home *** CD-ROM | disk | FTP | other *** search
/ Computer Shopper 87 / Issue 087 - May 1995 - 0595.iso / virus / glossary.doc < prev    next >
Encoding:
Text File  |  1994-04-17  |  14.5 KB  |  313 lines
  1.  
  2.       ╔═══════════════════════════════════════════════╗
  3.       │    GLOSSARY of TERMS and DEFINITIONS          │
  4.       ╚▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒╝
  5.  
  6.     Quickies
  7.   ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒
  8.  
  9.      DOS  -  stands for (D)isk (O)perating (S)ystem, and means
  10.              specifically that the computer's main operating
  11.              instructions are all delivered from a disk. In the
  12.              very first versions of DOS computers, the only way
  13.              to boot (start up) the machine was from a floppy
  14.              disk which had to be in the A: drive.
  15.  
  16.              From XT styled computers on, it has been possible
  17.              to store the boot instructions on the hard disk
  18.              drive instead.
  19.  
  20.              All DOS compatible computers can still be
  21.              started from a floppy disk in the A: drive,
  22.              if or when necessary, usually necessary when
  23.              removing a virus infection from the computer.
  24.  
  25.  
  26.      BOOTING the computer   -  starting up the computer and loading
  27.                                the DOS operating system. With most
  28.                                computers nowadays this is done from
  29.                                the Hard Drive when the machine is
  30.                                turned on.
  31.  
  32.                  HARD BOOT  -  specifically re-booting the computer
  33.                                by turning it OFF, then back ON.
  34.  
  35.                  SOFT BOOT  -  re-booting the computer by using
  36.                                either the RESET button, or pressing
  37.                                keys  <CTRL-ALT-DEL>  simultaneously.
  38.  
  39.                  WARM BOOT  -  same as Soft Boot.
  40.  
  41.  
  42.  
  43.      DOS disk, or BOOT disk     -  a floppy disk on which a version of
  44.                                    the DOS operating system exists which
  45.                                    in the A: drive boots the computer.
  46.  
  47.  
  48.  
  49.  
  50.      WRITE protected BOOT disk  -  DOS disk which has been WRITE protected,
  51.                                    either with a small tab  (if a 5¼" disk),
  52.                                    or a small slide (if a 3½" cookie disk).
  53.  
  54.                                    Viruses cannot infect disks which are
  55.                                    write protected.
  56.  
  57.                 You should ALWAYS have on hand a clean write protected boot
  58.                 disk, meaning that you "" KNOW "" not `think' that the disk
  59.                 is free of viruses.  Use this disk to re-boot the computer
  60.                 when getting ready to remove a virus.
  61.  
  62.  
  63.      RAM        -  the computer's  (R)andom (A)ccess (M)emory bank,
  64.                    usually just called `memory', and consisting of
  65.                    memory (RAM) chips.
  66.  
  67.  
  68.      BOOT RECORD   - all floppy disks and hard disk partitions contain
  69.                      another data structure called the Boot Record, or
  70.                      DOS Volume Boot Record, created by FORMAT.COM.
  71.  
  72.  
  73.  
  74.                      This is another critical data structure. On a Hard
  75.                      Drive, the data on the DOS Volume Boot Record should
  76.                      match exactly the data found in the Partition Table
  77.                      (also called Master Boot Record). Like the Partition,
  78.                      the Boot Record is exactly one sector long (512 bytes).
  79.  
  80.                      DOS uses the information in this record to figure out
  81.                      where the FAT and root directory are stored and what
  82.                      is the capacity of the disk. Without this important
  83.                      data structure, DOS cannot access the media.
  84.  
  85.      MBR        -    the (M)aster (B)oot (R)ecord is also called
  86.                      the PARTITION TABLE. (See Partition Table.)
  87.  
  88.  
  89.      FAT        -    the (F)ile (A)llocation (T)able is the way DOS keeps
  90.                      track of the files. Each file exists on the disk as
  91.                      fragments in individual cells that are not necessarily
  92.                      contiguous. The File Allocation Table is this part of
  93.                      DOS that maintains a record of where on the disk all
  94.                      the parts of a file are stored. There are two exact
  95.                      copies of the FAT on each hard disk or floppy disk.
  96.  
  97.  
  98.      PARTITION TABLE    -  the Partition Table (Master Boot Record) exists
  99.                            only on Hard Drive, not on floppies. The Partition
  100.                            Table tells the BIOS  (Basic Input Output System)
  101.                            which operating system to use at boot up, and where
  102.                            it is located on your hard drive.
  103.  
  104.                            It is because of this "Partition Table" that it is
  105.                            possible to have more than one operating system on
  106.                            the same hard disk, or to get on the same physical
  107.                            hard disk two or more separate logical drives (e.g.
  108.                            C:, D:, E:). The Partition Table indicates where
  109.                            each part starts and stops, and which part contains
  110.                            the operating system to use at boot up.
  111.  
  112.                            Before you can even format a hard drive and put an
  113.                            operating system on it, FDISK writes on the first
  114.                            physical sector of the Hard disk (Cyl.0, Side 0,
  115.                            Sector 1) all the information needed by the BIOS
  116.                            (Basic Input Output System) to be able to figure
  117.                            out how the Hard Drive is divided in terms of data
  118.                            structure.
  119.  
  120.  
  121.  
  122.                            The Master Boot Record basically identifies the
  123.                            different divisions on the hard drive, also called
  124.                            partitions. It is 512 bytes long, exactly one sector.
  125.  
  126.  
  127.  
  128.      SWITCH Dos prompt to  A:   -  some users work so constantly through
  129.                                    a word processor or X-Tree, that switching
  130.                                    drives is always done automatically by
  131.                                    the program. Thus the instruction 'Switch
  132.                                    to the  A: prompt' has little or no meaning
  133.                                    to users of those programs.
  134.  
  135.  
  136.                            It means specifically, exiting the program until
  137.                            a Dos prompt is on screen, usually C:, then typing:
  138.                            A: , then pressing the  Enter  key and seeing the
  139.                            Dos prompt switch to  A:, which means that the A:
  140.                            floppy disk drive is now ready to read the disk
  141.                            inserted in it.
  142.  
  143.  
  144.  
  145.  
  146.      HYPERDOC     -  word coined by us to refer to a special menu which
  147.                      lists all of ALERT's pop-ups, quick previews, and help
  148.                      documents as options, and from which you can select
  149.                      any one by pressing the appropriate key.
  150.  
  151.  
  152.      LOG REPORT   -  for any virus Scan or Clean run, a report of that run
  153.                      is automatically  SAVED  as an ordinary text file, so
  154.                      it can be viewed at leisure if needed. The Report file
  155.                      is normally saved to the C: drive as a file called:
  156.  
  157.                                           C:\ALERT.LOG
  158.  
  159.                      All ALERT menus have an option for viewing the report
  160.                      directly from the menu. You can also use any text editor
  161.                      or word processor.
  162.  
  163.      FALSE POSITIVES  -  are viruses which show up in SCAN checks, but are
  164.                          not actually present. How to recognize a 'False
  165.                          Positive' and what to do about one, is discussed
  166.                          near the beginning of the 'Advanced Readers Doc',
  167.                          option (R) in the Help menu.
  168.  
  169.  
  170.      PACKED           -  packed (or compressed) files are program files
  171.                          which have been compressed by space savers but
  172.                          still run as an executable program. Virus ALERT
  173.                          does not scan inside packed files since the original
  174.                          virus codes can't operate. But ALERT does scan
  175.                          compressed files of themselves, because a virus
  176.                          can attach to a compressed file, no problem.
  177.  
  178.  
  179.      ZIPPED           -  zipped (also called compressed not to confuse anyone)
  180.                          are files which have been compressed collectively into
  181.                          clumps for storage, or transmission along expensive
  182.                          phone lines.  Alert does not scan inside zipped files
  183.                          because there is nothing to scan except the one big
  184.                          clump, which it scans anyway. However, a virus which
  185.                          was in a file before the compression, will be active
  186.                          again as soon as the zipped file is unzipped.
  187.  
  188.                          So obviously, always scan a newly unzipped set
  189.                          of files before attempting to use them. Say what?
  190.                          Always scan a newly unzipped set of files before
  191.                          attempting to use them. Say what? Always scan...
  192.  
  193.  
  194.     Longies
  195.   ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒
  196.  
  197.   ░░  BOOT SECTOR VIRUSES VERSUS FILE INFECTING VIRUSES
  198.  
  199.   ░░  Boot Sector viruses  -  Any hard drive (disk) and all floppy
  200.        disks have a boot sector. This is the special start up area of
  201.        the disk which Dos reads in order to gain access to the disk
  202.        in order to work with it.
  203.  
  204.        Boot sector viruses target just this boot sector area of the
  205.        disk, leaving the data area alone. Boot sector viruses can infect
  206.        any disk, whether the disk is specifically for booting the computer
  207.        or not - it makes no difference. Many Boot sector viruses also target
  208.        the Partition table. Some viruses can get into the FAT table but
  209.        this is very rare.
  210.  
  211.        If an infected floppy disk is used to boot the computer from the A:
  212.        drive (even if by accident, like leaving the disk in the A: drive
  213.        overnight so it is still present in the A: drive when the computer is
  214.        next booted), the virus will infect the boot sector of the computer's
  215.        hard drive.
  216.  
  217.  
  218.        If the hard drive is infected, the virus moves into Ram
  219.        every time the computer is booted from the hard drive
  220.        (in most computers, this means every time you turn it
  221.        on). The virus is then able to jump to the boot sector
  222.        of any floppy disk which is accessed during the day, for
  223.        example when copying to the disk from the hard drive.
  224.  
  225.  
  226.  
  227.       ░░  FILE (program) INFECTING VIRUSES
  228.  
  229.        File infecting viruses infect executable files, i.e.
  230.        programs. When you execute an infected program, the
  231.        virus puts itself into Ram, and then proceeds to copy
  232.        itself into every program which is loaded during the
  233.        day, or in some cases even just looked at by Dos,
  234.        as when checking a directory.
  235.  
  236.        Some of the nastier viruses have double hooks, meaning they
  237.        are both a boot sector virus and a file infecting virus.
  238.  
  239.  
  240.  
  241.  
  242.   ░░  The difference between a signature code based antivirus
  243.        and the so called heuristic approach:
  244.  
  245.        Most antivirus scanners identify viruses strictly by
  246.        the virus's signature code, strictly on a one to one
  247.        basis of exact match with each known variation. Therefore
  248.        most antiviruses cannot detect new viruses, or even new
  249.        variations of old ones.
  250.  
  251.        The reason for this 'no leeway' approach to scan matching
  252.        is that the scanner has to determine the exact name of the
  253.        virus in order for the cleaner to know exactly what steps
  254.        to take to remove it, and to reverse its effects.
  255.  
  256.        But Virus ALERT uses a unique 'completely heuristic' method
  257.        of virus removal, in which the cleaner effectively disassembles
  258.        and emulates the infected file, and then uses this analysis to
  259.        reconstruct the original file and remove the unwanted virus codes.
  260.  
  261.        It doesn't care in the slightest what the signature code
  262.        of the virus is, and it cares even less about the original
  263.        uninfected state of the file.
  264.  
  265.  
  266.        Therefore, the generic cleaner has the ability to clean
  267.        both known and unknown viruses with equal aplomb.
  268.  
  269.        But that takes the pressure completely off the scanner to
  270.        have to plow through a long list of exact virus signature
  271.        variations looking for exact matches. And so Virus ALERT
  272.        has been freed to use both a generic 'family' signature
  273.        code basis for scanning, combined with a heuristic method.
  274.  
  275.        Thus instead of scanning for a specific code for every
  276.        variation of a given virus family, Virus ALERT has only
  277.        to scan for the simple distinct identifiers which mark
  278.        any given variation as a member of the specific family.
  279.  
  280.        Similarly, Virus ALERT might also look at the first jump
  281.        of a program file. If the jump goes to an instruction to
  282.        format the hard drive,  and the file was 'not' the Dos
  283.        'FORMAT.COM' utility for formatting disks, then the scanner
  284.        can pretty much conclude the instruction is part of a virus.
  285.        (Not an actual case, but a neat example.)
  286.  
  287.  
  288.  
  289.  
  290.        The result is a scanner which has blinding speed and unerring
  291.        accuracy. For example, in a recent test, the Virus ALERT scanner
  292.        scanned a very large test hard drive in 3 minutes and 40 seconds.
  293.        Whereas the world's currently most popular antivirus took 29 minutes
  294.        and 9 seconds. Plus Virus ALERT found 95.5% of all viruses in
  295.        a recent test, while the other found only 91.5%.
  296.  
  297.        Plus, for example, Virus ALERT will detect (say) all 100+ current
  298.        mutants of the Jerusalem virus, plus any new ones, whereas the other
  299.        will only detect about 30 or 40 variations, and no new ones unless
  300.        specially configured. Since time is money, the value of this speed
  301.        and accuracy on a big site cannot be overestimated.
  302.  
  303.        The actual mechanisms ALERT uses for heuristic scanning and cleaning
  304.        are detailed in the 'Advanced Readers Doc', option (R) in the Help menu.
  305.  
  306.  
  307.  
  308.                                                FINISHED    press ESC to exit
  309.  
  310.  
  311.  
  312.  
  313.