home *** CD-ROM | disk | FTP | other *** search
/ The Best of Select: Games Special 10 / SPSP10.ISO / viruskil / tbavw707 / tbav.faq < prev    next >
Text File  |  1997-01-10  |  15KB  |  269 lines

  1.  
  2. This is a list with Frequently Asked Questions.
  3.  
  4. If you have a question about our product, or want to know why our product
  5. differs from some competitive products, please check out the questions
  6. below.
  7.  
  8. Design philosophy
  9. -----------------
  10.  
  11. Why does TbSetup create an Anti-Vir.Dat file in every directory,
  12. instead of generating just ONE reference file for the entire system?
  13.  
  14.         1) It is more intuitive. For a user it is much easier to see
  15.         whether a directory is already processed by the checksummer or
  16.         not. You can see in one glance what the last time was you
  17.         modified the Anti-Vir.Dat file, and whether this matches with
  18.         the most recent timestamp of the executable files.
  19.  
  20.         2) Maintenance. If you delete an entire directory, the checksum
  21.         base will be gone too. Automatically! With a single file
  22.         approach, you will have to run an update utility or to accept
  23.         that the database file will continue to grow for ever. The same
  24.         applies if you move a directory to another disk or
  25.         subdirectory: don't worry about the checksum files. They will
  26.         travel automatically wherever the executable files go!
  27.  
  28.         3) Security. If a company decides to introduce a new software
  29.         product, they can make a backup of the diskette, scan it for
  30.         viruses, and put the checksum file on the diskette, and
  31.         multiply it and distribute it within the company. Now, whoever
  32.         gets this diskette, the checksum file will already be there.
  33.         The user won't have to bother with it himself. The new checksum
  34.         file with not interfere with the already existing ones.
  35.  
  36.         4) Networks. In a LAN, different users may have access to a
  37.         directory via another path. One user may see the directory
  38.         F:\JOHN, while someone with more access rights may refer to the
  39.         same directory as G:\USERS\JOHN. With a single database
  40.         approach, you will have to create a separate database for every
  41.         user. With the checksum-file-per-directory approach, the
  42.         supervisor just creates ONE checksum base per directory, and no
  43.         matter the access rights or mappings of a specific user, if he
  44.         has access to that directory, he automatically has access to
  45.         the checksum file. So, if the supervisor updates a product on
  46.         the network, he just creates a new checksum file for that
  47.         directory, and EVERY user on the network immediately has the
  48.         correct checksum information.
  49.  
  50.  
  51. Why does TbScanX not scan a file if I rename it, or when I move it to
  52. another directory?
  53.  
  54.         If you rename an executable file to another executable file, you
  55.         actually do not introduce a new file on your system. The file
  56.         was originally already there, and should have been checked by
  57.         TbScanX already when the file was introduced on your system.
  58.  
  59.         If you rename a non-executable file to an executable file, you
  60.         actually introduce a new executable file on the system. This
  61.         quite unusual way to introduce a new executable file on the
  62.         system is detected by TbFile (attempt to rename a non-executable
  63.         file to an executable file).
  64.  
  65.         If you move a file to another directory, using the 'move'
  66.         command, the file doesn't get actually copied when the
  67.         destination drive is the same as the original drive. What
  68.         happens is that the file gets 'renamed' to a different
  69.         directory, i.e. the file remains physically where it is, but
  70.         just the name reference is moved from one directory to the
  71.         other. TbScanX does not scan the file in this case, because the
  72.         file was already there, and has been checked when it got
  73.         introduced to your system, and doesn't need to be checked again
  74.         just because it is moved to another directory.
  75.  
  76.  
  77. Why does TbScanX, unlike some other products, not scan a bootsector if
  78. you press Ctrl-Alt-Del?
  79.  
  80.         First of all, TbScanX scans a bootsector immediately if you try
  81.         to access a diskette. Most people insert a diskette because
  82.         they need a file from it, or want to copy something on it, or
  83.         just look into the directory. TbScanX will then check the
  84.         bootsector, long time before you press Ctrl-Alt-Del. So there
  85.         is not much need for TbScanX to check it when you reboot, the
  86.         job has already been done.
  87.  
  88.         A second reason is that it can be dangerous to scan a diskette
  89.         while trying to reboot. You usually don't reboot just for fun!
  90.         In many cases, you reboot because the system became instable,
  91.         or because a program instructed you to reboot the system, after
  92.         it changed some vital information on the harddisk. If the
  93.         system became instable, you can damage data by accessing a
  94.         disk, and it is quite questionable anyway whether an instable
  95.         system is still able to perform a reliable disk scan. If a
  96.         program asks you to reboot, the reboot is often necessary
  97.         because the system is not aware of some changes in the
  98.         configuration, and it is dangerous to continue accessing the
  99.         disks, without - for example - the appropriate drivers.
  100.  
  101.         A third reason is that it could cause people to believe that
  102.         rebooting with a diskette inserted into the drive is OK,
  103.         because the diskette will be scanned anyway. Unfortunately,
  104.         checking a diskette can only be done before a SOFT boot, and
  105.         not when you hit the reset button. It is only a partial
  106.         solution. For many people, the difference between a hard and a
  107.         soft boot is not clear, and they will just assume that rebooting
  108.         with a diskette inserted is now always safe.
  109.  
  110.         So, it is dangerous, unreliable, confusing, and unnecessary in
  111.         most cases. Therefor we decided not to scan a diskette after
  112.         pressing Ctrl-Alt-Del.
  113.  
  114.  
  115. Why does TbClean not clean ALL files at once?
  116.  
  117.         Let's look what happens if your system is infected by a virus,
  118.         and you run an 'automatic' cleaner on it. With one and the same
  119.         virus, every executable file will be in one of the following
  120.         states after the cleaning is terminated:
  121.  
  122.         1) Files that have not been affected by the virus at all.
  123.         2) Files which were infected but have been successfully cleaned.
  124.         3) Files that have been damaged (not infected!) by the virus and
  125.         can not be 'cleaned' because they have been deleted or are
  126.         overwritten.
  127.         4) Files from which the cleaner says that they have been
  128.         successfully cleaned but still don't work anymore (because of
  129.         copy protections or various other reasons).
  130.         5) Files from which the cleaner says that it failed to clean and
  131.         thus are still infected and need replacement.
  132.  
  133.         Now, are you going to sort things out after the cleaner is done?
  134.         A much better approach is to work through the files on a one by
  135.         one approach. Clean one file, judge the result, test the file,
  136.         and proceed with the next one. Tedious? Yes, an even better
  137.         approach is to take that backup tape, and restore all executable
  138.         files.
  139.  
  140.         Remember, viruses are not written to be bug free, and to be
  141.         compatible with all the complex configurations we are using
  142.         these days. No cleaner can repair the files incorrectly infected
  143.         by a buggy virus. Automatic cleaning is an illusion. If you
  144.         really insist on using a cleaner, you have the best chances if
  145.         you work through your files one by one.
  146.  
  147.         Remember also that even viruses that are known not to damage
  148.         data still very often damage data because of interference with
  149.         disk caches, Windows, or other system software for which the
  150.         virus was not written for or properly tested against.
  151.  
  152.  
  153. I have seen on Internet some information how to fool TbScan. What are you
  154. going to do about it?
  155.  
  156.         This is nothing to worry about. We know that it is possible to
  157.         fool heuristics. We know that it is possible to design a virus
  158.         that TbScan can not yet detect. We have seen many examples of
  159.         this in the past.
  160.         Encrypted viruses have been invented to make signature scanning
  161.         useless, until the AV industry invented signature wildcards and
  162.         entry point tracers. Polymorphic viruses have been invented to
  163.         make signature scanning completely impossible, until the
  164.         anti-virus industry invented generic decryption.
  165.         It is an endless battle. Some strategics are involved as well.
  166.         Sometimes it is better to leave an easy to close door open,
  167.         and let a virus writer spend weeks to write something
  168.         that exploits this 'loophole' and then just slam this door
  169.         without any trouble and any damage, than to attempt to foresee all
  170.         possible future virus-writing-developments and to close all
  171.         doors in advance, and let someone discover something that is much
  172.         more difficult to solve. Someone who wants to attac a specific
  173.         anti-virus product will finally discover something that can be
  174.         used. This applies to all anti-virus products, no matter how
  175.         clever they are. That's why all serious anti-virus products have
  176.         to be frequently updated.
  177.  
  178.         If a virus is able to escape heuristic detection, we will find it
  179.         with a signature. If some information leads to a virus that indeed
  180.         succeeds to remain unspotted, we will do something about it. We have
  181.         been doing so dozens of times in the past, and we will keep doing so.
  182.         So far, there is no reason to believe that virus writers will
  183.         finally come up with something that we can't handle.
  184.  
  185.  
  186. Why is your scanner not scanning .DLL files?
  187.  
  188.         So far, we have been following the approach that we don't scan
  189.         something if there are no viruses yet to infect it. We could have
  190.         scanned for macro viruses for years, but it didn't make sense
  191.         until someone actually created a macro virus. Technically, it is
  192.         possible to infect a .DLL file, but there are no viruses which
  193.         are doing this. As soon as there is a virus that infects .DLL
  194.         files, we will have to create a signature for that virus anyway,
  195.         and this is the right time to include the .DLL extension in the
  196.         default scan list as well.
  197.  
  198.         Granted, there are a few viruses which think a .DLL file is a DOS
  199.         executable, since it contains an EXE header. They might add their
  200.         virus code to the .DLL file. But since you are never going to
  201.         execute the .DLL file from the DOS command prompt, you are not
  202.         going to introduce a virus on your system this way. The virus
  203.         won't get activated when you use the .DLL file in a Windows
  204.         environment. Of course, if you have a standard executable file
  205.         (.EXE or .COM) which is infected by a virus, this virus may
  206.         'infect' the .DLL file, so once you have a virus, it is a good
  207.         idea to include the /allfiles option.
  208.  
  209.  
  210. Network related questions
  211. -------------------------
  212.  
  213. We have TBAV installed on a server, and we use TbScan with option 'once'.
  214. However, if we turn on the machines in the morning, TbScan only scans
  215. one workstation, and skips on the other workstations.
  216.  
  217.         If TbScan uses the 'once' option, information will be written to
  218.         TbScan.Exe. The first PC scans, and updates the information in
  219.         TbScan.Exe. The next PC's will conclude that TbScan has already
  220.         been used this day, and proceed without scanning.
  221.  
  222.         To avoid this problem, you can specify a filename behind option
  223.         'once'. Instead of putting the information in the TbScan.Exe
  224.         program, TbScan now records the information in the specified file.
  225.         Use, for instance, 'TbScan once=c:\config.sys' to make sure that
  226.         every PC maintains its own 'last time scanned' record. Note:
  227.         TbScan does not alter the contents of the specified file, but
  228.         records the information in a different way. Therefor you can
  229.         specify any existing file.
  230.  
  231.  
  232. We have TBAV installed on a server, and we use TbScan with option
  233. 'once'. However, if we boot the machines multiple times a day, TbScan
  234. always scan the workstations, instead of only once.
  235.  
  236.         The users probably don't have write access rights to the
  237.         directory where TbScan.Exe resides. Excellent! Use the method
  238.         as described in the previous question.
  239.  
  240.  
  241. Is it possible for the supervisor to receive messages about viral
  242. activities anywhere within the network?
  243.  
  244.         Not with the standard TBAV utilities. There is a special network
  245.         version available which features centralized anti-virus control.
  246.         Contact your local vendor for more information.
  247.  
  248.  
  249. Why is TbGenSig.Exe no longer part of the TBAV package?
  250.  
  251.         The newer generation of viruses require much more complex signatures,
  252.         and to create these signatures is no longer a do-it-yourself job.
  253.         The idea to enable the end user to create signatures comes from the
  254.         time when the distribution of virus samples between Anti-Virus
  255.         developers, independant researchers, universities, government
  256.         agencies, etc. was not organised at all. These days, we are able
  257.         to respond to a new outbreak in a couple of hours. It is far easier
  258.         for you, the end user, to download a new signature file from us than
  259.         to try to create a signature for a polymorphic virus, or to locate a
  260.         word macro virus (and thus a signature) in a huge document file.
  261.         A second reason for the omission of TbGenSig is that we are in the
  262.         process of revising our existing signature structures, and that we
  263.         are working on automated signature construction. This gives us a
  264.         leading edge in the future when the amount of viruses keeps growing,
  265.         and ensures more reliable signatures and a higher response time from
  266.         us on new viruses. The tools required to generate these signatures
  267.         are very complex and not suitable for the users at all.
  268.  
  269.