home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / tbscan20.arc / TBSCAN.DUT < prev    next >
Encoding:
Text File  |  1991-02-08  |  37.9 KB  |  817 lines
  1.     Documentatie voor TbScan v2.0
  2.  
  3.  
  4.  
  5. Reglementen met betrekking tot gebruik en distributie van TbScan
  6. ----------------------------------------------------------------
  7.  
  8.     Het  programma  TbScan  alsmede  de  begeleidende  documentatie   is
  9.     FREE-WARE.  Dit  betekent  kortweg   dat  het  programma  onder   de
  10.     copieerrechten van  ESaSS valt,  maar gratis  gebruikt en  verspreid
  11.     mag worden zolang onderstaande regels in acht worden genomen:
  12.  
  13.     +   Het programma mag door iedereen worden gebruikt, ook door
  14.         commerciele instanties zoals bedrijven.
  15.  
  16.     +   Voor de distributie en verspreiding van het TbScan programma
  17.         mogen geen administratie en/of verzendkosten worden berekend
  18.         die het bedrag van Fl 7,50 overschrijden.
  19.  
  20.     +   Het programma mag niet worden geleverd tesamen, of als deel van
  21.         een commercieel pakket.
  22.  
  23.     +   Verspreiding van het programma mag alleen geschieden indien
  24.         zowel het programma als de documentatie ongewijzigd zijn, en
  25.         mits het gehele pakket wordt geleverd. Het programma mag dus
  26.         niet los van deze documentatie worden verspreid.
  27.  
  28.     +   ESaSS aanvaart geen enkele verantwoordelijkheid voor het niet
  29.         of slecht functioneren van het programma.
  30.  
  31.     +   ESaSS kan nimmer aansprakelijk worden gesteld voor schade,
  32.         direct of indirect voortvloeiende uit het gebruik van TbScan.
  33.  
  34.     +   Gebruik van TbScan betekent dat u accoord gaat met deze
  35.         bepalingen.
  36.  
  37.  
  38.  
  39. Beschrijving TbScan
  40. -------------------
  41.  
  42.     TbScan is een programma dat werd gemaakt om virussen, Trojan  Horses
  43.     en andere bedreigingen van uw  kostbare gegevens op te sporen  en te
  44.     identificeren. Het is een zogenaamde virusscanner.
  45.  
  46.     Een  virusscanner  is  een  programma  dat  naar een vooraf bepaalde
  47.     tekenreeks in  programma's kan  zoeken. De  meeste virussen  bestaan
  48.     uit een unieke  tekenreeks, zodat we  aan het al  dan niet voorkomen
  49.     van de tekenreeks kunnen zien of een programma is besmet.
  50.  
  51.     Door alle  programmabestanden op  uw machine  af te  zoeken naar  de
  52.     tekenreeksen van  alle reeds  geidentificeerde virussen  kan op  een
  53.     eenvoudige manier worden vastgesteld of  uw systeem is besmet en  zo
  54.     ja, met welk virus.
  55.  
  56.  
  57.     Er bestaan  inmiddels veel  virusscanners. TbScan  heeft echter  een
  58.     aantal belangrijke unieke eigenschappen. Deze eigenschappen zijn:
  59.  
  60.  
  61.     +   TbScan doet zijn werk razendsnel.
  62.  
  63.         De  meeste  virusscanners  zijn  helaas geen snelheidsmaniakken.
  64.         Het is belangrijk  dat een virusscanner  zo snel mogelijk  klaar
  65.         is,  omdat  u  nou  eenmaal  tot  de mensen behoort die geen zin
  66.         hebben om een kwartier lang naar een beeldscherm te gaan  zitten
  67.         staren.  Kost  het draaien van  een programma te  veel tijd, dan
  68.         wordt dat  programma gewoon  minder vaak  gedraaid. En  de beste
  69.         virusscanner is nu eenmaal waardeloos als u hem niet gebruikt.
  70.  
  71.         Er is daarom speciale aandacht  besteed aan de snelheid van  het
  72.         programma.  Het  resultaat  is  dat  TbScan  gemiddeld tien maal
  73.         sneller zijn werk doet dan andere virusscanners.
  74.  
  75.         Deze fabelachtige snelheid wordt bereikt dankzij vier
  76.         maatregelen:
  77.         1)  Het programma is geheel in assembler geschreven.
  78.         2)  Het programma gebruikt de verouderde doch snellere FCB
  79.             functies van DOS.
  80.         3)  De signature-zoek routine is zeer geoptimaliseerd en maakt
  81.             gebruik van speciale algoritmen.
  82.         4)  Het programma leest niet het gehele bestand, maar slechts
  83.             het deel waarin virussen zouden kunnen voorkomen. Dit kan
  84.             veilig gebeuren dankzij een ingebouwde interpreter die
  85.             uitzoekt hoe een programma is opgebouwd. Achterin dit
  86.             bestand kunt u meer lezen over deze interpreter.
  87.  
  88.  
  89.     +   TbScan kan buiten  reeds in het geheugen actief zijnde  virussen
  90.         om werken. Dit via een ingebouwde automatische debugger!
  91.  
  92.         Veel virussen zijn geheugenresident, wat wil zeggen dat ze  zich
  93.         in het  geheugen van  uw machine  nestelen. Daar  kunnen ze  een
  94.         grote  macht  uitoefenen  over  alle  draaiende  programma's. Er
  95.         bestaan   inmiddels    virussen   die    een    programmabestand
  96.         onmiddellijk "desinfecteren"  zodra er  gepoogd wordt  het in te
  97.         lezen. Een  virusscanner die  een programmabestand  ter controle
  98.         inleest constateert dan (op dat moment terecht) dat het  bestand
  99.         niet  geinfecteerd  is.  Nadat   het  is  ingelezen  wordt   het
  100.         programmabestand   echter    weer   direct    besmet.    Kortom,
  101.         virusscanners melden dat uw machine geen virus heeft  opgelopen,
  102.         terwijl het er wel degelijk is.
  103.  
  104.         TbScan biedt een unieke  oplossing voor dit probleem:  Het bezit
  105.         een  automatische  debugger  die  tijdens  het  opstarten   zich
  106.         "single stepping" door de interrupt keten heen werkt tot het  de
  107.         DOS programmacode bereikt. Het  slaat het dan gevonden  adres op
  108.         en gebruikt  daarna voor  het inlezen  van bestanden  dit adres.
  109.         Virussen  zullen  dan   ook  niets  te   zien  krijgen  van   de
  110.         handelingen die TbScan verricht.
  111.  
  112.  
  113.     +   TbScan is volledig programmeerbaar door middel van een
  114.         databestand.
  115.  
  116.         Virussen verspreiden zich vaak snel. Er is vaak geen tijd om  na
  117.         de ontdekking van een nieuw virus een virusscanner om te  bouwen
  118.         zodat  het  ook  dit  nieuwste  virus  herkent.  Daarom gebruikt
  119.         TbScan  een  databestand  waarin  de  tekenrijen van de virussen
  120.         staan. Dit bestand kan  snel worden aangepast, eventueel  door u
  121.         zelf  naar  aanleiding  van  een  bericht  via  de media. TbScan
  122.         ondersteunt onder andere het  formaat dat wordt gebruikt  in het
  123.         bestand "virscan.dat".  Dit bestand  wordt regelmatig  aangepast
  124.         en is op veel databanken te verkrijgen.
  125.  
  126.  
  127.     +   TbScan ondersteunt jokers in de zoekreeks.
  128.  
  129.         Veel  virussen  versleutelen  zichzelf,  zodat  de tekenreeks er
  130.         iedere keer anders uitziet. Er is echter een deel van het  virus
  131.         dat  niet   kan  worden   versleuteld:  de   routine  die    het
  132.         versleutelde deel van het virus moet "uitpakken".
  133.  
  134.         Het  is  echter  een  misvatting  dat  dit deel van het virus er
  135.         altijd hetzelfde uit zou moeten zien. Er zijn namelijk  virussen
  136.         die de  uitpak-routine doorspekken  met zinloze  (en geen effect
  137.         sorterende)  instructies,  die  ze  iedere  keer  vervangen door
  138.         andere   onzinnige   instructies.   Hoewel   de   uitpak-routine
  139.         functioneel  altijd  hetzelfde  blijft  ziet  het  er  door  die
  140.         veranderende nep-instructies niet altijd hetzelfde uit!
  141.  
  142.         Door in de  tekenrij in het  databestand op de  plaatsen waar de
  143.         nep-instructies voorkomen jokers  te plaatsen kan  een dergelijk
  144.         virus toch  worden opgespoord  en geidentificeerd.  Op de plaats
  145.         van de joker mag namelijk een willekeurig teken voorkomen.
  146.  
  147.         Ook is  het mogelijk  een variabel  aantal tekens  over te laten
  148.         slaan in de zoekreeks.
  149.  
  150.  
  151.     +   TbScan ondersteunt gewone tekst als zoekreeks.
  152.  
  153.         De meeste  tekenreeksen worden  in ASCII-HEX  ingegeven. U  kunt
  154.         echter indien  u dat  wenst ook  een gewone  tekst als zoekreeks
  155.         opgeven. U plaatst de tekst dan tussen dubbele quotes: ["].
  156.  
  157.  
  158.     +   TbScan kan ook het geheugen van uw PC afzoeken naar virussen.
  159.  
  160.         Mochten er in de  toekomst nog slimmere virussen  losbarsten die
  161.         om wat voor reden niet  meer in een programmabestand zijn  terug
  162.         te vinden dan  biedt TbScan de  mogelijkheid ze in  het geheugen
  163.         van uw PC zelf op te sporen. U weet dan in ieder geval of uw  PC
  164.         besmet is met een bepaald virus.
  165.  
  166.  
  167.     +   TbScan  zoekt ook in de  partitietabel van de vaste  schijf. Een
  168.         aantal  virussen  verkiest  deze  plek  als verblijfplaats. Niet
  169.         alle virusscanners zoeken in de partitietabel.
  170.  
  171.  
  172.  
  173. Gebruik van het programma
  174. -------------------------
  175.  
  176.     TbScan is eenvoudig in het gebruik. De syntaxis is als volgt:
  177.              TBSCAN [<pad>][<bestandsnaam>]... [<opties>]...
  178.  
  179.     Het station en pad geven aan  vanaf waar moet worden gezocht. Om  de
  180.     gehele schijf C: en schijf D: af te zoeken geeft u in:
  181.              TBSCAN C:\ D:\
  182.  
  183.     Indien  GEEN  bestandsnaam  wordt  opgegeven  maar slechts een drive
  184.     en/of  pad  dan  wordt  dat   pad  als  start  pad  gebruikt.   Alle
  185.     subdirectories worden ook geinspecteerd.
  186.  
  187.     Wordt echter WEL een bestandsnaam opgegeven dan wordt slechts in  de
  188.     opgegeven directory gezocht. Subdirectories worden niet behandeld.
  189.  
  190.     In de bestandsnaam  mag gebruik worden  gemaakt van "wildcards".  Zo
  191.     is het toegestaan om "*.*"  in te geven. Alle uitvoerbare  bestanden
  192.     (bestanden  met  de  uitgang  .EXE,  .COM,  .SYS,  .OV?)  worden  nu
  193.     geinspecteerd.  Indien  u  ook  de  niet-uitvoerbare  bestanden wilt
  194.     laten doorzoeken dan  dient u in  combinatie met de  bestandsnaam de
  195.     "/a"  optie  te  gebruiken.  "TBSCAN  TEST.DAT"  heeft  altijd   tot
  196.     resultaat dat geen enkel  bestand wordt behandeld: test.dat  is geen
  197.     uitvoerbaar bestand. Gebruik in dit geval dus de /a parameter.
  198.  
  199.  
  200.     De volgende opties zijn beschikbaar:
  201.         -h              = help, toon de helptekst.
  202.         -f <filename>   = gebruik het opgegeven signature bestand.
  203.         -q              = quiet mode. Toon geen bestandsnamen.
  204.         -v              = vertoon de startadressen.
  205.         -m              = Geef een "More prompt".
  206.         -d              = directe DOS- en BIOS aanroep.
  207.         -a              = gedwongen "analyze".
  208.         -s              = sla bootsector en partition table over.
  209.         -r              = zoek niet naar geheugen residente virussen.
  210.         +r              = zoek naar alle virussen in het geheugen.
  211.         -l [<filename>] = maak een log-bestand.
  212.         +l [<filename>] = voeg toe aan log-bestand.
  213.         -n              = zoek niet in subdirectories.
  214.         +n              = zoek altijd in subdirectories.
  215.         -u              = ongeauthorizeerde handtekeningen toegestaan.
  216.  
  217.     -F  Met deze optie  kunt u de bestandsnaam van  het signaturebestand
  218.         opgeven.
  219.  
  220.     -Q  Normaal  laat  TbScan ieder  bestand zien  dat het  controleert,
  221.         samen  met  de  gebruikte  methode.  Wanneer u echter deze optie
  222.         opgeeft ziet u  slechts een teller  lopen wanneer TbScan  werkt.
  223.         Besmette bestanden worden uiteraard WEL op het scherm getoond.
  224.  
  225.     -V  Indien deze optie wordt opgegeven laat TbScan de positie in  het
  226.         te scannen bestand  zien waar het  de stabiele uitvoerbare  code
  227.         heeft  gevonden.  Dit  is  het  gebied  dat  wordt  afgezocht op
  228.         virussen.
  229.  
  230.     -M  Indien u  de parameter  -M opgeeft  stopt TbScan  nadat  het een
  231.         scherm vol bestanden  heeft afgewerkt. Dit  om u de  gelegenheid
  232.         te  geven  het  resultaat  te  bekijken.  (Het  programma  houdt
  233.         uiteraard rekening met de door u gebruikte schermlengte).
  234.  
  235.     -A  TbScan gebruikt normaal alleen de analyze methode indien het  te
  236.         controleren  programma  te  ingewikkeld  is  voor  de ingebouwde
  237.         interpreter.  U  kunt  echter  via  de  -A  optie TbScan dwingen
  238.         altijd  de  Analyze  methode  te  gebruiken.  Bedenk wel dat het
  239.         programma daar een stuk trager van wordt.
  240.  
  241.         Wanneer  er  geen  bestandsnaam   is  opgegeven  worden   alleen
  242.         uitvoerbare   bestanden   geanalyseerd.   Is   echter   WEL  een
  243.         bestandsnaam  opgegeven  dan  worden  alle  passende   bestanden
  244.         geinspecteerd, ongeacht  de uitgang  van het  bestand. Bovendien
  245.         wordt in dat geval gezocht naar elk virus in de lijst,  ongeacht
  246.         het type bestand.
  247.  
  248.     -D  TbScan  communiceert  normaal  gesproken  met DOS via  interrupt
  249.         21h.   Om "afluisteren"  door virussen  te voorkomen  kan de  -D
  250.         optie  worden  opgegeven.  TbScan  gebruikt  dan zijn ingebouwde
  251.         debugger om zich door de  interruptketen heen te werken tot  het
  252.         het DOS  startpunt heeft  bereikt. Het  gevonden startpunt wordt
  253.         op het  scherm getoond,  en vanaf  dat moment  gebruikt voor  de
  254.         communicatie  met  DOS.  Hetzelfde  geldt  voor de disks: TbScan
  255.         zoekt  eerst  het  BIOS  ingangs-adres,  en pleegt rechtstreekse
  256.         calls daar naar toe. Residente programma's, waaronder  virussen,
  257.         zijn dan buitengesloten van deelname aan het virusscan-process.
  258.  
  259.         Dit impliceert  echter dat  ook de  gewone residente programma's
  260.         in onwetendheid  blijven ten  aanzien van  de bestandsbenadering
  261.         door  TbScan.  Gebruik  daarom  deze  optie  niet  wanneer u een
  262.         multitasker gebruikt of aangesloten bent op een netwerk.
  263.  
  264.         Bedenk  ook  dat  veel  beveiligingspakketten door TbScan worden
  265.         omzeild. Wees  niet verrast  wanneer het  programmatuur scant in
  266.         directories waar u eigenlijk geen toegang toe heeft...
  267.  
  268.         Wanneer  u  deze  optie  wel  gebruikt  roep  dan geen residente
  269.         programma's  naar   de  voorgrond   zolang  TbScan   actief  is!
  270.         Residente  programma's  kunnen  dan  immers  niet  weten  dat er
  271.         bestands-IO gaande is.
  272.  
  273.         Het gebruik van zogenaamde  cachers vormt geen belemmering  voor
  274.         het gebruik van de -D optie.
  275.  
  276.         Indien u de Thunderbyte kaart  in uw PC heeft geinstalleerd  zal
  277.         TbScan  niet  zoeken  naar  het  DOS  startpunt,  maar  naar het
  278.         Thunderbyte  startpunt.  Anders  zou  deze  optie  (terecht)  de
  279.         waarschuwing van Thunderbyte uitlokken dat een programma DOS  en
  280.         het  BIOS  rechtstreeks  aanroept.  Thunderbyte  blijft  dus als
  281.         enige tussen TbScan en DOS/BIOS zitten.
  282.  
  283.     -S  Met deze optie laat u het zoeken naar virussen in de  bootsector
  284.         van uw schijf overslaan.
  285.  
  286.     -R  Met deze optie voorkomt u dat TbScan ook in het geheugen van  uw
  287.         PC naar virussen zoekt.
  288.  
  289.     +R  Wanneer u deze optie opgeeft zoekt TbScan naar alle virussen  in
  290.         het geheugen van uw PC.
  291.  
  292.     -L  Wanneer u deze  parameter gebruikt maakt TbScan een  LOG-bestand
  293.         aan. Dit bestand krijgt  standaard de naam "TBSCAN.LOG".  Het is
  294.         echter  mogelijk  zelf  een  bestandsnaam  op  te  geven. In dit
  295.         LOG-bestand  wordt  een  opsomming  gegeven  van  alle  besmette
  296.         programmabestanden.  De  bestandsnamen  worden  genoemd  met  de
  297.         volledige padnaam.
  298.  
  299.     +L  Deze optie  is hetzelfde  als de  -L optie,  alleen wordt  nu de
  300.         log-informatie toegevoegd aan een reeds bestaande logbestand  in
  301.         plaats van dat het oude logbestand wordt overschreven.
  302.  
  303.     -N  TbScan   zoekt  normaal   ook  naar  uitvoerbare  bestanden   in
  304.         subdirectories,  behalve  wanneer  een  naam  van het te scannen
  305.         bestand  wordt  opgegeven.  Wanneer  u  deze  optie gebruikt zal
  306.         TbScan nooit zoeken in subdirectories.
  307.  
  308.     +N  Wanneer  u   deze  optie   gebruikt   zoekt  TbScan  altijd   in
  309.         subdirectories, dus  ook wanneer  u een  te scannen bestandsnaam
  310.         (al dan niet met  wildcards) opgeeft. Alleen subdirectories  die
  311.         voldoen aan de opgegeven specificatie worden doorzocht.
  312.  
  313.     -U  TbScan  controleert  het  handtekeningenbestand  op  "echtheid".
  314.         Indien het bestand is  gewijzigd geeft TbScan een  waarschuwing.
  315.         Indien u  geen prijs  stelt op  de waarschuwing  gebruik dan  de
  316.         optie -u
  317.  
  318.  
  319.     VOORBEELDEN:
  320.         TBSCAN \ -s
  321.             Behandel alle  uitvoerbare bestanden  in de  hoofd-directory
  322.             en diens sub-directories. Sla de bootsector over.
  323.  
  324.         TBSCAN \*.*
  325.             Behandel alle uitvoerbare  bestanden in de  hoofd-directory.
  326.             Zoek niet in sub-directories.
  327.  
  328.         TBSCAN test.dat -l c:\test.log
  329.             Er  wordt   geen  bestand   doorzocht.  TEST.DAT   is   geen
  330.             uitvoerbaar bestand.  Er wordt  een LOG  bestand gemaakt met
  331.             de naam c:\test.log
  332.  
  333.         TBSCAN test.dat test.tmp -a
  334.             Zoek in TEST.DAT en TEST.TMP naar ALLE virussen.
  335.  
  336.         TBSCAN C:\ -a
  337.             Behandel alle uitvoerbare  bestanden in de  hoofd-directorie
  338.             en diens sub-directories. Gebruik de analyze methode.
  339.  
  340.         TBSCAN C:\*.* -a
  341.             Behandel  ALLE  bestanden  in  de hoofd-directory. Zoek naar
  342.             ALLE virussen  in ALLE  bestanden. De  analyze methode wordt
  343.             gebruikt. Er wordt niet in sub-directories gezocht.
  344.  
  345.     Uit de twee laatste voorbeelden komt het verschil in de  gedragingen
  346.     van de -A  optie in combinatie  met een bestandsnaam  duidelijk naar
  347.     voren.
  348.  
  349.  
  350.     Indien u bepaalde opties altijd  gebruikt kan het handig zijn  om de
  351.     omgevingsvariable  "TBSCAN"  te  gebruiken.  Indien  u  bijvoorbeeld
  352.     altijd  de  optie  -s  gebruikt  kunt  u  de  volgende  regel  in uw
  353.     autoexec.bat opnemen:
  354.                 SET TBSCAN=-S
  355.     TbScan gedraagt zich  in dit geval  altijd alsof de  -S optie op  de
  356.     commandoregel was opgegeven!
  357.  
  358.  
  359.     TbScan zoekt op de volgende wijze naar het databestand:
  360.     1)  Het gebruikt het bestand dat is opgegeven m.b.v. de -F optie.
  361.     2)  Het kijkt of het in de actieve directory een bestand met de
  362.         naam "TBSCAN.DAT" kan vinden.
  363.     3)  Het zoekt naar "TBSCAN.DAT" in de zelfde directory als waar
  364.         het programmabestand "TBSCAN.COM" zelf staat (alleen DOS 3+).
  365.     4)  Het zoekt in de actieve directory naar een bestand met de naam
  366.         "VIRSCAN.DAT"
  367.  
  368.  
  369.     Zolang  TbScan  geen  besmette  programma's  heeft  gevonden  ziet u
  370.     slechts een lijst met alle bestanden op het scherm voorbijkomen,  of
  371.     slechts een teller lopen indien  de -Q optie is opgegeven.  Zodra er
  372.     een besmet programma is gevonden wordt (ongeacht het gebruik van  de
  373.     -Q optie) de naam van  het besmette programma afgedrukt, evenals  de
  374.     naam van het virus.
  375.  
  376.     Achter  iedere  bestandsnaam   ziet  u  een   van  de  drie   termen
  377.     "Scanning", "Tracing",  "Analyzing" staan.  Dit geeft  de wijze  aan
  378.     waarop het bestand wordt gecontroleerd.
  379.  
  380.     Achter deze termen  ziet u afhankelijk  van de grootte,  de bouw, en
  381.     het soort  bestand een  aantal plusjes  verschijnen. Deze  geven aan
  382.     hoe  vaak  er  een  compleet  stuk  van  het bestand, bootsector, of
  383.     geheugen afgezocht is naar virussen.
  384.  
  385.     Het  proces  kan  worden  afgebroken  door  Escape  of  Ctrl-C in te
  386.     toetsen.
  387.  
  388.  
  389. Opmaak van het databestand
  390. --------------------------
  391.  
  392.     Het databestand (met de naam "TBSCAN.DAT" of "VIRSCAN.DAT") kan  met
  393.     iedere ASCII-editor gelezen en/of gewijzigd worden.
  394.  
  395.     Alle regels die  beginnen met het  teken ";" zijn  commentaarregels.
  396.     TbScan negeert  deze regels  volkomen. Wordt  het teken  ";" gevolgd
  397.     door een procentteken dan wordt de  rest van de regel op het  scherm
  398.     afgedrukt.  Er  kunnen  maximaal  15  regels worden afgedrukt op het
  399.     scherm. Handig for "HOT NEWS"...
  400.  
  401.     Als eerste  regel wordt  de naam  van een  virus verwacht. De tweede
  402.     regel bevat dan een of meer van de volgende woorden:
  403.                 BOOT SYS EXE COM HIGH LOW
  404.  
  405.     Deze woorden mogen worden gescheiden door spaties, tabs, of komma's.
  406.  
  407.     BOOT geeft aan dat  het virus een BOOT-sector  virus is.  SYS,  EXE,
  408.     en  COM  geven  aan  dat  het  virus  in  bestanden  met de genoemde
  409.     uitgangen  kan  voorkomen.  Overlay  bestanden  (bestanden  met   de
  410.     uitgang .OV?) worden doorzocht op  EXE virussen. HIGH geeft aan  dat
  411.     het virus in  het geheugen van  de PC kan  voorkomen, en wel  in het
  412.     geheugen BOVEN  het TbScan  programma zelf.  LOW geeft  aan dat  het
  413.     virus  in  het  geheugen  van  de  PC  kan  voorkomen, en wel in het
  414.     geheugen ONDER het TbScan programma zelf.
  415.  
  416.     Als derde  regel wordt  de tekenreeks  in ASCII-HEX  verwacht. Ieder
  417.     virusteken wordt beschreven door  middel van twee tekens.  In plaats
  418.     van  twee  hex-tekens  mogen  ook  twee  vraagtekens  voorkomen. Dat
  419.     laatste betekent  dan dat  het teken  op die  positie door het virus
  420.     gewijzigd kan worden  en elk teken  dus voldoet. Een  tekenreeks kan
  421.     er dus als volgt uitzien:
  422.                 A5E623CB??CD21??83FF3E
  423.  
  424.     Ook kunt  u het  sterretje gevolgd  door een  byte gebruiken  om een
  425.     aantal tekens in de zoekreeks  over te laten slaan. De  byte bestaat
  426.     uit  een   ASCII-HEX  teken,   en  geeft   het  aantal   tekens  dat
  427.     overgeslagen  kan  worden.  Een  tekensreeks  kan  er  dus als volgt
  428.     uitzien:
  429.                 A5E623CB*3CD2155??83FF3E
  430.     De volgende tekenreeks wordt dan als virus herkend:
  431.             A5E623CB142434CD21554583FF3E
  432.  
  433.  
  434.     In plaats  van een  tekenreeks in  ASCII-HEX kunt  u ook  een gewone
  435.     tekst opgeven.  Deze dient  dan wel  tussen dubbele aanhalingstekens
  436.     geplaatst te worden. Een geldige tekenreeks is:
  437.             "Ik heb je te pakken!"
  438.  
  439.     Deze opeenvolging van drie regels  dient voor ieder virus te  worden
  440.     herhaald. Tussen alle regels mogen commentaarregels voorkomen.
  441.  
  442.     Zie verder het databestand.
  443.  
  444.  
  445.  
  446. Limieten:
  447. ---------
  448.  
  449.     +   128Kb aan vrij geheugen is minimaal vereist.
  450.  
  451.     +   DOS versie vanaf 2.0 is vereist.
  452.  
  453.     +   De lengte van het databestand mag maximaal 64Kb bedragen.
  454.  
  455.     +   De naam van een virus mag 30 tekens lang zijn.
  456.  
  457.     +   De ASCII-HEX tekenreeks mag maximaal 80 tekens lang zijn.
  458.  
  459.     +   Er mogen tot 500 verschillende signatures worden opgegeven.
  460.  
  461.     +   Directories mogen tot vijftien nivo's diep gaan.
  462.  
  463.  
  464.  
  465. Foutmeldingen
  466. -------------
  467.  
  468.     De volgende foutmeldingen kunnen voorkomen:
  469.  
  470.     +   Not enough memory
  471.         Er is niet genoeg geheugen vrij om te kunnen scannen.
  472.  
  473.     +   Error in data line at line <nummer>
  474.         Er zit een fout in het databestand op de vermelde regel.
  475.  
  476.     +   Failed to find DOS entry point.
  477.         TbScan heeft het DOS entry point niet kunnen vinden, maar gaat
  478.         gewoon door alsof de optie /D niet was opgegeven.
  479.  
  480.     +   Error reading bootsector
  481.         De bootsector was niet leesbaar, en wordt niet gecontroleerd.
  482.  
  483.     +   Limit exceeded
  484.         Het databestand was te lang, of er staan te veel
  485.         virus-signatures in.
  486.  
  487.     +   Data file not found
  488.         TbScan kon het databestand niet vinden.
  489.  
  490.     +   Commandline error
  491.         Er is een verkeerde parameter aan TbScan opgegeven.
  492.  
  493.     +   No matching files found.
  494.         Het opgegeven pad bestaat niet, is leeg, of de opgegeven
  495.         bestandsnaam bestaat niet.
  496.  
  497.     +   No matching executable files found.
  498.         Het opgegeven pad bestaat niet, is leeg, de opgegeven
  499.         bestandsnaam bestaat niet of is geen uitvoerbaar bestand.
  500.  
  501.  
  502.     TbScan wordt beeindigd met een van de volgende exitcodes:
  503.     Errorlevel 2 indien geen bestanden gevonden of command line fout.
  504.     Errorlevel 1 indien er besmette bestanden zijn aangetroffen.
  505.     Errorlevel 0 indien alles goed gegaan is.
  506.  
  507.  
  508.  
  509. De interpreter
  510. --------------
  511.  
  512.     Dit deel  van de  documentatie kunt  u gerust  overslaan. Het  biedt
  513.     slechts informatie aan programmeurs  die willen weten waarom  en hoe
  514.     de bestandsinterpreter van TbScan werkt.
  515.  
  516.     Virussen  kunnen  programmabestanden  slechts  op  bepaalde manieren
  517.     besmetten.  Voor  een  virus  is  er  slechts  een enkel punt in een
  518.     programmabestand  waarvan  het  zeker  weet  dat  dat  altijd  wordt
  519.     uitgevoerd,  namelijk  het  startpunt  van  het programma. Over alle
  520.     andere plaatsen  kan het  niets zeggen,  en zal  daarom dan ook niet
  521.     proberen  om  op  een  willekeurige  plaats  van  het  te  besmetten
  522.     programma zijn eerste  code te plaatsen.  Het virus zal  hoe dan ook
  523.     MINSTENS een jump op het startpunt van het programma moeten zetten.
  524.  
  525.     TbScan gebruikt  deze wetenschap  om het  aantal bytes  dat van  een
  526.     bestand  ingelezen  moet  worden  zoveel  mogelijk  te beperken. Het
  527.     bepaalt  op  dezelfde  wijze  als  de  loader  van DOS zelf waar het
  528.     startpunt van het programma is. (Vooraan in een .COM bestand, en  op
  529.     een adres gespecificeerd in de EXE-header van een .EXE bestand.)
  530.  
  531.     Dit is echter niet voldoende:  Er kan op het gevonden  beginpunt van
  532.     het programma ook een  jump staan, of een  andere branch-instructie.
  533.     TbScan  volgt  deze  jump,  net  zo  lang  tot  het  geen  jump meer
  534.     tegenkomt.  We  hebben  dan  het  echte  startpunt  gevonden van het
  535.     programma,  of  indien  geinfecteerd,  het  virus.  Het  kan  echter
  536.     voorkomen dat  TbScan op  een gegeven  moment aan  het einde  van de
  537.     ketting van  jump's is  terechtgekomen, maar  ziet dat  er op  korte
  538.     afstand van  de gevonden  startpositie weer  nieuwe significante  IP
  539.     wijzigende  instructies  (call's,  ret's,  iret's,  jump's>512 etc.)
  540.     staan. Wijst nu die toekomstige  jump naar de viruscode, of  zijn we
  541.     al op de goede plek? TbScan neemt geen risico en gaat in zo'n  geval
  542.     het  gehele  bestand  inlezen  en  controleren  op  virussen. Alleen
  543.     indien het  er zeker  van is  dat het  het echte  startpunt van  een
  544.     bestand heeft  gevonden, en  daar minimaal  20 bytes  aaneengesloten
  545.     code  staat  (de  code  is  dan  "stabiel"),  neemt het genoegen met
  546.     controle van de  eerste 3Kb van  die gevonden code.  (Praktisch alle
  547.     virussen zijn kleiner  dan 3Kb, en  van de virussen  die groter zijn
  548.     dan 3Kb  wordt de  tekenreeks in  de eerste  3Kb van  het virus  als
  549.     herkenningsreeks genomen.)
  550.  
  551.     Een leuk voordeel van deze  interpreter is dat het aantal  keren dat
  552.     vals  alarm  wordt  gegeven   kleiner  wordt.  Hierdoor  kunnen   de
  553.     tekenreeksen korter worden gehouden  dan gebruikelijk was, iets  wat
  554.     wenselijk  is  omdat  de  niet  versleutelde  delen  van de virussen
  555.     steeds korter worden.
  556.  
  557.     De werking van  de interpreter is  duidelijk te zien:  Achter iedere
  558.     programmanaam verschijnt de gebruikte methode. Deze zijn:
  559.  
  560.     1)  Scanning. Dit betekent  dat TbScan met succes het  startpunt van
  561.         het programma heeft kunnen vaststellen, en dat de daar  gevonden
  562.         code stabiel was.
  563.     2)  Tracing.   Dit  betekent  dat  TbScan  een ketting bestaande uit
  564.         minimaal  1  jump  heeft  gevolgd  vanaf  het  entry-point.   De
  565.         uiteindelijke code was  stabiel. Deze methode  zal met name  bij
  566.         TSR  programma's  veelvuldig   worden  gevolgd:  Deze   beginnen
  567.         namelijk meestal met een JUMP.
  568.     3)  Analyzing.   TbScan  was  er  niet  volledig  zeker van waar het
  569.         startpunt van het  programma lag, omdat  het geen stabiele  code
  570.         aantrof  op  de  gevonden  positie.  Veiligheidshalve  wordt het
  571.         gehele bestand ingelezen en  nader onderzocht. Bestanden met  de
  572.         uitgang ".SYS" worden altijd volgens deze methode afgezocht.
  573.  
  574.     Uiteraard  kunt  u  via  de  -A  optie  TbScan  dwingen om ALTIJD de
  575.     analyze methode te volgen indien u dat wenst.
  576.  
  577.  
  578.     Noot: De meeste virussen zullen  gevonden worden in een bestand  dat
  579.     volgens de analyze  methode is afgezocht.  Dit betekent echter  niet
  580.     dat  deze  methode  betrouwbaarder  is  dan  de  andere, maar is een
  581.     gevolg van het feit dat een  virus dat in een programma zit  meestal
  582.     als  eerste  zichzelf  gaat  reloceren (CS/IP verhouding aanpassen).
  583.     Dit gaat  altijd gepaard  met een  CS en  IP wijzigende  instructie,
  584.     waardoor  TbScan  vanzelf  (terecht)  concludeert  dat  de code niet
  585.     stabiel genoeg is. Een besmet programma zal dan ook vaak met  behulp
  586.     van  de  analyze   methode  worden  behandeld,   juist  dankzij   de
  587.     aanwezigheid van dat virus!
  588.  
  589.  
  590.  
  591. Thunderbyte
  592. -----------
  593.  
  594.     Virusscanners kennen een aantal zeer grote nadelen:
  595.  
  596.     +   Ze kunnen geen besmetting voorkomen.
  597.         Virusscanners kunnen slechts vertellen  of uw systeem besmet  is
  598.         of niet, en als uw systeem  inderdaad besmet is is er al  schade
  599.         ontstaan. Alleen een goede backup kan u dan nog redden.
  600.  
  601.     +   Ze kunnen slechts reeds geidentificeerde virussen herkennen.
  602.         Wanneer  er  een  nieuw  virus  gelanceerd  wordt  duurt het een
  603.         tijdje voor het door iemand wordt ontdekt. Daarna duurt het  nog
  604.         even  voordat  er  een  betrouwbare  tekenreeks uit het virus is
  605.         gedestilleerd, en vervolgens  duurt het nog  een tijd voordat  u
  606.         de laatste  virscan.dat in  huis heeft.  Al met  al loopt  u een
  607.         reele  kans  dat  u  systeem  wordt  besmet  op  een  moment dat
  608.         virusscanners "uw" virus nog niet herkennen!
  609.  
  610.     +   U dient een actieve handeling uit te voeren om uw systeem te
  611.         beschermen:   namelijk het  uitvoeren van  de virusscanner, iets
  612.         dat  zelfs  met  TbScan  tijd  kost  en dus vervelend is.  Zeker
  613.         wanneer een PC  door meerdere personen  gebruikt wordt zoals  in
  614.         bedrijfssituaties loopt een en ander nogal eens spaak.
  615.  
  616.  
  617.     Virussen worden steeds geavanceerder. Onder andere door de  aandacht
  618.     die  door  de  media   aan  het  verschijnsel  computervirus   wordt
  619.     geschonken is  er een  ware sport  onder zieke  geesten ontstaan  om
  620.     computervirussen te schrijven.  Er zijn nu  al virussen ontdekt  die
  621.     geen  vaste  tekenreeks  meer  hebben.  Doordat TbScan jokers in het
  622.     databestand  toestaat  kan  TbScan  dit  soort virussen vaak nog wel
  623.     opsporen.  Het  duurt  echter  niet  lang  meer  voor  er   virussen
  624.     rondwaren die  in het  geheel geen  herkenningspunt meer  bieden, en
  625.     dan biedt zelfs TbScan geen soelaas meer.
  626.  
  627.     Ook zijn  er reeds  virussen die  op dezelfde  manier als TbScan het
  628.     DOS    entry-point    opzoeken,    op    een    effectieve    manier
  629.     beschermingsprogramma's omzeilend.
  630.  
  631.     Ook  het  van  een  checksum   voorzien  van  programma's  is   geen
  632.     oplossing:  Virussen kunnen  zodra een bestand wordt  ingelezen deze
  633.     desinfecteren, zodat ieder besmet programma er uitziet als een  niet
  634.     besmet exemplaar.
  635.  
  636.     Er is echter EEN oplossing voor bovengenoemde problemen:
  637.     Thunderbyte!
  638.  
  639.  
  640.     Thunderbyte   werd   ontwikkeld   om   Personal   Computers    tegen
  641.     computervirussen,  Trojan   Horses,  en   andere  bedreigingen   van
  642.     kostbare  gegevens   te  beschermen.   Het  is   een  hardwarematige
  643.     beveiliging,  bestaande  uit  een  insteekkaart, een installatie- en
  644.     configuratieprogramma,  en  een  duidelijke  handleiding. De werking
  645.     van  Thunderbyte  is  niet  gebaseerd  op  de  kennis van specifieke
  646.     virussen,  zodat   Thunderbyte  ook   tegen  toekomstige    virussen
  647.     beschermt.
  648.  
  649.     Een hardwarematige beveiliging biedt een bescherming die vele  malen
  650.     groter  is  dan  die  van  een  softwarematige. Thunderbyte wordt al
  651.     actief nog voordat het besturingssysteem (DOS) wordt geladen,  zodat
  652.     de computer direct na het inschakelen volledig is beschermd.
  653.  
  654.     Door  de   ruime  configuratiemogelijkheden   en  de    intelligente
  655.     algoritmen wordt het gebruik van Thunderbyte nooit een last: in  een
  656.     virusvrije omgeving zal  er hoogst zelden  iets van de  aanwezigheid
  657.     van Thunderbyte worden gemerkt.
  658.  
  659.     De voordelen van een hardwarematige beveiliging zijn:
  660.  
  661.     +   De beveiliging gebruikt weinig (1Kb) RAM.
  662.  
  663.     +   De beveiliging is  al actief  tijdens  het opstarten van  de PC,
  664.         beschermt daarom de PC ook tegen bootsectorvirussen. Dit is  met
  665.         een  softwarematige  beveiliging  per  definitie  NIET mogelijk,
  666.         simpelweg omdat een softwarematige  beveiliging dan nog niet  is
  667.         opgestart.
  668.  
  669.     +   De beveiling is gegarandeerd actief VOORDAT een virus  opgestart
  670.         kan worden, een softwarematige beveiliging heeft weinig nut  als
  671.         het opgestart wordt  nadat een virus  reeds de controle  over de
  672.         machine heeft overgenomen.
  673.  
  674.     +   De  vaste schijf van de  PC kan niet meer  rechtstreeks benaderd
  675.         worden. Dit omdat  de bekabeling van  de vaste schijf  nu via de
  676.         Thunderbyte  kaart  loopt.  Een  softwarematige  blokade   tegen
  677.         formatteer- en  schrijfacties kan  altijd softwarematig  omzeild
  678.         worden.
  679.  
  680.     +   Het  Thunderbyte  systeem   kan  nooit  vergeten  worden  op  te
  681.         starten, zelfs  niet indien  de PC  met behulp  van een diskette
  682.         wordt opgestart.
  683.  
  684.  
  685.  
  686.     Thunderbyte biedt u vele soorten bescherming:
  687.  
  688.  
  689.     +   Bescherming tegen gegevensverlies
  690.  
  691.         Thunderbyte  wordt  aangesloten  tussen  de  kabel  van de vaste
  692.         schijf.  Het   bewaakt  de   vaste  schijf   tegen  ongeoorloofd
  693.         formatteren. Thunderbyte detecteert bovendien alle  rechstreekse
  694.         schijfoperaties die  tot doel  hebben gegevens  te wijzigen c.q.
  695.         te verminken en controleert welk programma de opdracht voor  die
  696.         operaties  geeft.   Alleen  het   besturingssysteem  (DOS)    is
  697.         zondermeer gerechtigd tot het uitvoeren van modificaties.
  698.  
  699.         DOS  heeft  standaard  al  de  mogelijkheid  om  bestanden tegen
  700.         overschrijven en modificeren te  beschermen door middel van  het
  701.         read-only attribuut.  Deze bescherming  is softwarematig  echter
  702.         zeer eenvoudig  uit te  schakelen. Thunderbyte  voorkomt evenwel
  703.         dat  deze  beveiliging  ongemerkt  ongedaan  gemaakt kan worden,
  704.         zodat  u  uw  bestanden  nu  toch  via  een  standaard   methode
  705.         doeltreffend kan beveiligen.
  706.  
  707.  
  708.     +   Bescherming tegen besmetting
  709.  
  710.         Thunderbyte  beschermt  programma's  (bestanden  met  de uitgang
  711.         "EXE", "COM", of "SYS") tegen besmetting, door ale  modificaties
  712.         te  beoordelen  op  hun  bedoeling.  De  functionaliteit   wordt
  713.         hierdoor  niet  beinvloed.   Compileren,  linken,  e.d.   worden
  714.         ongemoeid gelaten,  en programma's  die hun  configuratie intern
  715.         bewaren  worden  ook  niet  beinvloed.  Bovendien  kan  software
  716.         beveiligd worden met het read-only attribuut.
  717.  
  718.         Wijzigingen in  de bootsector  worden ondervangen  zodat ook  de
  719.         zogevreesde bootsectorvirussen geen kans meer krijgen. Let  wel:
  720.         softwarematig   is   de   bootsector   niet   of  nauwelijks  te
  721.         beschermen.  Thunderbyte wordt  daartegen al actief nog  voordat
  722.         het systeem probeert op te starten!
  723.  
  724.  
  725.     +   Detectie virussen
  726.  
  727.         Thunderbyte detecteert de aanwezigheid van virussen, behalve  op
  728.         de reeds  genoemde manieren,  ook doordat  deze vaak  een aantal
  729.         speciale   handelingen   uitvoeren;   handelingen   waar  andere
  730.         programma's zich  nooit zullen  wagen. Zulke  handelingen, zoals
  731.         het aanbrengen van een  markering om reeds besmette  programma's
  732.         te herkennen,  worden gedetecteerd.  Ook pogingen  van een virus
  733.         om zich op een verdachte manier in het geheugen achter te  laten
  734.         worden    herkend,    evenals    abnormale    manipulaties   met
  735.         interruptvectoren.
  736.  
  737.  
  738.     +   Wachtwoordbescherming
  739.  
  740.         Thunderbyte  geeft   u  de   mogelijkheid  een   wachtwoord   te
  741.         installeren.  U  kunt  twee  soorten  wachtwoorden  opgeven: een
  742.         wachtwoord  dat  altijd  gevraagd  wordt,  of een wachtwoord dat
  743.         slechts  gevraagd  wordt  wanneer  er  gepoogd  wordt  van   een
  744.         diskette in plaats van de vaste schijf op te starten.
  745.  
  746.  
  747.     +   Hoge veiligheid
  748.  
  749.         Aan de veiligheid van Thunderbyte is ruime aandacht  geschonken.
  750.         De programmacode van Thunderbyte bevindt  zich in ROM en kan  op
  751.         geen enkele manier worden gewijzigd.
  752.  
  753.         Thunderbyte  kan  op  geen  enkele  manier  softwarematig worden
  754.         uitgeschakeld.    Alle    belangrijke    instellingen     worden
  755.         gerealiseerd met behulp  van schakelaartjes op  de insteekkaart.
  756.         En virussen  kunnen, al  hun verspilde  intelligentie ten spijt,
  757.         nu eenmaal  geen schakelaartjes  omzetten of  de uitlezing ervan
  758.         beinvloeden.
  759.  
  760.         De virussen die de  controller van de vaste  schijf rechtstreeks
  761.         benaderen komen  van een  koude kermis  thuis: Thunderbyte geeft
  762.         schrijfoperaties  slechts  door  indien  het  schrijfcommando de
  763.         normale (gecontroleerde) weg heeft bewandeld.
  764.  
  765.         Van  Thunderbyte  bestaan  vele  verschillende (doch functioneel
  766.         identieke) versies, die op basis van willekeur worden  geleverd.
  767.         Hierdoor is kennis van 1 Thunderbyte systeem niet toereikend  om
  768.         de beveiligende werking ervan aan te tasten of teniet te doen.
  769.  
  770.         Thunderbyte controleert zijn eigen variabelen met een per  verie
  771.         verschillend soort controlegetal.  Ook de geheugenplaatsen  waar
  772.         de  variabelen   worden  bewaard   is  per   Thunderbyte  versie
  773.         verschillend.
  774.  
  775.  
  776.     +   Extra mogelijkheden
  777.  
  778.         Thunderbyte  biedt  u  een  aantal  interressante extra's, zoals
  779.         opstarten van  drive B:,  formatteren van  5,25" diskette's  tot
  780.         428Kb op een normale XT.
  781.  
  782.  
  783.  
  784.  
  785. Tot slot
  786. --------
  787.  
  788.     Verbaast u uzelf over de relatief grote kracht en inventiviteit  van
  789.     zo'n kleine (6Kb) virusscanner? Schaf Thunderbyte aan, dan blijft  u
  790.     uzelf verbazen!
  791.  
  792.     Wanneer u het programma TbScan  waardeert, of wanneer het u  al eens
  793.     duidelijkheid heeft verschaft in een benarde situatie:
  794.  
  795.         Stuur ons geen geld, maar schaf Thunderbyte aan!
  796.  
  797.  
  798. NAMEN EN ADRESSEN
  799. -----------------
  800.  
  801.     Meer informatie over Thunderbyte kunt u aanvragen bij:
  802.  
  803.         ESaSS B.V.              Tel.: 080 - 238689
  804.         P.o. box 1380           Fax.: 080 - 228192
  805.         6501 BJ  Nijmegen       Data: 085 - 212395  (2:280/200 @fidonet)
  806.  
  807.  
  808.     TbScan is geschreven door Frans Veldman.
  809.  
  810.     TbScan  en  de  signature  bestanden  zijn  beschikbaar  op  ESaSS /
  811.     Thunderbyte support BBS, Tel: 085-212395 (300/1200/2400 bps).
  812.  
  813.     Wanneer u operator van een  electronic mail systeem bent kunt  u een
  814.     file-request sturen voor TbScan om de laatste versie van  TBSCAN.COM
  815.     te   krijgen,   TBSCANX    voor   de   laatste    update   van    de
  816.     geheugen-residente automatische versie van TbScan, en VIRUSSIG  voor
  817.     een kopie van de meest recente update van het signature-bestand.