home *** CD-ROM | disk | FTP | other *** search
/ Power Utilities / Power Utilities.iso / utility / pro8 / filesafe.doc < prev    next >
Encoding:
Text File  |  1993-03-14  |  44.0 KB  |  1,088 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7.  
  8.  
  9.  
  10.  
  11.                                     FileSafe
  12.  
  13.  
  14.                                 Virus Detection
  15.  
  16.                                     Software
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.                                  User's Manual
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.                                  JAYAR Systems
  54.                                253 College Street
  55.                                    Suite 263
  56.                                 Toronto, Ontario
  57.                                 Canada   M5T 1R5
  58.                                  (416) 751-3284
  59.  
  60.  
  61.  
  62.                                     LICENSE
  63.  
  64.      The license for the Shareware evaluation (trial use) version of
  65.      FileSafe is contained in the file LICENSE.DOC.  This file has been
  66.      included for your convenience as an appendix to this manual.
  67.  
  68.  
  69.  
  70.  
  71.  
  72.  
  73.                                     WARRANTY
  74.  
  75.      The Shareware evaluation (trial use) version of FileSafe is provided
  76.      AS IS.  JAYAR Systems MAKES NO WARRANTY OF ANY KIND, EXPRESSED OR
  77.      IMPLIED, INCLUDING WITHOUT LIMITATION, ANY WARRANTIES OF
  78.      MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.                                  SUPPORT POLICY
  86.  
  87.      JAYAR Systems provides free support for this product.  We will answer
  88.      questions and fix serious bugs.  If you have any questions about or
  89.      problems with using this product, give us a call at the number on the
  90.      inside front cover of this manual.  Or, if you are not in a rush, send
  91.      us a letter.
  92.  
  93.      We would also appreciate hearing from you if you have any comments or
  94.      suggestions for improvements.
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.                    _______                    
  106.               ____|__     |               (R) 
  107.            --|       |    |-------------------
  108.              |   ____|__  |  Association of   
  109.              |  |       |_|  Shareware        
  110.              |__|   o   |    Professionals    
  111.            -----|   |   |---------------------
  112.                 |___|___|    MEMBER           
  113.  
  114.  
  115.                    FileSafe Copyright (C) 1993 JAYAR Systems
  116.                               All Rights Reserved
  117.  
  118.  
  119.  
  120.  
  121.                                    CONTENTS
  122.  
  123.         1       INTRODUCTION . . . . . . . . . . . . . . . . . . . . 2
  124.         2       INSTALLING FILESAFE  . . . . . . . . . . . . . . . . 2
  125.         3       USING FILESAFE . . . . . . . . . . . . . . . . . . . 3
  126.         3.1       FILESIG  . . . . . . . . . . . . . . . . . . . . . 3
  127.         3.2       CHCKSIG  . . . . . . . . . . . . . . . . . . . . . 5
  128.         3.2.1     Directory-level Signature File . . . . . . . . . . 5
  129.         3.2.2     External Master Signature File . . . . . . . . . . 8
  130.         3.3       GETSIG . . . . . . . . . . . . . . . . . . . . . . 8
  131.         4       STRATEGY . . . . . . . . . . . . . . . . . . . . . . 8
  132.  
  133.  
  134. APPENDIX A      COMPUTER VIRUSES AND FILESIG
  135.  
  136.  
  137. APPENDIX B      LICENSE
  138.  
  139.         B.1     TRIAL USE LICENSE: . . . . . . . . . . . . . . . . B-1
  140.         B.2     LIMITED DISTRIBUTION LICENSE:  . . . . . . . . . . B-2
  141.  
  142.  
  143. APPENDIX C      DEFINITION OF SHAREWARE
  144.  
  145.  
  146. APPENDIX D      HOW TO REGISTER
  147.  
  148. FileSafe User's Manual (JAYAR Systems)                          Page 2
  149. INTRODUCTION
  150.  
  151.  
  152.      1  INTRODUCTION
  153.  
  154.      FileSafe, if used conscientiously, is a practically foolproof virus
  155.      protection program.  It works by taking the fingerprint or signature
  156.      of all the executable files and the boot record of your disk.
  157.                                            _________ ____     FileSafe stores this information in a signature file in each
  158.      directory.  Periodically you check your files' current signatures
  159.      against the originals.  FileSafe reports any changes.
  160.  
  161.      Conventional virus detection programs of this type calculate a 32 bit
  162.      cyclical redundancy check (CRC) number for a file.  The CRC can be
  163.      inverted though--a clever virus can modify a file without changing its
  164.      CRC.  FileSafe on the other hand generates a 128 bit message digest as
  165.      a signature for each file.  The message digest cannot be inverted.  No
  166.      two files have the same message digest and it is not possible to
  167.      create a file that has a predetermined message digest.  FileSafe is so
  168.                                  ___     sensitive that changing one bit in a multi-megabyte file changes its
  169.      signature.
  170.  
  171.      Computer viruses work by attaching themselves to (infecting) an
  172.      executable or program file, or by modifying your disk's boot record.
  173.      The problem lies in determining if this has happened.  Clever viruses
  174.      may not change either the file's size or alter its timestamp.  That's
  175.      where FileSafe comes in--it will detect any change, no matter how
  176.      small or how well covered.
  177.  
  178.      FileSafe is easy to use and works best if you use it regularly.  This
  179.      manual explains how to protect yourself from viruses with FileSafe.
  180.  
  181.  
  182.       o  Section 2 describes how to install FileSafe.
  183.  
  184.       o  Section 3 shows how to use FileSafe.
  185.  
  186.       o  Section 4 suggests strategies for using FileSafe most effectively.
  187.  
  188.       o  Appendix A discusses how viruses work in more detail.
  189.  
  190.  
  191.  
  192.  
  193.      2  INSTALLING FILESAFE
  194.  
  195.      Installation of FileSafe couldn't be easier.  The distribution
  196.      diskette contains the three programs described below and a file called
  197.      README which you should check for any last minute updates that did not
  198.      make this manual.
  199.  
  200.      FileSafe is actually contained in three programs:
  201.  
  202.       o  FILESIG
  203.          calculates signatures for the executable files on your disk and
  204.          stores these signatures in signature files in the directories the
  205.          files are located in.
  206. FileSafe User's Manual (JAYAR Systems)                          Page 3
  207. INSTALLING FILESAFE
  208.  
  209.  
  210.       o  CHCKSIG
  211.          reads the original file signatures from the signature files in
  212.          your disk's directories and recalculates the signatures for each
  213.          of the files listed therein.  It writes a report file showing you
  214.          if any of the files have changed.
  215.  
  216.       o  GETSIG
  217.          is an optional utility that you receive when you register your
  218.          copy of FileSafe (see Appendix D).  GETSIG gathers all the
  219.          signature files from the directories on a disk and puts them into
  220.          one file, perhaps on a floppy diskette.  CHCKSIG can then use this
  221.          file as its source file to read the original signature
  222.          information.
  223.  
  224.  
  225.      The distribution diskette is not copy protected so you can copy the
  226.      programs to your hard disk (the suggested procedure)--a good location
  227.      would be the directory where you keep your utilities.  It should be a
  228.      directory that is pointed to by your PATH environment variable so they
  229.      will be easy to use.  For instance, if your hard disk is designated
  230.      drive C and you keep your utility programs in directory UTILS, then
  231.      insert the distribution diskette in drive A and type
  232.  
  233.         A> COPY A:*.EXE C:\UTILS
  234.  
  235.      It is also possible to use any of the FileSafe programs from a floppy
  236.      diskette.  A feature of FileSafe is that the component programs are
  237.      quite small and don't require a lot of memory or disk space so they
  238.      are convenient to use even from a diskette.
  239.  
  240.      In any event, don't execute the programs from the distribution
  241.      diskette.  Copy them to another disk and put the distribution diskette
  242.      away in a safe place.
  243.  
  244.  
  245.  
  246.      3  USING FILESAFE
  247.  
  248.      This section describes the operation of the FileSafe component
  249.      programs.
  250.  
  251.  
  252.  
  253.      3.1  FILESIG
  254.  
  255.      You execute FILESIG from a directory you want to fingerprint so that
  256.      you can check it later for virus infestation.
  257.  
  258.      FILESIG creates a file in the directory called dirname.SIG where
  259.      DIRNAME is the name of the directory.  If you are in the root
  260.      directory of the disk the file is named ROOT.SIG.  In this file
  261.      FILESIG writes a data record for every file in the directory that has
  262.      a filetype of .BIN, .COM, .EXE, .OVL or .SYS.  If you are executing
  263.      from the root directory and the disk is bootable then FILESIG also
  264. FileSafe User's Manual (JAYAR Systems)                          Page 4
  265. USING FILESAFE
  266.  
  267.  
  268.      writes a record for the boot sector of the disk.
  269.  
  270.      The data record for each file contains the file name, the file size,
  271.      date and time the file was last modified and the file's signature.
  272.      Here is a sample signature file, written for the root directory of a
  273.      bootable disk:
  274.  
  275.        IBMBIO.COM     16369 12-30-85 12:00:00  336ffd03c58e805aa1372671442f4a00
  276.        IBMDOS.COM     28477 12-30-85 12:00:00  04baa0c094ba88e833300d3b9a1f4f13
  277.       COMMAND.COM     23791 12-30-85 12:00:00  4302a424a58f1da9afbed9bd6ecc1e0a
  278.        CONFIG.SYS       159 05-27-90 21:44:22  904838eb1c3c8342c03f806eb6625019
  279.      FASTDISK.SYS      5804 09-26-85 09:01:21  f214518db5e3f37ccec4ce864fa2bacc
  280.          REMM.SYS      9021 06-18-86 18:10:07  281d88d6cc71ca4162d63e8c78f639c0
  281.           REX.SYS      2150 04-15-86 16:26:26  c3639a605d29bd800a0be702df4f00a8
  282.       RAMBIOS.SYS       590 07-19-89 11:35:10  9d3658e1de983321f4b66f3097305363
  283.       CONFIG1.SYS       159 01-07-90 16:56:07  a15226c76423c01a3c8f709450fed6e7
  284.       BOOT.RECORD       512                    c9a033d5aa3c497def0be28ac8c7034f
  285.  
  286.      Optionally, FILESIG will do this recursively for all subdirectories
  287.      below the one you are executing it from as well.  By default only
  288.      executable files (i.e., those with the file extensions listed above)
  289.      are checked, but FILESIG will optionally generate signature records
  290.      for all the files in a directory, or alternatively for any one, named
  291.      file.
  292.  
  293.      The syntax for executing FILESIG is
  294.  
  295.          [D:][PATH]FILESIG [-R] [-A] [-V] [-F filename]
  296.  
  297.      where items in [...] are optional.  The options are:
  298.  
  299.        D:PATH before FILESIG specifies the drive and path where the program
  300.           is located.  You will not need this if FILESIG is in a directory
  301.           on your hard drive and that directory is named in your PATH.  You
  302.           will likely use this option if executing FILESIG from a floppy
  303.           diskette.
  304.  
  305.        -R By default, FILESIG generates a signature file and checks files
  306.           for the current directory.  This option causes FILESIG to check
  307.           files in the current directory and in all directories below the
  308.           current one, and in all directories below those, etc.
  309.  
  310.        -A By default, FILESIG only checks executable files--those with
  311.           filetypes of .BIN, .COM, .EXE, .OVL or .SYS and the boot record
  312.           if it is executed from the root directory of a bootable disk.
  313.           This option causes FILESIG to check all files in the directories
  314.           it visits.  While non-executable files cannot be infected by a
  315.           virus, you may wish to record their signatures to alert you if
  316.           the files are ever modified.
  317.  
  318.        -V prints the version number of the program and quits.
  319.  
  320.           ________       -F filename causes FILESIG to generate a signature record for the
  321.           named file only.
  322. FileSafe User's Manual (JAYAR Systems)                          Page 5
  323. USING FILESAFE
  324.  
  325.  
  326.      FILESIG creates a new dirname.SIG file in a directory when it is
  327.      executed even if one already exists.  This is not the case if you use
  328.      the -F option.  If the dirname.SIG file exists, the record is appended
  329.      to the file.  Note that this may cause a dirname.SIG file to have
  330.      multiple entries for one file.  Feel free to edit the dirname.SIG
  331.      files that FILESIG produces and delete records for files you are not
  332.      interested in.
  333.  
  334.  
  335.  
  336.      3.2  CHCKSIG
  337.  
  338.      You use CHCKSIG to compare the signatures of files calculated at some
  339.      earlier time to their present signatures to see if the files have been
  340.      modified.  CHCKSIG can operate in one of two modes.  In the first it
  341.      looks in the current directory (and optionally, subdirectories below
  342.      it) for a signature file and then checks the files listed therein.  In
  343.      the second mode CHCKSIG checks the files listed in an external master
  344.      directory file that was created with GETSIG.  We will discuss the two
  345.      modes of operation separately.
  346.  
  347.  
  348.  
  349.      3.2.1  Directory-level Signature File - Once FILESIG has created a
  350.      signature file in a directory you use CHCKSIG to check the files
  351.      listed in the signature file to see if they have been changed.
  352.      Optionally, you can request that CHCKSIG recursively check signature
  353.      files in all subdirectories below the current one as well.
  354.  
  355.      When you execute CHCKSIG it looks in the directories it visits for a
  356.      file called dirname.SIG, where dirname is the name of the directory.
  357.      CHCKSIG reads the record for each file listed in the dirname.SIG file
  358.      and recalculates its signature.  CHCKSIG writes its findings in a file
  359.      called FILESAFE.RPT that it creates in the directory that you execute
  360.      it from.
  361.  
  362.      CHCKSIG checks each file for changes in the following attributes which
  363.      could indicate file modifications.  Section 4 discusses how to
  364.      interpret its findings in the context of a possible virus attack.
  365.  
  366.  
  367.          ____      o  size:  if the file's size has changed CHCKSIG prints the original
  368.          signature record and the file's current size and timestamp and a
  369.          warning that the size has changed.  This indicates a file
  370.          modification.  The file's signature is not recalculated.
  371.  
  372.          ____      o  date:  if the file's timestamp has changed, CHCKSIG recalculates
  373.          its signature and reports the old and new signature records for
  374.          the file.  A timestamp change alone does not necessarily mean the
  375.          file has been modified.
  376.  
  377.          _________      o  signature:  if the file's signature has changed, CHCKSIG reports
  378.          the old and new signature records for the file.  This means that
  379.          the file has been modified.
  380. FileSafe User's Manual (JAYAR Systems)                          Page 6
  381. USING FILESAFE
  382.  
  383.  
  384.      If CHCKSIG detects a change in a file's timestamp or signature but not
  385.      its size, it reports the file's old and new signature records in
  386.      FILESAFE.RPT and flags them with one, two or three asterisks (*).
  387.      These are interpreted as:
  388.  
  389.          
  390.  
  391.          * only the file's date changed--internally it is still the same.
  392.  
  393.          
  394.  
  395.          ** only the file's signature changed--it has been modified.
  396.  
  397.          *** the file's timestamp and signature changed--it has been
  398.          modified.
  399.  
  400.  
  401.      Following is an extract from a FILESAFE.RPT file and what the various
  402.      lines mean.
  403.  
  404.      F:\
  405.      ===
  406.            NE.COM     32375 09-20-87 22:03:20   ... OK
  407.  
  408.           BAC.COM      1392 09-03-86 19:57:14   ... OK
  409.  
  410.            DR.COM      3456 09-03-87 00:10:20  0c3900897b999754359758dc581a0e7e
  411.            DR.COM      7808 02-12-93 22:33:10   ** file size has changed
  412.  
  413.            RN.COM      4352 10-14-87 00:18:14   ... OK
  414.  
  415.            CO.COM  does not exist.
  416.  
  417.          JRCE.EXE     15978 01-01-93 00:00:01  d5ea1e4e710e281807ae74588aaf2134
  418.          JRCE.EXE     15978 01-01-93 00:00:01  616e85df3f52e12da7fe4c53469c1c35 * *
  419.  
  420.            SD.COM       320 09-03-86 19:57:15  291d40ced37b258f220945338c033eb5
  421.            SD.COM       320 02-12-93 22:34:09  291d40ced37b258f220945338c033eb5 *
  422.  
  423.          JRCL.EXE     13268 01-02-93 01:00:01   ... OK
  424.  
  425.         VTREE.COM       512 09-03-86 19:57:16  ffea28731f4a265674a7ec31cf2ce5e5
  426.         VTREE.COM       512 02-12-93 22:35:14  f05b513c59a53c59a1bec0af7a4033cd * * *
  427.  
  428.          DDIR.COM       800 09-01-92 22:45:22   ... OK
  429.  
  430.           JRC.EXE     29318 01-01-93 01:00:00  c5772d3d2dbdc76ce18f422207de2764
  431.           JRC.EXE     32774 01-01-93 01:00:00   ** file size has changed
  432.  
  433.      Note that this report has been created for the root directory on drive
  434.      F.  The files listed above therefore had entries in the signature file
  435.      F:\ROOT.SIG.  This disk was not bootable.
  436.  
  437.      From this report we can determine the following about the executable
  438. FileSafe User's Manual (JAYAR Systems)                          Page 7
  439. USING FILESAFE
  440.  
  441.  
  442.      files that were in this directory when FILESIG was executed
  443.      originally:
  444.  
  445.  
  446.       o  The file size and timestamp of DR.COM have changed--this is
  447.          probably an entirely new version of this file.
  448.  
  449.       o  File CO.COM has an entry in file ROOT.SIG but no longer exists in
  450.          this directory.
  451.  
  452.       o  The signature of file JRCE.EXE has changed, but the timestamp and
  453.          size are the same--note the two asterisks.
  454.  
  455.       o  The timestamp on file SD.COM has changed, but the file contents
  456.          have not--the size and signature are the same.  Note the single
  457.          asterisk.
  458.  
  459.       o  The timestamp and signature of file VTREE.COM have changed--note
  460.          the three asterisks.
  461.  
  462.       o  The size of file JRC.EXE has changed but the timestamp has
  463.          not--the file has nevertheless been modified.
  464.  
  465.       o  All files (marked with ...  OK) are unchanged.
  466.  
  467.  
  468.      The syntax for executing CHCKSIG is
  469.  
  470.          [D:][PATH] CHCKSIG [-R] [-V] [-O filename] [-F filename]
  471.  
  472.      where items in [...] are optional.  The options are:
  473.  
  474.        D:PATH before CHCKSIG specifies the drive and path where the program
  475.           is located.  You will not need this if CHCKSIG is in a directory
  476.           on your hard drive and that directory is named in your PATH.  You
  477.           will likely use this option if executing CHCKSIG from a floppy
  478.           diskette.
  479.  
  480.        -R By default, CHCKSIG looks for a dirname.SIG file and checks the
  481.           files listed in it for the current directory only.  This option
  482.           causes CHCKSIG to check files in the current directory and in all
  483.           directories below the current one, and in all directories below
  484.           those, etc.
  485.  
  486.        -V prints the version number of the program and quits.
  487.  
  488.           ________       -O filename by default CHCKSIG writes its findings in a file called
  489.           FILESAFE.RPT that it creates in the directory that was current
  490.           when it was executed.  You can override this behaviour with this
  491.           option.  This allows you to specify another name for the report
  492.           file, or by specifying a full drive, path, filename allows you to
  493.           place the report file in another location.
  494.  
  495.           ________       -F filename causes CHCKSIG to recalculate the signature for only the
  496. FileSafe User's Manual (JAYAR Systems)                          Page 8
  497. USING FILESAFE
  498.  
  499.  
  500.           named file.  This file must already have a record in the
  501.           dirname.SIG file.
  502.  
  503.  
  504.      If CHCKSIG fails to find a file called dirname.SIG in any of the
  505.      directories it visits, it issues a warning and continues.  If the
  506.      dirname.SIG signature file is empty, CHCKSIG proceeds without comment.
  507.      If a file listed in the signature file no longer exists in that
  508.      directory, CHCKSIG issues a warning and continues.
  509.  
  510.  
  511.  
  512.      3.2.2  External Master Signature File - With GETSIG you can collect
  513.      all the .SIG files from part of a directory tree and place them in an
  514.               ______ _________ ____     external master signature file (see Section 3.3) for enhanced
  515.      security.  You receive GETSIG when you register your copy of FileSafe
  516.      (see Appendix D).  You can then execute CHCKSIG from any directory and
  517.      check the files in the master signature file.  CHCKSIG does not check
  518.      directories for the presence of a dirname.SIG file in this case.
  519.  
  520.  
  521.  
  522.      3.3  GETSIG
  523.  
  524.      FILESIG creates a signature file in each directory it visits and
  525.      stores signature information in that file for every executable file in
  526.      that directory.  Normally, CHCKSIG visits a directory, reads the
  527.      signature file in that directory and checks the files listed therein.
  528.  
  529.      Optionally, you may use GETSIG to gather all the signature files
  530.      created by FILESIG in a particular directory subtree into a master
  531.      signature file.  This master file can be located anywhere--on a floppy
  532.      diskette for instance.  CHCKSIG can then be instructed to check the
  533.      files listed in the master signature file (see Section 3.2.2).
  534.      Register this copy of FileSafe and we will send you GETSIG along with
  535.      a typeset manual.
  536.  
  537.  
  538.  
  539.      4  STRATEGY
  540.  
  541.      In this section we outline the steps to follow to use FileSafe to make
  542.      yourself safe from virus attack.  For background on the information
  543.      presented in this section see Appendix A.
  544.  
  545.  
  546.      1.  Make frequent backups of your hard disk.  While this won't protect
  547.          you from viruses it makes things easier if you must restore files
  548.          that have been damaged by a virus.
  549.  
  550.      2.  Make a safe-boot floppy.  To do this, cold boot your computer
  551.          (i.e., turn off the power if it is already on) from the original
  552.          DOS startup disk that came with your system.  This disk has been
  553.          made by the manufacturer without a write-enable notch.  Now use
  554. FileSafe User's Manual (JAYAR Systems)                          Page 9
  555. STRATEGY
  556.  
  557.  
  558.          the DOS program DISKCOPY to copy this disk to a new one.  This
  559.          copy is your safe-boot floppy.  Put a write-protect tab on it.
  560.          Every time you use any of the FileSafe programs, cold boot your
  561.          computer from the safe-boot floppy.
  562.  
  563.      3.  Use FILESIG to create a signature file for the boot record and all
  564.          the executable files on you hard disk.  If your hard disk is drive
  565.          C, for example, do this by typing:
  566.  
  567.                    A> C:
  568.                    C> CD \
  569.                    C> FILESIG -R
  570.  
  571.  
  572.          Use GETSIG to collect the signature files into a master signature
  573.          file.  Put a freshly formatted floppy into drive A and
  574.  
  575.                    C> A:
  576.                    C> GETSIG -D C:\
  577.  
  578.  
  579.          This creates a master signature file called FILESAFE.DAT on the
  580.          floppy in drive A.  Put a write protect tab on this floppy.  It is
  581.          slightly more secure to use the master signature file to check
  582.          your files than the individual directory signature files on your
  583.          hard disk.
  584.  
  585.  
  586.      4.  Periodically use CHCKSIG to check your entire hard disk.  If you
  587.          use your computer frequently you should do this on a regular
  588.          basis, say once a week.  On a more frequent basis, say daily,
  589.          check the root directory on your hard disk.
  590.  
  591.          For the entire disk check, insert the floppy with the master
  592.          signature file into drive A and type
  593.  
  594.                    C> CHCKSIG -S A:FILESAFE.DAT
  595.  
  596.          or by typing
  597.  
  598.                    C> CD \
  599.                    C> CHCKSIG -R
  600.  
  601.          To check only the root directory type
  602.  
  603.                    C> CD \
  604.                    C> CHCKSIG
  605.  
  606.          In all cases CHCKSIG creates a file called FILESAFE.RPT that you
  607.          should read.  What are you looking for?  Any executable (program)
  608.          files whose contents have changed or a change in your boot record.
  609.          If this has happened and you don't know of any good reason why it
  610.                       ______ ___ ____ __ ____ ______ __ _________         should have--assume the file or boot sector is infected.  Be
  611.          particularly suspicious if the file's signature has changed but
  612. FileSafe User's Manual (JAYAR Systems)                         Page 10
  613. STRATEGY
  614.  
  615.  
  616.          its size or timestamp have not.
  617.  
  618.          In the root directory, the boot sector, the ROM-BIOS file
  619.          IBMBIO.COM, the DOS service routine file IBMDOS.COM, (or IO.SYS
  620.          and MSDOS.SYS for non-IBM systems) and the COMMAND.COM file should
  621.          never change unless you install a new version of the operating
  622.          system, in which case you should go back to step 2 and proceed
  623.          from there.
  624.  
  625.          Executable files should not change unless you install a new
  626.          version of them.  Executable files you create yourself by
  627.          programming in C or some other language will change every time you
  628.          compile and link a new version of them.
  629.  
  630.  
  631.      5.  If you install a new program or a new version of an old program,
  632.          you should create a new signature file for that directory:
  633.  
  634.                    C> CD dirname
  635.                    C> FILESIG
  636.  
  637.  
  638.                _______         where dirname is the name of the directory.  If you are just
  639.          updating an existing program and only one or two executable files
  640.          are involved it may be faster add signature records to the
  641.          existing signature file by invoking FILESIG with the -F option and
  642.          then editing the signature file to remove the old records.  Use
  643.          GETSIG to create a new master signature file for your disk as
  644.          described in step 3.
  645.  
  646.      6.  What if you find a program you suspect is infected?  Erase it and
  647.          restore a clean copy from the original manufacturer's disk, or
  648.          from your backups.  This includes the COMMAND.COM file.  If your
  649.          BIOS or DOS files have been corrupted you will have to reinstall
  650.          the system files as described in your DOS manual.
  651.  
  652.          What if your boot sector is corrupted?  If you find your boot
  653.          sector has been altered you must reformat your hard disk.  Backup
  654.          everything you want to keep if you have not done so already and
  655.          reformat it using your original DOS disk.
  656.  
  657.  
  658.  
  659.  
  660.  
  661.  
  662.  
  663.  
  664.  
  665.  
  666.  
  667.  
  668.  
  669.                                 APPENDIX A
  670.  
  671.                        COMPUTER VIRUSES AND FILESIG
  672.  
  673.  
  674.  
  675. A virus is a program that attaches itself to another program and then
  676. replicates itself and spreads.  A virus has two parts.  The first is the
  677. infector--this is the part that replicates the virus.  The second part is
  678. the detonator.  At some point the virus activates and does
  679. something--usually something harmful such as erasing data on your hard disk
  680. or making it inaccessible.
  681.  
  682. There are two general types of viruses:  boot sector viruses and executable
  683. file infectors.  The boot sector virus works by replacing all or part of
  684. the boot sector on your disk.  The boot sector normally contains a small
  685. program that your computer reads in the process of booting.  The notable
  686. thing about the boot sector is that it is not a file--it is a special
  687. section of the disk outside the file area.  If the boot sector is infected,
  688. that means that by the time your computer has booted, the virus is active.
  689.  
  690. The only way to get infected from a boot sector virus is to boot your
  691. computer from an infected floppy.  The virus then infects the boot sector
  692. of your hard disk.  The prevention is simple--don't.  Only boot your
  693. computer from its internal hard disk or from a safe-boot floppy as
  694. described in Section 4.  If a boot sector virus is active it will usually
  695. notice any time a bootable floppy is in one of the drives and infect it as
  696. well.  This is how it replicates itself.
  697.  
  698. The majority of viruses are boot sector viruses.  The rest are executable
  699. file infectors.  These viruses only become active when the infected program
  700. is run.
  701.  
  702. If the program has not run since you booted your computer, the virus is not
  703. active.  This type of virus can only infect executable files--that is,
  704. files with one of the following filetypes:  .COM, .EXE, .SYS, .BIN, or
  705. .OVL.  Data files, like text files, spreadsheet files or database files
  706. cannot become infected and present no danger.
  707.  
  708. Executable file infectors are harder to guard against.  They often install
  709. themselves as TSRs and infect every program that is run--eventually all
  710. your executable files will be infected.
  711.  
  712. A program that just replicates itself and spreads as described above is
  713.                   ____properly called a worm.  When it detonates, then you know you have a virus.
  714. COMPUTER VIRUSES AND FILESIG                                  Page A-2
  715.  
  716.  
  717.  
  718. How do you protect yourself from viruses?  One way conventional anti-virus
  719. programs do it is to scan the executable files on your disk looking for the
  720. "fingerprints" of known viruses.  The problem is that new viruses are being
  721. developed all the time so you must constantly get updates of the anti-virus
  722. program.  This tactic is also useless against a new class of self-mutating
  723. virus which essentially changes itself every time it replicates.  And then
  724. there are stealth viruses--when the anti-virus program reads the portion of
  725. disk where the stealth virus is installed, the virus, which has to be
  726. active, intercepts the read and returns to the anti-virus program the image
  727. of a virus-free disk.
  728.  
  729. Another tack anti-virus programs take is to install themselves as TSRs and
  730. watch for "virus-like" behaviour.  Unfortunately a lot of legitimate
  731. activity carried on by programs gets flagged this way and you get a lot of
  732. false alarms.  To get any work done you will probably deactivate the
  733. monitor.
  734.  
  735. The only foolproof method of detecting a virus infection is to monitor
  736. potential infection sites, the boot sector and executable files, for
  737. unexplained modification.  This means you have to know what the sites look
  738. like in their uninfected state, and have a guaranteed method of determining
  739. when a change has occurred.  This is where programs like FileSafe come in.
  740.  
  741. In order for a virus infection to occur a virus must attach itself either
  742. to your disk's boot sector or to an executable file.  In the simplest case
  743. this will result in an increase in the file size which is readily
  744. noticeable.  However, a clever virus can attach itself by overwriting part
  745. of the file so that the size doesn't change and it can also prevent the
  746. timestamp from changing.  Since the boot sector is not a file it doesn't
  747. have a timestamp or a size to change.  It is therefore necessary to take a
  748. "fingerprint" of the file or boot sector and compare this periodically to
  749. the original.
  750.  
  751. The fingerprint that is usually used is the cyclical redundancy check, or
  752. CRC, which is a 32-bit number calculated as a function of all the bytes in
  753. the file.  Unfortunately, this can be quite easily inverted.  For instance,
  754. a boot sector virus could calculate the CRC of the boot sector before
  755. infection, install itself and then determine what extra bytes to add to
  756. restore the original CRC.
  757.  
  758. FileSafe however, with its 128-bit message digest algorithm, computes a
  759. fingerprint for the file or boot sector that cannot be replicated.  If the
  760. contents of the file or boot sector change, so will its fingerprint.
  761.  
  762. This leaves only stealth viruses, which if active could fool FileSafe.  For
  763. this reason you should always cold boot your computer with your safe-boot
  764. floppy before running the FileSafe programs.  This will ensure that no
  765. virus is active when FileSafe is running.
  766.  
  767.  
  768.  
  769.  
  770.  
  771.  
  772.  
  773.  
  774.  
  775.  
  776.  
  777.  
  778.  
  779.                                 APPENDIX B
  780.  
  781.                                   LICENSE
  782.  
  783.  
  784.  
  785. This appendix contains important license information regarding the use of
  786. FileSafe, Version 1.00.  This information applies to individual users who
  787. wish to pass copies out to friends and associates.
  788.  
  789. User Groups, Computer Clubs, Disk Vendors and Distributors, Subscription
  790. Services, Disk-of-the-Month Clubs, etc., should refer to the VENDOR.DOC
  791. file for complete information relating to them.
  792.  
  793. BBS SYSOPs should refer to the SYSOP.DOC file for complete information
  794. relating to them.
  795.  
  796. PLEASE!  Show your support for Shareware by registering the programs you
  797. actually use.  JAYAR Systems depends upon and needs your support.  Thank
  798. you!
  799.  
  800.  
  801.  
  802. B.1  TRIAL USE LICENSE:
  803.  
  804. FileSafe is NOT a public domain program.  It is Copyright (C) 1993 by JAYAR
  805. Systems.  All rights reserved.
  806.  
  807. This software and accompanying documentation are protected by Canadian
  808. Copyright law and also by International Treaty provisions.  Any use of this
  809. software in violation of Copyright law or the terms of this limited license
  810. will be prosecuted to the best of our ability.  The conditions under which
  811. you may copy this software and documentation are clearly outlined below
  812. under "Distribution Restrictions".
  813.  
  814. JAYAR Systems hereby grants you a limited license to use this software for
  815. evaluation purposes for a period not to exceed sixty (60) days.  If you
  816. intend to continue using this software (and/or it's documentation) after
  817. the sixty (60) day evaluation period, you MUST make a registration payment
  818. to JAYAR Systems.
  819.  
  820. Using this software after the sixty (60) day evaluation period, without
  821. registering the software is a violation of the terms of this limited
  822. license.
  823.  
  824. Licensee shall not use, copy, rent, lease, sell, modify, decompile,
  825. LICENSE                                                       Page B-2
  826. TRIAL USE LICENSE:
  827.  
  828.  
  829. disassemble, otherwise reverse engineer, or transfer the licensed program
  830. except as provided in this agreement.  Any such unauthorized use shall
  831. result in immediate and automatic termination of this license.
  832.  
  833. All rights not expressly granted here are reserved to JAYAR Systems.
  834.  
  835. For information on registering your copy of FileSafe see Appendix D, "How
  836. to Register."
  837.  
  838.  
  839.  
  840. B.2  LIMITED DISTRIBUTION LICENSE:
  841.  
  842. As the copyright holder for FileSafe, JAYAR Systems authorizes distribution
  843. by individuals only in accordance with the following restrictions.
  844.  
  845. (User Groups, Computer Clubs, Disk Vendors and Distributors, Subscription
  846. Services, Disk-of-the-Month Clubs, etc., should refer to the VENDOR.DOC
  847. file for complete information relating to them.)
  848.  
  849. (BBS SYSOPs should refer to the SYSOP.DOC file for complete information
  850. relating to them.)
  851.  
  852. Individuals are hereby granted permission by JAYAR Systems to copy the
  853. FileSafe diskette for their own use (for evaluation purposes) or for other
  854. individuals to evaluate, ONLY when the following conditions are met.
  855.  
  856. The FileSafe package is defined as containing all the material listed in
  857. the PACKING.LST text file.  If any files listed in the PACKING.LST text
  858. file, or the PACKING.LST file itself, are missing, then the package is not
  859. complete and distribution is forbidden.  Please contact us to obtain a
  860. complete package suitable for distribution.
  861.  
  862.       o  The FileSafe package--including all related program files and
  863.          documentation files - CANNOT be modified in any way and must be
  864.          distributed as a complete package, without exception.  The
  865.          PACKING.LST text file contains a list of all files that are part
  866.          of the FileSafe package.
  867.  
  868.       o  No price or other compensation may be charged for the FileSafe
  869.          package.  A distribution cost may be charged for the cost of the
  870.          diskette, shipping and handling, as long as the total (per disk)
  871.          does not exceed $10.00.
  872.  
  873.       o  The FileSafe package CANNOT be sold as part of some other
  874.          inclusive package.  Nor can it be included in any commercial
  875.          software packaging offer, without a written agreement from JAYAR
  876.          Systems.
  877.  
  878.       o  The PRINTED User's Guide may not be reproduced in whole or in
  879.          part, using any means, without the written permission of JAYAR
  880.          Systems.  In other words, the disk-based documentation may not be
  881.          distributed in PRINTED (hardcopy) form.
  882. LICENSE                                                       Page B-3
  883. LIMITED DISTRIBUTION LICENSE:
  884.  
  885.  
  886.       o  The FileSafe package cannot be "rented" or "leased" to others.
  887.  
  888.       o  Licensee shall not use, copy, rent, lease, sell, modify,
  889.          decompile, disassemble, otherwise reverse engineer, or transfer
  890.          the licensed program except as provided in this agreement.  Any
  891.          such unauthorized use shall result in immediate and automatic
  892.          termination of this license.
  893.  
  894.       o  U.S.  Government Information:  Use, duplication, or disclosure by
  895.          the U.S.  Government of the computer software and documentation in
  896.          this package shall be subject to the restricted rights applicable
  897.          to commercial computer software as set forth in subdivision
  898.          (b)(3)(ii) of the Rights in Technical Data and Computer Software
  899.          clause at 252.227-7013 (DFARS 52.227-7013).  The
  900.          Contractor/manufacturer is JAYAR Systems, 253 College Street,
  901.          Suite 263, Toronto, Ontario, CANADA M5T 1R5.
  902.  
  903. All rights not expressly granted here are reserved to JAYAR Systems.
  904.  
  905.  
  906.  
  907.  
  908.  
  909.  
  910.  
  911.  
  912.  
  913.  
  914.  
  915.  
  916.                                 APPENDIX C
  917.  
  918.                           DEFINITION OF SHAREWARE
  919.  
  920.  
  921.  
  922. Shareware distribution gives users a chance to try software before buying
  923. it.  If you try a Shareware program and continue using it, you are expected
  924. to register.  Individual programs differ on details--some request
  925. registration while others require it, some specify a maximum trial period.
  926. With registration, you get anything from the simple right to continue using
  927. the software to an updated program with printed manual.
  928.  
  929. Copyright laws apply to both Shareware and commercial software, and the
  930. copyright holder retains all rights, with a few specific exceptions as
  931. stated below.  Shareware authors are accomplished programmers, just like
  932. commercial authors, and the programs are of comparable quality.  (In both
  933. cases, there are good programs and bad ones!) The main difference is in the
  934. method of distribution.  The author specifically grants the right to copy
  935. and distribute the software, either to all and sundry or to a specific
  936. group.  For example, some authors require written permission before a
  937. commercial disk vendor may copy their Shareware.
  938.  
  939. Shareware is a distribution method, not a type of software.  You should
  940. find software that suits your needs and pocketbook, whether it's commercial
  941. or Shareware.  The Shareware system makes fitting your needs easier,
  942. because you can try before you buy.  And because the overhead is low,
  943. prices are low also.  Shareware has the ultimate money-back guarantee--if
  944. you don't use the product, you don't pay for it.
  945.  
  946.                            ASP OMBUDSMAN POLICY
  947.  
  948. This program is produced by a member of the Association of Shareware
  949. Professionals (ASP).  ASP wants to make sure that the shareware principle
  950. works for you.  If you are unable to resolve a shareware-related problem
  951. with an ASP member by contacting the member directly, ASP may be able to
  952. help.  The ASP Ombudsman can help you resolve a dispute or problem with an
  953. ASP member, but does not provide technical support for members' products.
  954. Please write to the ASP Ombudsman at 545 Grover Road, Muskegon, MI 49442 or
  955. send a CompuServe message via CompuServe Mail to ASP Ombudsman 70007,3536.
  956.  
  957.  
  958.  
  959.  
  960.  
  961.  
  962.  
  963.  
  964.  
  965.  
  966.  
  967.  
  968.                                 APPENDIX D
  969.  
  970.                               HOW TO REGISTER
  971.  
  972.  
  973.  
  974. FileSafe is a "shareware program" and is provided at no charge to the user
  975. for evaluation.  Feel free to share it with your friends, but please do not
  976. give it away altered or as part of another system.  The essence of
  977. "user-supported" software is to provide personal computer users with
  978. quality software without high prices, and yet to provide incentive for
  979. programmers to continue to develop new products.  If you find this program
  980. useful and find that you are using FileSafe and continue to use FileSafe
  981. after a reasonable trial period, you must make a registration payment of
  982. US$29.00 (Cdn$34.00) to JAYAR Systems.  The registration fee will license
  983. one copy for use on any one computer at any one time.
  984.  
  985. When you register you receive the following:
  986.  
  987.       o  You will get the latest version of FileSafe,
  988.  
  989.       o  The registered version of FileSafe does not display a banner
  990.          (registration reminder notice) when it runs,
  991.  
  992.       o  You will get a typeset manual,
  993.  
  994.       o  You will get the utility GETSIG that gathers signature files from
  995.          a directory tree and stores them in a master signature file.  This
  996.          makes using FileSafe somewhat more secure and convenient.
  997.  
  998.       o  You will be informed of updates and given a reduced upgrade cost.
  999.  
  1000.  
  1001. You must treat this software just like a book.  An example is that this
  1002. software may be used by any number of people and may be freely moved from
  1003. one computer location to another, so long as there is no possibility of it
  1004. being used at one location while it's being used at another.  Just as a
  1005. book cannot be read by two different persons at the same time.
  1006.  
  1007. Commercial users of FileSafe must register and pay for their copies of
  1008. FileSafe within 30 days of first use or their license is withdrawn.  Your
  1009. registration fee purchases a single user license.  If you need to use
  1010. multiple copies, significant savings can be had by purchasing a site
  1011. license rather than registering multiple individual copies.  Even a
  1012. two-user site license saves you money.  See the file SITELICE.DOC for
  1013. details.
  1014. HOW TO REGISTER                                               Page D-2
  1015.  
  1016.  
  1017.  
  1018. Anyone distributing FileSafe for any kind of remuneration must first
  1019. contact JAYAR Systems at the address given in DESCRIBE.DOC for
  1020. authorization.  This authorization is automatically granted to distributors
  1021. and vendors who are members of the Association of Shareware Professionals
  1022. (ASP).  See files VENDOR.DOC and SYSOP.DOC for details.
  1023.  
  1024. You are encouraged to pass a copy of FileSafe along to your friends for
  1025. evaluation.  Please encourage them to register their copy if they find that
  1026. they can use it.  All registered users will receive a copy of the latest
  1027. version of the FileSafe system.
  1028.  
  1029. Send in the following form to register your copy of FileSafe:
  1030. HOW TO REGISTER                                               Page D-3
  1031.  
  1032.  
  1033.  
  1034. REGISTRATION FORM
  1035. Send to:  JAYAR Systems                  GST Registration Number:
  1036.           253 College Street             R124607193
  1037.           Suite 263
  1038.           Toronto, Ontario
  1039.           Canada   M5T 1R5
  1040.  
  1041. Name       ___________________________________________
  1042.  
  1043. Address    ___________________________________________
  1044.  
  1045.            ___________________________________________
  1046.  
  1047.            ___________________________________________
  1048.  
  1049.            ___________________________________________
  1050.  
  1051. Telephone  __________________________
  1052.  
  1053. +--------+------------------------+------------+------------+
  1054. Quantity | Product                | Each       |   Total    |
  1055. +--------+------------------------+------------+------------+
  1056. |        |                        | US$29.00   |            |
  1057. |        | FileSafe               |    or      |            |
  1058. |        |                        |Cdn$34.00   |            |
  1059. +--------+------------------------+------------+------------+
  1060. |               Canadian residents add 7% GST  |            |
  1061. +----------------------------------------------+------------+
  1062. |                Ontario residents add 8% PST  |            |
  1063. +----------------------------------------------+------------+
  1064. |      Outside Canada/U.S.A.,   add shpg/hndlg |   $5.00    |
  1065. +----------------------------------------------+------------+
  1066. |                                       TOTAL  |            |
  1067. +----------------------------------------------+------------+
  1068.  
  1069. Please remit by cheque (we will accept cheques in your local currency at
  1070. the appropriate rate of exchange) or by money order.  We will accept your
  1071. company's purchase order.  We also accept payment by Visa or Mastercard.
  1072.  
  1073. P.O. Number  ______________________________________ (P.O. to follow)
  1074.  
  1075.      +------------------------------------------------------------------+
  1076.      | Note - Fill out the following ONLY if you are making payment by  |
  1077.      |        credit card.  You may also call (416) 751-3284 for credit |
  1078.      |        card registrations.                                       |
  1079.      |                                                                  |
  1080.      | Master Card [ ]  Visa [ ] Card Number ______ ______ _____ ______ |
  1081.      |                                                                  |
  1082.      | Name on the Card (print) _______________________________________ |
  1083.      |                                                                  |
  1084.      | Expires ____/____                                                |
  1085.      |                    Signature ___________________________________ |
  1086.      |                                                                  |
  1087.      +------------------------------------------------------------------+
  1088.