home *** CD-ROM | disk | FTP | other *** search
/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / fpro210c.zip / SCAN.DOC < prev    next >
Text File  |  1993-02-03  |  11KB  |  182 lines
  1.         Virus scanning - how, why and when ?
  2.  
  3. F-PROT is able to find practically all known viruses, by a method known as
  4. "scanning".  This involves searching for a virus pattern or "signature" -
  5. a sequence of bytes which is very unlikely to be found anywhere but in
  6. this particular virus.
  7.  
  8. The virus signatures are stored in a file named SIGN.DEF, which must be
  9. present in the current directory or the same directory as F-PROT.EXE.
  10. The number of signatures contained in this file is not an indication of
  11. the number of viruses F-PROT is able to detect, however - as most new
  12. viruses are created by making small changes to older viruses, the same
  13. signature can often be used to detect many different viruses.
  14.  
  15.             Secure Scan, Quick Scan or Heuristic Analysis ?
  16.  
  17. F-PROT can use three different methods when scanning for viruses.  The first
  18. method ("Secure Scan") uses two different signatures for each virus.  It
  19. will also search for the signatures in a large block of data - usually (but
  20. not always) located either at the beginning or the end of the file.  This
  21. improves the chances of detecting any virus which might have been created
  22. by modifying an older one - any change might cause a signature to be
  23. located at a different position within the virus, or it might even corrupt
  24. the signature itself, but the chances of a single change invalidating both
  25. of the signatures are practically zero.
  26.  
  27. "Quick Scan" is, as the name implies, a faster method than "Secure Scan",
  28. but it is also less secure.  This is because it only uses a single
  29. signature for each virus, and to speed things up further, "Quick Scan" does
  30. not spend time on an accurate identification of any virus it might find. 
  31.  
  32. "Quick Scan" will just report a "Jerusalem" infection, while "Secure Scan"
  33. might report an infection by the "Anarkia-2B" variant of Jerusalem, for
  34. example.  Most users are not concerned with the accurate identification of
  35. any virus which might strike - all they want to know is if they have a
  36. virus or not, and "Quick Scan" is almost as good at finding known viruses
  37. as "Secure Scan".  However, there are a few viruses, like MtE-Pogue, which
  38. cannot be detected with a signature, and Quick Scan will not find those. 
  39. If you select "Quick Scan", you cannot select any disinfection, as it
  40. requires an accurate identification, so the "Action" option is disabled. 
  41. As "Quick Scan" will not search for Trojans or user-defined strings, the
  42. "Targets" option is disabled as well.
  43.  
  44. The third method uses a set of rules, instead of a signature database.
  45. It is still only experimental, but its purpose is to detect suspicious
  46. code.  It is not foolproof - it will not detect all viruses and may easily
  47. produce false alarms, so it should be used with care - not recommended for
  48. the casual user.  However - unlike the other two methods, it is not limited
  49. to existing viruses or variants of them - it is equally effective against
  50. new viruses.  For further information on this method see ANALYSE.DOC
  51.  
  52. When you select "Scan" from the initial menu, a new menu will appear,
  53. where you can select what to scan for and where to scan.
  54.  
  55. To change the setup you simply use the arrow keys to move to the option you
  56. want to change and press Enter.  A window will then appear showing the
  57. available possibilities, and you select one of them.
  58.  
  59. The first option, "Method" is uses to select which search method (Secure
  60. or Quick) to use, with "Secure" as the default.
  61.  
  62. The second option, "Search" is used to select on which drives and
  63. directories F-PROT should search for viruses.  The possibilities are
  64. "Hard disk", "Diskette drive" and "Network", which should be self-explanatory,
  65. and finally "User-specified".  The last possibility applies if you only
  66. want to scan a single directory, or perhaps just a single file.  If a
  67. directory is specified, all subdirectories below it will be searched as
  68. well.  The difference between selecting "Diskette drive A:" and selecting
  69. "User-specified", and entering "A:" is that in the former case it is
  70. assumed you might want to scan multiple diskettes, so after scanning each 
  71. diskette a report is given and you are prompted for the next diskette.
  72. One note: If "Network" is selected, all network drives from C: to Z: will
  73. be searched, so if several drive letters have been mapped to the same
  74. physical directory, the same files might be scanned several times.  The
  75. default is to search the hard disk.
  76.  
  77. The third option, "Action" is used to specify what action should be taken
  78. when a virus is found.  The default operation is just to list the names of
  79. any infected files, but F-PROT can also disinfect almost all viruses.  If
  80. you want disinfection, it can either be fully automatic, or F-PROT can
  81. prompt you before it attempts to disinfect any given file. Sometimes
  82. an infection cannot be removed, for example if the virus just overwrites
  83. and destroys any file it infects, or in the case of a "first-generation"
  84. sample.
  85.  
  86. A "first-generation" sample is the author's original copy of the virus,
  87. and can only exist if the file has been obtained directly or indirectly
  88. from him.  Such samples are generally not found in the "real world", only
  89. in large virus collections.
  90.  
  91. In those cases the only effective disinfection is to delete the file.  It
  92. is always safer to delete infected programs than to disinfect, so F-PROT
  93. offers deletion as well - any infected file will first be overwritten
  94. several times (just to make sure) and then deleted.  You can select
  95. automatic deletion or have F-PROT prompt you before it deletes a file. 
  96. Finally, an infected file can be renamed, and given the extension
  97. .VOM or .VXE, so it will not be executed by accident, but you will still have
  98. it around to study.
  99.  
  100. The fourth option, "Targets" is used to select the types of viruses to
  101. search for.  Normally one would like to search for all known viruses, but
  102. in certain circumstances you might want to exclude boot sector viruses or
  103. program viruses.  For example, if you are cleaning up after an attack by
  104. a specific boot sector virus, you might not want to search for program
  105. viruses on every single diskette.  F-PROT does normally not scan for
  106. Trojans, only viruses, but this option can be selected, although it is
  107. practically never necessary.  The Trojans are much rarer than the viruses,
  108. and not a serious threat, as they don't spread, except by deliberate
  109. copying.  In fact, the only place where most of the Trojans will probably
  110. be encountered is in certain large collections of programs used to compare
  111. anti-virus programs.  As some of my competitors detect the Trojans, I added
  112. this feature as well.  You can also instruct F-PROT to search for special
  113. user-defined signature strings, but this will slow the scanning down
  114. considerably.
  115.  
  116. The fifth option, "Files" is used to select in which files F-PROT should
  117. search for viruses.  Most viruses will only infect normal executable
  118. files, (.EXE, .COM and possibly .APP files) although some may infect
  119. overlay files (.OV?) and device driver files (.SYS) as well.  The default
  120. operation of F-PROT is just to scan those types of files, but it is also
  121. possible to select "All files" - this is advisable if you are cleaning up
  122. after a virus attack - just to make sure the virus is not hiding in some
  123. obscure overlay file.  However, as this is quite time-consuming, it is not
  124. recommended, unless you have actually found a virus when scanning just the
  125. regular executable files.  It is also possible to specify a set of file
  126. extensions - for example adding .BIN to the default list.
  127.  
  128. If any of the options are changed from their default values, F-PROT will
  129. ask if the changed values should be saved when you exit from the program.
  130. If so, a file named SETUP.F2 will be created.  This does not work if the
  131. program is run from a write-protected diskette, however.
  132.  
  133.                          Starting the virus scan
  134.  
  135. When you have selected the correct options, you may start the scanning by
  136. selecting "Begin Scan" at the top of the menu, either by moving the cursor
  137. there, or just by pressing "B".
  138.  
  139. The small window at the bottom will display the name of the last file
  140. scanned.
  141.  
  142. The scanning can be aborted at any time simply by pressing the ESC key.
  143.  
  144. When the scanning is finished, a summary is displayed.  If no viruses or
  145. suspicious programs were found, it simply says so, but otherwise a
  146. detailed listing is produced when ENTER is pressed.  This listing can be
  147. saved to a disk or sent to the printer.
  148.  
  149. This report may say that a file has been packed by a program such as 
  150. KVETCH, PGMPAK, SHRINK or CRUNCH and can not be scanned.  This is
  151. generally not a cause for alarm, although a virus can be hidden in a
  152. program by infecting it, and then running one of those file-packing
  153. programs, which create a program which will unpack itself in memory when
  154. executed.  Some virus writers use this method to distribute their viruses,
  155. but generally this only works for the first generation - second (and
  156. later) generation samples of the same virus will not be packed.  F-PROT
  157. can scan inside most PKLITE, LZEXE, ICE, DIET and EXEPACK compressed files,
  158. and support for the remaining compression program will be added in the near
  159. future, if necessary.  Please keep in mind that if a file is infected after
  160. compression, the virus is always detected normally.  Finally, F-PROT will
  161. not scan inside self-unpacking archives, or .ZIP, .ARJ or similar files.
  162.  
  163.                           A note on disinfection
  164.  
  165. When a file has been disinfected it has usually been restored to its
  166. original state before infection.  In many cases the disinfected program
  167. will have 1-16 additional garbage bytes at the end.  Those bytes are added
  168. by viruses, in order to make the length of the program a multiple of 16
  169. bytes, before infection.  As the number of those extra bytes cannot be
  170. determined, they cannot be removed.  Normally they will not have any effect,
  171. unless the program checks its current length.  In those cases it will
  172. report an incorrect length after disinfection, and will have to be restored
  173. from a backup.
  174.  
  175.             Skipping the memory scan
  176.  
  177. Normally F-PROT will search the memory for virus signatures, and refuse to
  178. operate if any active viruses are found.  However, a false alarm is
  179. possible, for example if an infected file has just been copied, and
  180. portions of it are in an unused disk buffer.  To skip the memory scan, run
  181. the program with the /NOMEM command-line switch.
  182.