderd 4 Virus gevonden tijdens heuristische analyse 5 Virus gevonden tijdens handtekening scanning 255 Sanity check mislukt TbUtil wordt afgesloten met een van de volgende exit codes: Errorlevel 0 Geen fout opgetreden 1 Optie 'compare' niet geslaagd of fout opgetreden Alle andere utilities sluiten af met een van de volgende exit codes: Errorlevel 0 Geen fout opgetreden 1 Fout opgetreden Om in een Batch-bestand vast te stellen of een bepaald TBAV programma is geladen kunt u vaststellen met behulp van de device-naam die elk TBAV programma installeert in zowel de device- als TSR-modus. U kunt de DOS 'if exist' constructie gebruiken: @echo off if not exist SCANX echo TbScanX is niet geladen! Of u kunt naar een label springen met het 'goto' commando: if not exist SCANX goto noscanx bla bla :noscanx bla bla De TBAV device namen zijn: TbScanX: SCANX TbCheck: TBCHKXXX TbMem: TBMEMXXX TbFile: TBFILXXX TbDisk: TBDSKXXX TbLog: TBLOGXXX Appendix E. Virusbenamingen Hoeveel virussen spoort TbScan op? De meeste TbScan handtekeningen zijn handtekeningfamiles: een handteke- ning detecteert een hele reeks virussen. Al deze virussen zijn aan elkaar gerelateerd. De PLO/Jerusalem handtekening in TBAV bijvoorbeeld, spoort meer dan 100 virussen op. Om deze reden is het niet mogelijk te zeggen hoeveel virussen TbScan opspoort. Enkele andere anti-virus produkten behandelen elke virus mutant als een afzonderlijk virus, daarbij bewerend dat zij meer dan 2000 virussen kunnen opsporen. TbScan kan met 'slechts' 1000 handtekeningen echter meer virussen identifice- ren. Wilt u virusscanners vergelijken, dan kunt u het beste vertrouwen op de tests die regelmatig in de vaktijdschriften verschijnen. De conventie van de virusbenamingen TbScan volgt de aanbevelingen van CARO wat betreft de virusbenamingen. CARO is een organisatie waarin leidende anti-virus onderzoekers partici- peren. Virussen worden in een hierarchische boom gerangschikt, die aangeeft tot welke familie een bepaald virus behoort. TbScan toont indien mogelijk de volledige CARO naam. Veel andere anti-virus produkten tonen echter alleen de familienaam of de lidnaam. Het 'Leprosy.Seneca.493' virus kan bijvoorbeeld worden aangeduid door de familienaam 'Leprosy' of door de lidnaam 'Seneca', of zelfs door de naam van de variant: '493'. Anti-virus produkten, ontwikkeld door niet-CARO leden gebruiken soms zelfs een volledig afwijkende naam. TbScan probeert echter zo veel mogelijk van de volledige naam te tonen. Als TbScan niet in staat is om te onderscheiden tussen het 'Leprosy.Seneca.493' virus en het 'Lepro- sy.Seneca.517' virus, worden beide virussen aangegeven door de naam 'Leprosy.Seneca'. Sommige virussen veranderen zichzelf regelmatig. Om alle vormen van een dergelijk virus op te sporen is het soms nodig om meervoudige handteke- ningen te gebruiken. Alhoewel deze handtekeningen precies hetzelfde virus betreffen, verschillen ze iets in de aanduiding. Achter de naam van het virus ziet u een nummer tussen punthaken. Dit nummer heeft echter niets te maken met de naam van het virus, maar staat daar slechts voor redenen van onderhoud.