home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / kaos136.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  26.8 KB  |  531 lines
  1. Chaos Digest             Mardi 25 Mai 1993        Volume 1 : Numero 36
  2.                           ISSN  1244-4901
  3.  
  4.        Editeur: Jean-Bernard Condat (jbcondat@attmail.com)
  5.        Archiviste: Yves-Marie Crabbe
  6.        Co-Redacteurs: Arnaud Bigare, Stephane Briere
  7.  
  8. TABLE DES MATIERES, #1.36 (25 Mai 1993)
  9. File 1--_40H VMag_, le FBI & Samford Univ. Comp. Serv. (reaction)
  10. File 2--"Immunizer": proposition de concept pour composants (critique)
  11.  
  12. Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
  13. available at no cost by sending a message to:
  14.                 linux-activists-request@niksula.hut.fi
  15. with a mail header or first line containing the following informations:
  16.                     X-Mn-Admin: join CHAOS_DIGEST
  17.  
  18. The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070)
  19. or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P.
  20. 155, 93404 St-Ouen Cedex, France.  He is a member of the EICAR and EFF (#1299)
  21. groups.
  22.  
  23. Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352)
  24. 466893.  Back issues of ChaosD can be found on the Internet as part of the
  25. Computer underground Digest archives. They're accessible using anonymous FTP:
  26.  
  27.         * kragar.eff.org [192.88.144.4] in /pub/cud/chaos
  28.         * uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos
  29.         * halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos
  30.         * ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest
  31.         * ftp.ee.mu.oz.au [128.250.77.2] in /pub/text/CuD/chaos
  32.         * nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos
  33.         * orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos
  34.  
  35. CHAOS DIGEST is an open forum dedicated to sharing French information among
  36. computerists and to the presentation and debate of diverse views. ChaosD
  37. material may be reprinted for non-profit as long as the source is cited.
  38. Some authors do copyright their material, and they should be contacted for
  39. reprint permission.  Readers are encouraged to submit reasoned articles in
  40. French, English or German languages relating to computer culture and
  41. telecommunications.  Articles are preferred to short responses.  Please
  42. avoid quoting previous posts unless absolutely necessary.
  43.  
  44. DISCLAIMER: The views represented herein do not necessarily represent
  45.             the views of the moderators. Chaos Digest contributors
  46.             assume all responsibility for ensuring that articles
  47.             submitted do not violate copyright protections.
  48.  
  49. ----------------------------------------------------------------------
  50.  
  51. Date: Thu, 20 May 93 12:36:40 -0400
  52. From: GLWARNER@samford.bitnet (THE GAR )
  53. Subject: File 1--_40H VMag_, le FBI & Samford Univ. Comp. Serv. (reaction)
  54.  
  55.  
  56. [ChaosD: Etonne de la lecture d'une telle insulte de la part du responsable
  57. du service informatique de la Samford University (USA), je decidai de lui
  58. demander la raison d'une telle virulence... malgre le nombre croissant des
  59. nouveaux abonnes a ChaosD. Voici le texte publie dans _Virus-L Digest_
  60. #6.82.2:]
  61.  
  62. Has anyone else seen "VMag"?  It appeared in this weeks Chaos Digest,
  63. and is a magazine dedicated to publishing virus writing tips.  The
  64. first issue contains code for making "The Tiny Virus" "Sub-Zero Virus"
  65. "Leprosy-B Virus" and "1992 Virus".  There is also an article on how
  66. to modify viruses so SCAN (McAffee) can't detect them.  (Some is
  67. source code, some disassembles, and some "debug" compilables).
  68.  
  69. The second issue contains an article on making PKLite or LZExe
  70. checksum strings show that they have not been changed, a BBS number
  71. for virus discussions, an interview with Skism One (AKA Lord SSS) (in
  72. which he praises John McAfee for helping make him famous) .. a debug
  73. compilable of the Whale virus, and code for the ontario virus, the
  74. 1260 virus, the skism 808 source code, and Vienna/Violator source
  75. code.
  76.  
  77. The question: What do we do about this?  I called the FBI complaint
  78. desk (202) 324-3000, and talked to "Harris".  He says there are no
  79. violations of Federal law, and that people can print whatever they
  80. want.  He said to me, that if you can go to the library and learn how
  81. to make an atomic bomb, that this certainly was legal.  I mentioned to
  82. him that once you know how to make a bomb, you need a whole bunch of
  83. uranium to do anything, but once you had this publication, you HAVE
  84. the bomb.  He suggested I contact an agent in my area, but told me the
  85. attorney general's office would have to decide whether there was a
  86. case, but he didn't think there was.  The editor of Chaos Digest is a
  87. member of the EFF, (the electronic version of the ACLU), so I would
  88. bet that anyone who messes with him would get a lawsuit.
  89.  
  90. [ChaosD: Voici la reponse de ce Monsieur a ma demande d'explications:]
  91.  
  92. I am denying permission.  Thanks for asking first.
  93.  
  94. What is the purpose of Chaos Digest?  It is quite obvious that VMag and
  95. SKISM have as their agenda the general wreaking of havoc by creation and
  96. spread of viruses.  There is not even a suggestion that they have any
  97. scientific or research purposes in mind.  When one begins a magazine by
  98. saying that it is not for "anti-virus pussy"s I think that one makes that
  99. pretty clear.  I thought Chaos Digest was a computer security publication
  100. when I signed up.  Is it?  What is it that you seek to gain by promoting
  101. this sort of activity with your distribution of their literature?
  102.  
  103. Curious: how many US subscribers do you have?
  104.  
  105. As for _The Little Black Book of Viruses_ . . . yes, I am familiar.  And
  106. if you check the archives of VIRUS-L you will see that there was great and
  107. similar outcry at its publication.  Data WILL be destroyed because of your
  108. reproduction of VMAG.  How does this fall in line with the concept of
  109. editorial responsibility?
  110.  
  111. ------------------------------
  112.  
  113. Date: Fri May  7 14:57:00 -0600 1993
  114. From: roberts@decus.arc.ab.ca ("Rob Slade, DECrypt Editor, VARUG NLC rep )
  115. Subject: File 2--"Immunizer": proposition de concept pour composant (critique)
  116. Copyright: Robert M. Slade, 1992
  117.  
  118.  
  119.                                Comparison Review
  120.  
  121. Company and product:
  122.  
  123. Western Digital Corporation
  124. 8105 Irvine Center Drive
  125. Irvine, CA   92716
  126. 714-932-5000
  127. 714-932-6250 Letty Ledbetter
  128. Robert McCarroll, Product Manager, Systems Logic Group
  129. 714-932-7013 Terry Walker (and Robert Lee, developer) fax: 714-932-7097
  130. Mark Levitt fax: 714-932-7098
  131. Benjamin Group (marketing)
  132. Suite 480, 100 Pacifica Ave.
  133. Irvine, CA   92718
  134. 714-753-0755 (Erin Jones, Sari Barnhard and Carolyn Fromm) fax: 714-753-0844
  135. Immunizer (new technology to be announced 921109)
  136.  
  137. Summary: concept proposal for hardware component for data security
  138.  
  139. Cost: N/A
  140.  
  141. Rating (1-4, 1 = poor, 4 = very good)
  142.       "Friendliness"
  143.             Installation      1
  144.             Ease of use       1
  145.             Help systems      1
  146.       Compatibility           2
  147.       Company
  148.             Stability         2
  149.             Support           1
  150.       Documentation           1
  151.       Hardware required       2
  152.       Performance             2
  153.       Availability            1
  154.       Local Support           1
  155.  
  156. General Description:
  157.  
  158. The "Immunizer" concept involves a cooperative effort between BIOS makers,
  159. board manufacturers and antiviral software producers.  The central component,
  160. as far as Western Digital is concerned, is the 7855 system controller chip.
  161. With proper implementation, the concept should allow protection of hard disk
  162. and memory areas, while at the same time allowing the user the option to
  163. "lift" the protection via software in order to allow for normal system
  164. maintenance functions.
  165.  
  166.                   Comparison of features and specifications
  167.  
  168.  
  169. User Friendliness
  170.  
  171. Installation
  172.  
  173. The test unit arrived with the Immunizer protection in place.  The notes with
  174. the system do not specify how the protection program (ANTIDOTE) was to be
  175. invoked or removed, other than at boot time.
  176.  
  177. Physical examination of the unit found an AMD NG80386SXLVIO-25 CPU and a
  178. Caviar 280 85Meg drive.  Bus slots were labelled "do not use bus" and "5V".
  179. The system boot messages referred to a "7855 3.3V Notebook system".
  180.  
  181. Initial assessment of the system found that the two FAT tables did not agree,
  182. and that there were numerous "duplicate filenames" in the root and directories
  183. created before the system was shipped.  Examination of the root directory
  184. showed multiple filenames of ANTIDOTES_R.  (Addition and protection of new
  185. program files increases the number of these entries.)
  186.  
  187. To begin with, I could not understand the purpose of these files, supposing
  188. that they might point to table information regarding which files were to be
  189. protected.  However, the number of protected files did not exactly correspond
  190. with the number of ANTIDOTES_R entries.  Eventually I found that groups of
  191. these entries always end at sector boundaries.  This would indicate that
  192. protection is on the basis of disk sectors and that the entries are used as
  193. "spacers" to keep data files out of the protected sectors.
  194.  
  195. Note that removal of these file entries requires sector editing, and that
  196. directories that have such entries cannot be removed even if "all files" have
  197. been deleted from the directory.  I had hoped that disabling protection,
  198. deleting all files, and then running the "organize and protect" function again
  199. would solve the problem, but it did not.  It did, however, remove the
  200. protection from the directories so that a tool like NDD was able to remove
  201. duplicate entries.  One ANTIDOTES_R entry remained, and could not be deleted
  202. from the command line, but another utility program was then able to remove the
  203. single remaining entry.  This, however, seems to be excessive trouble for such
  204. a common procedure.
  205.  
  206. Analysis of the FAT with one tool initially showed that a file at cluster 5276
  207. had no directory entry.  On a second run, that had changed to 5398.  Further
  208. runs after addition of more files indicated that this particular cluster is a
  209. fixture of the system. Examination showed the contents to be very similar, and
  210. similar to the FAT data structure.
  211.  
  212. Ease of use
  213.  
  214. As noted, the notes shipped with the test system did not indicate how to
  215. invoke the ANTIDOTE program, other than by rebooting the computer.
  216.  
  217. An attempt to write to the root directory entries (overwriting the duplicated
  218. ANTIDOTES_R filenames, in fact) with PCTools invoked an alert screen.  This
  219. screen stated that a suspicious write had been detected. The options presented
  220. were to reboot the computer, or to disable protection.  There was no option to
  221. disallow the operation, but continue with the session.  The screen noted that
  222. if the operation was allowed to proceed, ANTIDOTE would not be active until
  223. again invoked (by rebooting?).  Choosing to reboot presents a second screen to
  224. confirm the choice.  The system appears to be able to discriminate between
  225. program and non-program directory entries.
  226.  
  227. (Subsequent testing demonstrated that the alert system, at least, would remain
  228. in place even if the option to disable protection was selected.)
  229.  
  230. There are only six menu selectable items on the main ANTIDOTE screen, and
  231. using the menu should not present any problem to a user with even moderate
  232. computer experience.  The only item that presents any further complexity of
  233. use is the option to select files to be protected.  It should be comprehen-
  234. sible to any user of "dual window" file managers.
  235.  
  236. Help systems
  237.  
  238. None provided aside from brief (one sentence) explanations of the six menu
  239. items on the ANTIDOTE program.
  240.  
  241. Compatibility
  242.  
  243. Utility programs show numerous potential problems with inconsistent entries
  244. between the two FAT tables, and with numerous "duplicate" filenames, as well
  245. as lost chains whenever the "Protect" functions are used.  Use of programs to
  246. attempt to correct these problems is almost inevitably fatal.  The ANTIDOTES_R
  247. "files" are, of course, part of the protection system, and rightly attempt to
  248. defend themselves, but it would help if the implementation was not such a
  249. problem to other utilities. Attempts to reconcile the two FAT tables appear to
  250. be allowed, but will need to be done again after each use of the ANTIDOTE
  251. program to protect new or modified files.
  252.  
  253. An attempt to test compatibility with other antiviral programs raised an
  254. interesting point.  The protection system does *not* appear to really start
  255. from the BIOS level. Installation of the DISKSECURE system seemed to eliminate
  256. the ANTIDOTE system entirely. However, attempts to infect the system with boot
  257. sector infectors from floppies did not work: the system was able to prevent
  258. infection.
  259.  
  260. There is considerable interference from the system in terms of false alarms.
  261. In fact, there were numerous times when the "alert" screen popped up when no
  262. disk activity should have been taking place.  In the limited time available it
  263. is difficult to say for sure how much was unwarranted interference with normal
  264. operations, particularly as the only option is to reboot or shut down the
  265. protection.
  266.  
  267. Initially, I was not aware of too many false alarms; after all, I had little
  268. idea of how the system should work and was obviously making mistakes.  As I
  269. started to load software into it, I began to suspect that large scale copying
  270. operations "confused" the system as to what was supposed to be protected.
  271. The problem seems to get much worse as the disk is "loaded": at 80% full the
  272. system "alarms" on almost every operation that copies data, or even reads the
  273. disk.  At 95% full, invocation of programs larger than one cluster will
  274. consistently generate a warning.
  275.  
  276. I was, however, able to determine that numerous alerts (at least six when I
  277. tested the system conditions both before and after the alert) were fully in
  278. error.  Some of the cases were inconsistent in generating the warnings. In any
  279. case, false alarms seem to occur at a rate of one out of ten disk operations
  280. when the disk is half full.
  281.  
  282. At 95% full or higher, there are also numerous false alarms when the system
  283. boots.  Interestingly, removal of programs to reduce the "load" to 60% and
  284. reprotecting the system did not rectify the errors.  ("Cold" booting does
  285. improve the success rate.)
  286.  
  287. There are occasions, however, when the "false" alarms aren't really false, but
  288. are misleading just the same. This occurs when a protected program or file has
  289. been deleted.  As noted, the system allows you the option of allowing an
  290. operation.  The alert screen states that the protection system will be shut
  291. down after a restricted operation is allowed, but, in fact, doesn't.
  292. Therefore, while the area formerly occupied by the deleted file looks (to DOS)
  293. to be available, to the protection system this area of the disk is still to be
  294. protected. This is more than just a bug in the current implementation; it is a
  295. significant obstacle to the utility of the concept as a whole, and needs to be
  296. seriously addressed.
  297.  
  298. Another bug in the current program concerns the computer system it is
  299. installed in, and the diagnostics.  Roughly half of the attempts to reboot
  300. the system resulted in some failure of the diagnostic tests, although there
  301. was no apparent problem with the items that had failed.
  302.  
  303. It should be noted that, aside from the rather random interference with normal
  304. computer operations that go on from time to time, nothing in the system
  305. mitigates against "companion" (also known as "spawning" or "precedence") viral
  306. programs. Duplicate filenames with different extensions may exist, and are not
  307. noted in any way.
  308.  
  309. The system, as currently configured, prevents booting from a floppy disk
  310. except when the protection is disabled.  While this seems generally
  311. reasonable, note that it means that checking of the system is problematic.
  312. (During testing, I attempted a "clean boot" to ensure that a stealth virus
  313. had not, in fact, affected the system.  I then, inadvertently, wiped out the
  314. disk with a trojan.)
  315.  
  316. If the system is infected by a boot sector infector, it will not prevent
  317. subsequent infection of floppy diskettes.
  318.  
  319. A version of the Traceback virus was able to consistently lock up the system.
  320. This should be explored as indicating a possible weakness in the protection
  321. system.
  322.  
  323. Company Stability
  324.  
  325. Western Digital is well known for their drive controller and network cards.
  326. This is their first effort in the antiviral arena.
  327.  
  328. Company Support
  329.  
  330. I was first contacted by "The Benjamin Group", which appears to be a marketing
  331. company hired by Western Digital for the promotion of this concept.  An
  332. evaluation unit was promised to be shipped.  I was very careful to spell out
  333. the conditions under which I would accept the unit for review: these were
  334. agreed to by Benjamin, but were apparently not communicated to Western
  335. Digital.
  336.  
  337. Significant problems were encountered in shipping.  The unit was to have been
  338. shipped over the weekend: because of problems with declarations at Customs the
  339. shipment was received a week late.  Equal, or worse, problems were encountered
  340. in attempting to get information from Western Digital in order to return the
  341. unit.
  342.  
  343. Because of the miscommunication over review conditions, and because of the
  344. delay in shipping, this review has been conducted under less than ideal
  345. conditions and time frame.  A series of questions was put to Western Digital
  346. in order to better structure the review.  Unfortunately, the answers were
  347. somewhat misleading.
  348.  
  349. Western Digital stated that although full documentation is not available with
  350. the system, some description of the concepts and theory were enclosed with the
  351. package.  User notes were said to be enclosed regarding the anti-viral
  352. management software.  In fact, there was no material relating to the theory
  353. and concept, and the user notes simply reproduced the explanations listed with
  354. each menu item on the ANTIDOTE screen.
  355.  
  356. The software and system was said to be complete and debugged so far as the
  357. "proof of concept" is concerned, although it was not to be judged as a
  358. commercial and saleable product.  This is fair as far as it goes, but it would
  359. be hard to defend the mistakes that the system makes in terms of losing files
  360. and clusters in terms of a fully debugged program.
  361.  
  362. Some software, particularly Windows 3.1, was said to be installed and
  363. available on the system.  In fact, only MS-DOS (and not all of that), F-PROT
  364. and a virus "storyboard" presentation were on the system.
  365.  
  366. There were additional problems with contacts.  Phone calls and faxes were not
  367. returned.  Several times Western Digital requested action on my part on a rush
  368. basis, but when further information was requested in order to pursue this
  369. action, calls by me were left unreturned by Western Digital for days at a
  370. time.   To date I am still waiting for some materials promised by Western
  371. Digital and The Benjamin Group.
  372.  
  373. Documentation
  374.  
  375. Basically, none is yet available beyond the press releases and a "white
  376. paper".
  377.  
  378. Hardware Requirements
  379.  
  380. At present, the system is limited to those systems with SMI equipped 386/486
  381. level processors.  The system will need the proper BIOS and the WD 7855 system
  382. controller.  The protection is limited to ISA IDE hard drives, and only to the
  383. first physical and logical drive.
  384.  
  385. In terms of exactly how the technology works to protect the disk, it would
  386. seem to be possible in a number of ways.  However, the current implementation
  387. seems to require all programs (or other files to be protected) to be
  388. contiguous on the disk.  This suggests that the protection is applied on a
  389. "cluster" or "sector" basis, rather than at the higher, logical, level of
  390. file protection.
  391.  
  392. In terms of the files to be protected, this is not a major problem.  However,
  393. the FAT clusters must also be protected.  (Directory "files" listing the files
  394. within the directory also appear to be protected in some way.  Renaming of
  395. files in some ways is allowed: methods that involve direct disk access appear
  396. to be restricted.  This may present a security loophole.)
  397.  
  398. The implications here are more serious since data files, which are not to be
  399. protected, must not occupy any of the clusters in the FAT which are protected.
  400. Observation of the test system indicates that data files are therefore
  401. restricted from certain areas of the disk.  The exact restriction will depend
  402. upon the amount of space required for program files, the FAT type (12 or 16
  403. byte), the cluster size and the size of the hard disk.  (Given the number of
  404. variables, I have not attempted to calculate specific examples.  The precise
  405. extent of this restriction as an obstacle to computing is difficult to
  406. determine.)  My initial observations indicated that this might require a
  407. restriction of disk usage limiting disk utilization to 50 percent or possibly
  408. even less.  Subsequent observations did not confirm this, since I was able to
  409. fill the disk to 99% capacity.  However, it should be noted that when the disk
  410. allocation reached 50% of capacity there was a significant increase in the
  411. number of false alarms.
  412.  
  413. In relation to this, "FAT" or "system" viral programs were tried against the
  414. Immunizer system.  While they did not infect the system, neither did they
  415. prompt any alarms.  Although two copies of DIR II were tried, my suspicion is
  416. that somehow the system prevented their operation, rather than preventing the
  417. infection.  This will require further testing.
  418.  
  419. Performance
  420.  
  421. Invocation of the "Protect" or "Organize and Protect" functions of the
  422. ANTIDOTE program results in a major disk reorganization.  Each addition or
  423. modification to a program, therefore, requires significant time for
  424. re-establishment of protection.
  425.  
  426. In addition, the disk reorganization appears to have some bugs currently, and
  427. each run resulted in some truncated files and lost clusters. The files lost or
  428. truncated tend to be data files, although at least one overlay file was
  429. truncated during testing.  Each run also results in inconsistencies between
  430. the two FATs.
  431.  
  432. After the addition of some files required an "Organize and Protect" run of
  433. more than 35 minutes duration, I attempted to build a metric for this
  434. activity.  Therefore, having protected, organized and cleaned up the disk
  435. errors on the system, I installed Windows 3.0 as being fairly representative
  436. of the mix of programs and data in today's commercial software.  52 megabytes
  437. of the 83 megabytes available on disk were occupied, and Windows added
  438. approximately 5 megabytes to that.  The organize and protect run took 21
  439. minutes to complete.  An initial run with CHKDSK did not find any lost
  440. clusters.  Correcting the FAT inconsistencies with NDD took a further 9
  441. minutes.  It found four truncated files and 97 chains of 1218 lost clusters,
  442. the correction of which took a further 3 minutes.  The cost of the addition
  443. and protection of one commercial package, therefore, is generally more than
  444. half an hour for protection, and a random loss of data files.
  445.  
  446. However, observation suggests that this is neither consistent nor predictable.
  447. Most runs took 30 to 40 minutes, regardless of the space available on disk or
  448. the number and size of program files added.  On the other hand, after one
  449. addition of a large number of program files the organize and protect run took
  450. only five minutes to complete.
  451.  
  452. A "worst case" test was done with the disk 99% full.  This took 4.5 hours to
  453. complete.  After this was done, the system "alarmed" on every bootup.
  454. Interestingly, on this run only one file and 24 cluster chains were lost.
  455.  
  456. Note that removal of files requires a similar time investment.  Deleting 35
  457. megabytes of (mostly program) files required an "organize and protect" run of
  458. 24 minutes.
  459.  
  460. Recovery of files was generally unsuccessful.  On two notable occasions very
  461. large data files were recovered with reasonable success after extended
  462. efforts.  Lost clusters tended to be mixtures of files; in many cases mixtures
  463. of files and directories.
  464.  
  465. The processing overhead added by the protection system is not perceptible to
  466. the user in normal operation.  Numerical tests of disk speed, however, reveal
  467. a very different story.
  468.  
  469.          Coretest  Transfer rate  Perf. index    /      SI Disk Index
  470.  
  471. with protection         349.6          5.756               4.3
  472. without protection      942.0          9.291               7.0
  473.  
  474. While processing does not appear to be adversely affected, disk access
  475. certainly is.  Where disk performance is a factor, this must be a
  476. consideration.
  477.  
  478. Although memory protection was mentioned (in a teleconference promoting the
  479. release) system areas of memory do not appear to be protected.  However, upon
  480. further information from the company, an area of memory was found which is
  481. protected.
  482.  
  483. Additional "bugs" were found in the system.  The ANTIDOTE alert screen did not
  484. recognize both "Enter" keys on the keyboard: in certain situations it requires
  485. one, in others the other.  At times the system would not "free" memory after a
  486. program had completed a run.  At times the system seemed to interfere with
  487. parameters being passed to programs.
  488.  
  489. Support Requirements
  490.  
  491. Even without the bugs, the current concept would need to be installed and
  492. managed by those who thoroughly understood both virus protection and the level
  493. and type of activity on the computer to be protected.  Certain files not
  494. covered by the default protection would need to be added and certain programs
  495. would need to be "writable" in certain situations.  It is, of course, possible
  496. for the user or operator to override the protection, but they would need to be
  497. informed of the times when they safely could, and times when they shouldn't.
  498. The fact that the alert screen is so vague does not help this decision, but
  499. this could be changed, hopefully without adding too much overhead.  The
  500. addition of more "intelligence" to the alert screen, in order to inform the
  501. user of what part of the disk was being written to, and what the implications
  502. were, would help here.
  503.  
  504.                                  General Notes
  505.  
  506. The concept appears to have substantial potential.  However, the current
  507. implementation has a sufficient number of bugs as to make judgement of the
  508. value of the concept, separate from this implementation, problematic.
  509.  
  510. As currently implemented, the system does appear to provide substantial
  511. protection against infection of program and specific protected files on the
  512. target machine by most types of viral and trojan programs.  The cost of this
  513. protection, in terms of the reduced utility of the system, would be
  514. unacceptable in all but the highest risk environments.  A combination of
  515. software defenses and user training would provide almost the same level of
  516. protection at greatly reduced cost.
  517.  
  518. There are indications of loopholes in the current implementation.  Specific
  519. identification of such requires further testing.
  520.  
  521. This concept should be pursued, but in conjunction with established antiviral
  522. researchers and antiviral software developers.  Numerous existing programs
  523. could contribute to patching the gaps in this implementation.
  524.  
  525. ------------------------------
  526.  
  527. End of Chaos Digest #1.36
  528. ************************************
  529.  
  530. Downloaded From P-80 International Information Systems 304-744-2253
  531.