home *** CD-ROM | disk | FTP | other *** search
/ Black Box 4 / BlackBox.cdr / textinfo / pcprotct.arj / IBMPROT.DOC
Encoding:
Text File  |  1988-06-16  |  11.0 KB  |  218 lines
  1. This file is IBMPROT.DOC.
  2. Reviews of Virus Protection Programs
  3. Please feel free to add to this list.
  4. Version 1, 6/15/88, T. Shapin
  5. ===============================================================
  6. Class 1 are programs that warn of changes to system files after the fact.
  7. These methods either compute some sort of CRC or hash sum, or compare a
  8. file against a copy of the file.  While it is theoretically possible
  9. for a particular CRC to be forged, each program seems to use a different
  10. algorithm for the computation so that different values are obtained.
  11. Furthermore, each version of DOS will give a different values, so I
  12. doubt that the signature can be forged practically.
  13. ===============================================================
  14. CHKSUM.ARC, contains: CHKSUM.C, CHKSUM.DOC, CHKSUM.EXE, CRC16.C, STOI.C. 
  15. From: Bob Taylor, compiled using Turbo C 1.5. 
  16. What it does: Computes a redundancy check (CRC) for any file, (including 
  17. system and hidden), and compares a computed CRC for a file with a specified 
  18. one given as a parameter to the program. Wildcard file names and more than one 
  19. filename can be supplied as parameters. Either gives a warning message or 
  20. optionally sets a return code. On a vanilla 4.77 Mhz PC, it takes about 7 
  21. seconds to check all three system files. 
  22. Evaluation:  Fast and very useful. [T.S.]
  23. - - - -
  24. CHECK-OS.ARC, contains: CHECK-OS.DOC, CHECK-OS.EXE, CHECK-OS.PAS.
  25. From: R.J. Bartlett & Erik Ch. Ohrnberger
  26. Compiled with Turbo Pascal version 4.0.
  27. What it does: It checks the Filesize, File Date/Time (last updated), and 
  28. Checksum of COMMAND.COM, AUTOEXEC.BAT, and CONFIG.SYS. Will also check
  29. system files.
  30. Evaluation: On my system it would not handle the "FCBS=" parameter in
  31. my CONFIG.SYS file. It needs some work. [T.S.]
  32. - - - -
  33. CHKUP14.ARC, contains: CHECKUP.DOC, CHECKUP.EXE, REGISTER.DOC.
  34. From: Richard B. Levin. BBS's:  (215) 969-8379 or (215) 635-5226
  35. Compiled Microsoft BASIC v.6.0
  36. What it does: Compares a target file's size, its incremental checksum, and its 
  37. total checksum. 
  38. Evaluation: While the method of computing hash sums would be difficult to
  39. forge, it prints lots of messages when it runs, and there is no provision for 
  40. returning error codes that can be tested in a batch file. I find the 
  41. the lack of source code a minus and the appeals for money obnoxious. [T.S] 
  42. - - - -
  43. CONDOM.ARC, contains: CONDOM.BAT, CONDOM.DOC, CPY.C, CPY.EXE,
  44. DIF.C, DIF.EXE, READ-ME.NOW.
  45. From:
  46.  Charlie Ros5e [sic], Boulder, Colorado, BBS Fido Node 104/23, Account Name: 
  47. Charlie Rose; and Gerry Williams, Albuquerque, New Mexico, BBS Fido Node 
  48. 15/1001. 
  49. DIF.C and CPY.C, were compiled with Aztec C86, Version 3.40b, Manx Software 
  50. Systems.
  51. What it does: 
  52. CPY makes a reference copy of any file, including system, or hidden. DIF 
  53. compares a current file to the reference copy and sets an error return code 
  54. that can be tested in a batch file that indicates what happened. 
  55. Evaluation: Very useful for checking system files for any changes. [T.S.] 
  56. - - - -
  57. FILECRC.ARC, contains: COMPARE.CHN, COMPARE.COM, COMPARE.PAS,
  58. FILECRC.COM, FILECRC.DOC and FILECRC.PAS.
  59. From: Ted H. Emigh, Department of Genetics, North Carolina State University
  60. Box 7614, Raleigh, NC   27695-7614, emigh@ncsugn.uucp, NEMIGH@TUCC.BITNET.
  61. Compiled with Turbo Pascal 3.0.
  62. What it does: 
  63. FILECRC creates a list of all the files on the default drive along with 
  64. creation date, file size, and a CRC (cyclic redundancy check) for each file.  
  65. When FILECRC is run again the new list is compared with the old list.  
  66. Evaluation: I tried it on two systems and it didn't work.  They 
  67. both hung and I had to reboot. [T.S]
  68. - - -
  69. SYSCHK1.ARC contains SYSCHK.EXE and SYSCHK.DOC.
  70. From: Terratech, 19817 61st Ave. S.E., Snohomish, WA 98290 
  71. What it does:
  72. Performs checksums of the first and second files in the root directory
  73. and the COMSPEC file.  These are the three system files.  The first time
  74. the checksums are displayed.  If they are given as parameters, they are
  75. compared against the current values. Error levels are set so a batch file
  76. can test the results.
  77. Evaluation: Works well.  This is shareware, with donation information only
  78. given if you request it with "SYSCHK /?". [T.S.]
  79. - - - -
  80. VACCINE.ARC, contains VACCINE.EXE, VACCINE.DOC.
  81. From: BBS (616)361-7500
  82. What it does:
  83. A compiled BASIC program that will give the size, time and date of a
  84. supllied file name. If these are given as parameters, it will compare the
  85. current values with the parameters and print a message that they
  86. agree or disagree.  It will not read files with the system attribute.
  87. Evaluation: Probably not very useful. [T.S.]
  88. - - - -
  89. VIRUSCK.ARC contains: LICENSE, README, VIRUSCK.DOC, VIRUSCK.EXE.
  90. From: Matt Cohen, PO Box 10589, State College, PA 16805-0589
  91. Written in Turbo or Microsoft C
  92. Source code: 83 lines
  93. What it does:
  94. It runs a program and reports any changes in its size or date
  95. after it is executed. 
  96. Evaluation: Not recommended. [T.S.]
  97.  
  98. ===============================================================
  99. Class 2 programs terminate and stay resident and attempt to stop
  100. undesirable activity.
  101. ===============================================================
  102. C-4.COM, INSTALL.EXE
  103. From: Interpath, 4423 Cheeney St., Santa Clara, CA 95054, 
  104. (408) 988 3832.
  105. What it does:
  106. This is a commercial product that costs $40.  It makes itself
  107. resident, hooking vectors 9, 13, 21, 22, 26 and 2F.
  108. A message pops up if any forbidden disk activity tries to take
  109. place and gives you the option of allowing or aborting the
  110. action. It protects against any program that attemots an interrupt
  111. level write ti a disk, or any program that attempts to modify or
  112. rename an EXE or COM program or CONFIG.SYS.
  113. Evaluation:  It does not warn of batch file modifications. The vendor 
  114. has cooperative in modifying the program when indesirable interactions
  115. with other TSR programs were found. Useful in a situation where
  116. existing applications are being run.  Probably not suitable for use where 
  117. programmers are busy developing new programs. (These people seem to operate
  118. the National BBS Society, too.) [T.S.]
  119. - - - -
  120. DPROTECT.ARC contains: DPROTECT.COM, DPROTECT.DOC, READ.ME.
  121. From: Gee M. Wong for Public Domain use ONLY.
  122. What it does:
  123. It installs itself as a resident program, and monitors the use of the BIOS 
  124. level interupt 13H to protect one or more disks. If it detects a write 
  125. request to a protected disk, it will warn you and then reboot your PC.
  126. Evaluation: Not very practical. I need to be able to write to my
  127. hard disk. [T.S.]
  128. - - - -
  129. STOP1.ARC contains: NEWSTOP.ASM, NEWSTOP.COM, STOP.DOC.
  130. From: Carey Nash, The Programmer's Forum, (818) 701-1021
  131. What it does:
  132. TSR that hooks interrupt 13H used for ALL low level disk I/O. 
  133. If write or format is requested, it will not allow interrupt 13 to 
  134. perform the command, but instead, it return a value to tell the calling 
  135. program that the write, or format was successful. It also uses interrupts 9 
  136. and 1C. It can be turned on and off from the keyboard. 
  137. Evaluation: When I tested it with a program that modifies sector 0,
  138. it an error message saying A: was write protected. It might be 
  139. useful in particular circumstances with unknown programs, but I would
  140. not recommend it for general use. [T.S.]
  141. - - - -
  142. HDSENTRY.ARC contains: HDSENTRY.ASC, HDSENTRY.ASM, HDSENTRY.COM, and
  143. README.1ST.
  144. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
  145. (305) 268-4500
  146. What it does: 
  147. It will enable you to run any program on a floppy drive undisturbed, but
  148. prevent most programs from accessing the hard disk for any type
  149. of destructive call.  Nondestructive calls such as reading or resetting the
  150. drive are permitted; formatting and writing to the disk are trapped and
  151. prevented from occuring.  Interrupt 26h, the absolute disk write interrupt,
  152. is also effectively removed from the system by this program.
  153. Hooks interrupt vectors 13h and 26h.
  154. Evaluation: Useful. It prevented a program from changing sector 0 on my hard 
  155. disk, although the program ran to completion and thought that it did. [T.S] 
  156. - - - -
  157. BOMBSQAD.ARC contains: BOMBSQAD.COM, BOMBSQAD.DOC. (Version 1.3)
  158. From: Andy Hopkins, 526 Walnut Lane, Swarthmore, PA 19081.
  159. BBS: 302-764-7522
  160. What it does: 
  161. It hooks interrupt vectors 13 and 70, intercepts calls,
  162. displays what is going to happen, and asks if you want to continue 
  163. Evaluation:
  164. It did stop calls to write to a sector on my hard drive, but it also
  165. interfered with being able to read from A: when it should have allowed
  166. that operation. [T.S.]
  167. =================================================================
  168. Class 3 Combination programs.  These combine a check of system files
  169. with a TSR part that watches for dangerous disk activity.
  170. =================================================================
  171. FSP-12.ARC contains: $READ_ME.1ST, $TOC, FLUSHOT.DAT, FLU_POKE.COM,
  172. FLU_REG.FRM, FSP.COM, FSP.TXT, F_FEED, HARDWARE.TXT, MY_OWN.CPY,
  173. PRINT.BAT, RAMNET.TXT, REWARD.FRM, REWARD.LST, THE_COOP.TXT, 
  174. UPDATES.TXT. [Flu_shot+]
  175. From: Ross M. Greenberg, 594 Third Avenue, New York, N.Y. 10016
  176. BBS:(212)-889-6438.
  177. What it does:
  178. After performing a check sum of the three system files, it installs
  179. itself as a TSR COMMAND.COM copy, hooking interrupt vectors
  180. 8, 9, 13, 20, 21, 26, 27 and 28.  It reads a data file that tells
  181. how you wish files to be protected, e.g. no read, read only, no
  182. EXE or COM or BAT files, etc.  When any program attempts to do something 
  183. forbidden, a pop-up window tells you and lets you abort or allow the 
  184. operation. 
  185. Evaluation: Although PC Magazine, June 88 recommended it, a number
  186. of people have reported serious bugs that have not yet been fixed
  187. by the author.  At this time, this version is *not* recommended.
  188. =================================================================
  189. Miscellaneous
  190. =================================================================
  191. CHK4BOMB.EXE ("Check for Bomb").
  192. From: Andrew M. Fried, 895 Cynthia Drive, Titusville, Fla. 32780
  193. (305) 268-4500
  194. What it does:
  195. It reads a .EXE of .COM program file from disk and attempts to spot
  196. dangerous code and suspicious messages.
  197. Evaluation: Useful for displaying text strings in program files, but of
  198. almost no usefulness for virus protection. [T.S.]
  199. - - - -
  200. VIRU-SIM.TXT, VIRU-SIM.EXE.
  201. From: National BBS Society/ICUG, 4423 Cheeney Street, Santa Clara, CA 95054.
  202. Voice - 408 727 4559,   BBS - 408 988 4004     
  203. What it does:
  204. VIRU-SIM is a program that simulates characteristic
  205. activities that .COM and .EXE infector viruses use for
  206. replication.  It also simulates some of the destructive
  207. activities used by viruses to destroy disk information.  It does
  208. not simulate the infection techniques of boot infector viruses
  209. (such as the Pakistani Brain Virus).  
  210. VIRU-SIM may be used as a tool to test the effectiveness of
  211. anti-viral measures and as demonstration tool for viral
  212. replication activities. 
  213. VIRU-SIM is available free of charge from the BBS Society's
  214. Homebase bulletin board, or is available on diskette for a $3.00
  215. mailing and handling fee. 
  216. Evaluation: Useful for testing protection programs. [T.S.]
  217. ======== end =======
  218.