home *** CD-ROM | disk | FTP | other *** search
/ Experimental BBS Explossion 3 / Experimental BBS Explossion III.iso / virus / fpro210c.zip / VIRSTOP.DOC < prev    next >
Text File  |  1993-08-30  |  4KB  |  94 lines
  1.                               VIRSTOP
  2.  
  3. The primary purpose of the VIRSTOP.EXE program is to prevent the execution
  4. of programs infected with known viruses.
  5.  
  6. VIRSTOP installs itself in RAM as a standard TSR and intercepts the
  7. so-called "Load-and-execute" function.  This means that whenever an attempt
  8. is made to run a program VIRSTOP gets a chance to examine it first.
  9.  
  10. It must be noted that it may not be possible to install VIRSTOP on
  11. machines with the Cyrix 486SLC processor, as it is not fully compatible
  12. with the Intel family.
  13.  
  14. VIRSTOP uses a simple but fast search to check for viruses, but it does
  15. not make an accurate identification - F-PROT.EXE is necessary for that
  16. purpose.
  17.  
  18. IMPORTANT! ...  VIRSTOP does not detect the same number of viruses as
  19. F-PROT.  In particular, VIRSTOP does not detect most polymorphic viruses. 
  20. It is therefore recommended that VIRSTOP only be used as one component of
  21. the virus protection - do not rely on it alone.
  22.  
  23. If VIRSTOP finds a virus, it will abort the execution of the program,
  24. display a message and return an error.  For example, if you attempt to run
  25. a program infected with the Cascade virus, with VIRSTOP active in memory,
  26. you might see something like this:
  27.  
  28.  
  29.     This program is infected with the Cascade virus.
  30.     Cannot execute A:\INF-PROG.COM
  31.  
  32. VIRSTOP has a secondary function as well - it attempts to check for any
  33. active boot sector virus when it is run. 
  34.  
  35. Older versions of F-PROT (pre-2.0) contained two programs (F-DRIVER.SYS and
  36. F-NET.EXE) which are now replaced by VIRSTOP.EXE.  Using a .SYS program is
  37. in some ways preferable to using an .EXE program, in particular as it
  38. reduces the chances than an infected program is run before the monitoring
  39. program (VIRSTOP or F-DRIVER).  However, this caused problems on networked
  40. machines, as network software often takes over the "Load-and-execute"
  41. function, disabling the monitoring program.
  42.  
  43. VIRSTOP is supplied as an .EXE file, so that it can be run after the
  44. network software is installed (in AUTOEXEC.BAT).  On stand-alone machines
  45. the program may be loaded as a device-driver, with a command such as
  46.  
  47.                     DEVICE=C:\F-PROT\VIRSTOP.EXE
  48.  
  49. IMPORTANT! - If HIMEM.SYS is used, it must be loaded before VIRSTOP.
  50.  
  51. VIRSTOP.EXE includes one additional feature - it is designed to be able to
  52. detect if it has been infected by a "stealth" virus - an ability which
  53. is rather unusual.  It is also often (but not always) able to detect
  54. attempts to run "stealth"-virus infected programs, even though the virus is
  55. active in memory. 
  56.  
  57. In order to test if VIRSTOP is properly installed, the program F-TEST is
  58. provided.  It is NOT a virus, but it is detected by VIRSTOP the same way as
  59. a virus-infected program.
  60.  
  61. If VIRSTOP is not installed or not active, F-TEST will print out a message
  62. when run.  If it is active and working, VIRSTOP will display a message
  63. saying so, and return a code of 1, which can be checked with the
  64. ERRORLEVEL command.
  65.  
  66. VIRSTOP supports the following command-line switches:
  67.  
  68.     /DISK - do not store virus signatures in memory, but read them
  69.     in from disk when necessary.  This reduces the memory requirements
  70.     from 14K to around 2K, but cannot be used if you run VIRSTOP from
  71.     a diskette which is later removed.  If this switch is used, and
  72.         VIRSTOP is loaded from CONFIG.SYS, it is critical that the full
  73.         path name is given.  DO NOT USE /DISK IF YOU USE DEVICEHIGH= OR
  74.         LOADHI TO LOAD VIRSTOP.
  75.  
  76.     /OLD - do not complain, even if the program has "expired".  Use of
  77.     this switch is generally not recommended.
  78.  
  79.         /NOMEM    Do not perform a memory scan when starting.
  80.  
  81.         /FREEZE   Stop the computer when a virus is found.
  82.  
  83. The following switches have just been added and have not been fully tested
  84. under all circumstances.  If you use /COPY, /BOOT or /WARM to enable the
  85. new features, some problems might appear...in that case, please report the
  86. problems to Frisk Software International.
  87.  
  88.         /[NO]COPY [Do not] check files when they are accessed/copied.
  89.  
  90.         /[NO]BOOT [Do not] check boot sectors when a diskette is accessed.
  91.  
  92.         /[NO]WARM [Do not] check the diskette in drive A: when the user
  93.                   presses Ctrl-Alt-Del
  94.