home *** CD-ROM | disk | FTP | other *** search
/ PC Format 8 (5.25") / PC Format - Issue 8 May 1992 - Disk 1.ima / TBSCNX26.EXE / TBSCANX.DUT < prev    next >
Encoding:
Text File  |  1991-04-20  |  37.2 KB  |  846 lines
  1.     DOCUMENTATIE VOOR TBSCANX V2.6
  2.  
  3.  
  4.  
  5. Reglementen met betrekking tot gebruik en distributie van TbScanX
  6. -----------------------------------------------------------------
  7.  
  8.     Het  programma  TbScanX  alsmede  de  begeleidende  documentatie  is
  9.     SHARE-WARE.  Dit  betekent  kortweg  dat  het  programma  onder   de
  10.     copieerrechten  van  ESaSS  valt,  maar  gebruikt  en  verspreid mag
  11.     worden zolang onderstaande regels in acht worden genomen:
  12.  
  13.     +   Voor de distributie en verspreiding van het TBSCAN programma
  14.         mogen geen administratie en/of verzendkosten worden berekend
  15.         die het bedrag van Fl 7,50 overschrijden.
  16.  
  17.     +   Het programma mag niet worden geleverd tesamen, of als deel van
  18.         een commercieel pakket.
  19.  
  20.     +   Verspreiding van het programma mag alleen geschieden indien
  21.         zowel het programma als de documentatie ongewijzigd zijn, en
  22.         mits het gehele pakket wordt geleverd. Het programma mag dus
  23.         niet los van deze documentatie worden verspreid.
  24.  
  25.     +   ESaSS aanvaart geen enkele verantwoordelijkheid voor het niet
  26.         of slecht functioneren van het programma.
  27.  
  28.     +   ESaSS kan nimmer aansprakelijk worden gesteld voor schade,
  29.         direct of indirect voortvloeiende uit het gebruik van TbScanX.
  30.  
  31.     +   Gebruik van TbScanX betekent dat u accoord gaat met deze
  32.         bepalingen.
  33.  
  34.  
  35.  
  36. Beschrijving TbScanX
  37. --------------------
  38.  
  39.     TbScanX  is  een  programma  dat  werd  gemaakt  om virussen, Trojan
  40.     Horses en andere bedreigingen van uw kostbare gegevens op te  sporen
  41.     en te identificeren. Het is een zogenaamde virusscanner.
  42.  
  43.     Een  virusscanner  is  een  programma  dat  naar een vooraf bepaalde
  44.     tekenreeks in  programma's kan  zoeken. De  meeste virussen  bestaan
  45.     uit een unieke  tekenreeks, zodat we  aan het al  dan niet voorkomen
  46.     van de tekenreeks kunnen zien of een programma is besmet.
  47.  
  48.     Door alle  programmabestanden op  uw machine  af te  zoeken naar  de
  49.     tekenreeksen van  alle reeds  geidentificeerde virussen  kan op  een
  50.     eenvoudige manier worden vastgesteld of  uw systeem is besmet en  zo
  51.     ja, met welk virus.
  52.  
  53.  
  54.     Er  bestaan  inmiddels  veel  virusscanners.  Het  probleem van deze
  55.     virusscanners is  dat je  ze dient  uit te  voeren. Stel  dat u  een
  56.     virusscanner  automatisch   laat  opstarten   via  uw   autoexec.bat
  57.     bestand.   Indien  er  geen  virussen  worden  aangetroffen wordt uw
  58.     systeem vrij van virussen geacht. Maar  om er zeker van te zijn  dat
  59.     niet  alsnog  virussen  uw  systeem  kunnen  binnensluipen  dient  u
  60.     eigenlijk  iedere  keer  dat  u  een  bestand  naar  uw vaste schijf
  61.     kopieert de virusscanner  weer uit te  voeren. Maar wie  doet dat in
  62.     de praktijk?
  63.  
  64.     TbScanX is een  scanner die dit  probleem voor u  oplost: het blijft
  65.     permanent  in  het  geheugen  van  uw  PC  en  zal AUTOMATISCH ieder
  66.     bestand  scannen  dat  wordt  uitgevoerd, gekopieerd, gemodificeerd,
  67.     uitgepakt, gedownload, etc.
  68.  
  69.     Wellicht  denkt  u  dat  een  geheugenresidente  virusscanner   veel
  70.     geheugen kost, uw systeem traag  maakt, en een bron van  ellende zal
  71.     blijken. Maar indien u onze TBSCAN virusscanner reeds kent dan  weet
  72.     u  dat  deze  scanner  gemiddeld  tien  maal  sneller  is dan andere
  73.     virusscanners. Ook TbScanX haalt deze snelheid, en is zelfs nog  een
  74.     stuk sneller omdat  hij de te  scannen bestanden niet  meer hoeft in
  75.     te lezen. Deze bestanden zijn namelijk al in het geheugen van uw  PC
  76.     aanwezig!
  77.  
  78.     Daarnaast gebruikt  TbScanX slechts  8 Kb  aan geheugen,  en dat  is
  79.     inclusief de  handtekeningen (signatures)  waarvoor het  moet waken.
  80.     Indien  er  expanded  memory  op  uw  machine  aanwezig  is  kan het
  81.     geheugengebruik zelfs worden beperkt tot nog geen 1Kb.
  82.  
  83.  
  84.     TbScanX heeft dezelfde eigenschappen als zijn broertje TBSCAN:
  85.  
  86.     +   TbScanX is volledig programmeerbaar door middel van een
  87.         databestand.
  88.  
  89.         Virussen verspreiden zich vaak snel. Er is vaak geen tijd om  na
  90.         de ontdekking van een nieuw virus een virusscanner om te  bouwen
  91.         zodat  het  ook  dit  nieuwste  virus  herkent.  Daarom gebruikt
  92.         TbScanX een  databestand waarin  de tekenrijen  van de  virussen
  93.         staan. Dit bestand kan  snel worden aangepast, eventueel  door u
  94.         zelf  naar  aanleiding  van  een  bericht  via de media. TbScanX
  95.         ondersteunt onder andere het  formaat dat wordt gebruikt  in het
  96.         bestand "virscan.dat".  Dit bestand  wordt regelmatig  aangepast
  97.         en is op veel databanken te verkrijgen.
  98.  
  99.  
  100.     +   TbScanX ondersteunt jokers in de zoekreeks.
  101.  
  102.         Veel  virussen  versleutelen  zichzelf,  zodat  de tekenreeks er
  103.         iedere keer anders uitziet. Er is echter een deel van het  virus
  104.         dat  niet   kan  worden   versleuteld:  de   routine  die    het
  105.         versleutelde deel van het virus moet "uitpakken".
  106.  
  107.  
  108.         Het  is  echter  een  misvatting  dat  dit deel van het virus er
  109.         altijd hetzelfde uit zou moeten zien. Er zijn namelijk  virussen
  110.         die de  uitpak-routine doorspekken  met zinloze  (en geen effect
  111.         sorterende)  instructies,  die  ze  iedere  keer  vervangen door
  112.         andere   onzinnige   instructies.   Hoewel   de   uitpak-routine
  113.         functioneel  altijd  hetzelfde  blijft  ziet  het  er  door  die
  114.         veranderende nep-instructies niet altijd hetzelfde uit!
  115.  
  116.         Door in de  tekenrij in het  databestand op de  plaatsen waar de
  117.         nep-instructies voorkomen jokers  te plaatsen kan  een dergelijk
  118.         virus toch  worden opgespoord  en geidentificeerd.  Op de plaats
  119.         van de joker mag namelijk een willekeurig teken voorkomen.
  120.  
  121.         Ook is  het mogelijk  een variabel  aantal tekens  over te laten
  122.         slaan in de zoekreeks.
  123.  
  124.  
  125.     +   TbScanX ondersteunt gewone tekst als zoekreeks.
  126.  
  127.         De meeste  tekenreeksen worden  in ASCII-HEX  ingegeven. U  kunt
  128.         echter indien  u dat  wenst ook  een gewone  tekst als zoekreeks
  129.         opgeven. U plaatst de tekst dan tussen dubbele quotes: ["].
  130.  
  131.  
  132.     +   TbScanX biedt andere programmatuur een universele manier om
  133.         gegevens te laten doorzoeken op virussen. Indien u een
  134.         programmeur bent kunt u uw programma's zo aanpassen dat ze
  135.         gegevens die ze vanaf schijf lezen eerst laten onderzoeken op
  136.         virussen alvorens de gegevens te gebruiken.
  137.  
  138.  
  139.  
  140.  
  141. Gebruik van het programma
  142. -------------------------
  143.  
  144.     TbScanX is eenvoudig in het  gebruik:  toets gewoon "TBSCANX".   Het
  145.     programma  kan  ook  vanuit  de  config.sys worden opgestart via het
  146.     commando "device=TBSCANX.COM". Het  voordeel van de  laatste methode
  147.     is dat TbScanX een gunstiger  positie in het werkgeheugen krijgt  en
  148.     al  eerder  zijn  beschermende  werking  kan  uitvoeren.   Bovendien
  149.     gebruikt TbScanX minder  geheugen wanneer het  als device driver  is
  150.     opgestart.   (LET OP:   Indien u  TbScanX als  device driver opstart
  151.     dient de uitgang .COM te worden opgegeven!)
  152.  
  153.     Indien  u  MS-Windows  gebruikt  kunt  u het beste TbScanX aanroepen
  154.     VOORDAT u Windows opstart. U heeft dan slechts een enkele kopie  van
  155.     TbScanX nodig  in het  werkgeheugen, terwijl  toch alle  DOS-windows
  156.     van  de  beveiliging  profiteren.  TbScanX  detecteert  namelijk het
  157.     opstarten van Windows en  schakelt indien nodig om  in multi-tasking
  158.     mode.
  159.  
  160.     De volgende opties zijn beschikbaar:
  161.         -?             = Vertoon helpscherm
  162.         -d             = Stel TbScanX buiten werking.
  163.         -e             = Activeer TbScanX.
  164.         -r             = Verwijder TbScanX uit het geheugen.
  165.         -f <bestand>   = Gebruik dit bestand als databestand.
  166.         -o             = Optimaliseer signatures.
  167.         -n             = Niet scannen bij uitvoering.
  168.         -me            = Gebruik EMS geheugen.
  169.         -mu            = Gebruik hoog geheugen.
  170.         -mh            = Gebruik Hercules-half geheugen.
  171.         -mf            = Gebruik Hercules-full geheugen.
  172.         -mc            = Gebruik CGA/EGA/VGA geheugen.
  173.         -u             = Ongeauthorizeerde handtekeningen toegestaan.
  174.  
  175.  
  176.     -D  Met  deze optie kunt  u TbScanX tijdelijk  uitschakelen. TbScanX
  177.         blijft echter in het geheugen aanwezig.
  178.  
  179.     -E  Gebruik  deze optie om  TbScanX weer opnieuw  te activeren nadat
  180.         het met behulp van de -D optie was uitgeschakeld.
  181.  
  182.     -F  Deze  optie  maakt   TbScanX  duidelijk  welk  bestand  het  als
  183.         databestand  dient  te  gebruiken.  Gebruik  deze optie indien u
  184.         TbScanX aanroept  als device  driver, of  indien het databestand
  185.         niet in de huidige of thuis-directory kan worden gevonden.
  186.  
  187.     -O  Indien  u deze optie  opgeeft zal TbScanX  de handtekeningen (de
  188.         signatures)  optimaliseren   door  sterk   op  elkaar   lijkende
  189.         signatures (meer  dan 75%  overeenkomst) te  vervangen door  een
  190.         enkele. Bekijk de volgende twee signatures:
  191.                 Signature 1: CD2145A689BF452F1E77CBCD21
  192.                 Signature 2: CD2111A689BF4A3F1E77CBCD21
  193.         TbScanX  vervangt  de  bytes  die  verschillen  door  jokers  en
  194.         verwijdert de tweede signature. De resulterende handtekening  is
  195.         van bovenstaand voorbeeld is:
  196.                 Signature 3: CD21??A689BF????1E77CBCD21
  197.         Het zal duidelijk zijn dat  deze optie geheugen bespaart en  dat
  198.         de scansnelheid  een beetje  toeneemt. Deze  optie heeft  echter
  199.         nooit tot gevolg dat virussen niet worden gedetecteerd, maar  in
  200.         plaats daarvan neemt de kans op vals alarm een beetje toe.
  201.  
  202.  
  203.     -N  TbScanX   controleert  programma's  ook  vlak  voor  ze   worden
  204.         uitgevoerd. Indien  u dat  niet op  prijs stelt  kunt u  het met
  205.         deze optie uitschakelen tijdens de eerste aanroep van TbScanX.
  206.  
  207.     -M  TbScanX  biedt  een  aantal  mogelijkheden  om  het  gebruik van
  208.         werkgeheugen  te  minimaliseren.  De  optie  heeft een parameter
  209.         nodig die aangeeft wat voor soort geheugen kan worden  gebruikt.
  210.         Alle  parameters   op  "U"   na  reduceren   het  gebruik    van
  211.         conventioneel  geheugen  (werkgeheugen)   tot  minder  dan   een
  212.         kilobyte.  De  rest  wordt  dan  in  de  opgegeven geheugensoort
  213.         bewaard. Met  behulp van  de parameter  "U" kan  het gebruik van
  214.         conventioneel geheugen zelfs tot  nul worden terug gebracht!  De
  215.         parameter  "U"  is  de  enige  die  kan  worden gecombineerd met
  216.         andere geheugenparameters.
  217.  
  218.         X       Indien u deze parameter opgeeft gebruikt TbScanX
  219.                 expAnded geheugen om de signatures en een deel van
  220.                 zichzelf te bewaren.  Expanded geheugen kan echter
  221.                 slechts worden gebruikt in stukken van 16Kb, dus de
  222.                 minimale hoeveelheid expanded geheugen die u verliest
  223.                 bedraagt 16Kb.  Maar aangezien conventioneel
  224.                 werkgeheugen van meer waarde is voor uw programma's dan
  225.                 expanded geheugen is deze optie altijd aan te raden.
  226.  
  227.         H       Indien u deze parameter opgeeft gebruikt TbScanX een
  228.                 deel van het Hercules videogeheugen om de signatures te
  229.                 bewaren. Zolang de videokaart in de tekstmodus staat
  230.                 wordt er namelijk slechts een deel van het
  231.                 videogeheugen gebruikt. De rest kan dan worden gebruikt
  232.                 voor... TbScanX. Videogeheugen is echter vrij traag,
  233.                 dus TbScanX wordt dan wel iets langzamer. Indien er
  234.                 toch een grafisch programma wordt uitgevoerd zet
  235.                 TbScanX zichzelf gewoon buiten werking. TbScanX kan
  236.                 daarna opnieuw worden geactiveerd door het opnieuw op
  237.                 te starten. Gedeelten van TbScanX die nog in het
  238.                 geheugen aanwezig waren worden dan automatisch eerst
  239.                 verwijderd.
  240.  
  241.         F       Deze parameter doet hetzelfde als parameter H, alleen
  242.                 wordt de Hercules videokaart eerst in de zogenaamde
  243.                 full-mode gezet. TbScanX gebruikt dan videogeheugen dat
  244.                 zelfs door de meeste grafische pakketten NIET wordt
  245.                 gebruikt!  U kunt dan dus toch grafische programma's
  246.                 draaien en tegelijkertijd TbScanX het videogeheugen
  247.                 laten gebruiken. Let echter op: Indien u TWEE
  248.                 videokaarten in uw machine heeft zitten gebruik deze
  249.                 optie dan NIET!
  250.  
  251.         C       Deze parameter doet hetzelfde als parameter H, alleen
  252.                 wordt nu een deel van het CGA/EGA/VGA videogeheugen
  253.                 gebruikt.
  254.  
  255.         U       Deze parameter maakt het mogelijk TbScanX te laden in
  256.                 zogenaamd Upper memory. Dit is geheugen dat op veel
  257.                 80386 machines wordt aangemaakt met bijvoorbeeld QEMM.
  258.                 TbScanX laadt zichzelf zelfstandig in upper memory,
  259.                 gebruik dus geen highload programma's. Indien deze
  260.  
  261.  
  262.                 parameter wordt gebruikt in combinatie met een andere
  263.                 dan wordt het resterende deel van TbScanX dat nog in
  264.                 conventioneel geheugen staat naar upper memory
  265.                 verplaatst. U kunt dus gelijktijdig Expanded en Upper
  266.                 memory laten gebruiken. Voordeel is dan dat de
  267.                 hoeveelheid upper memory dat gebruikt wordt eveneens
  268.                 wordt geminimaliseerd.
  269.  
  270.  
  271.     -U  TbScanX  controleert het  handtekeningenbestand  op  "echtheid".
  272.         Indien het bestand is gewijzigd geeft TbScanX een  waarschuwing.
  273.         Indien u  geen prijs  stelt op  de waarschuwing  gebruik dan  de
  274.         optie -u
  275.  
  276.     -R  Deze optie kan worden gebruikt om TbScanX weer uit het  geheugen
  277.         van  uw  PC  te  verwijderen.  Al  het  geheugen  dat TbScanX in
  278.         gebruik  nam  wordt  dan  weer  vrijgegeven.  Helaas is het niet
  279.         altijd  mogelijk  een  TSR  als  TbScanX  uit  het  geheugen  te
  280.         verwijderen. Indien een andere  TSR na TbScanX is  opgestart kan
  281.         TbScanX niet worden verwijderd.  TbScanX controleert of dit  het
  282.         geval is  en zal  dan TbScanX  volledig inactiveren.  Indien het
  283.         karakter  device  "SCANX"  bestaat  dan  zal dit worden hernoemd
  284.         naar  "$CANX".  Indien  op  een  later  tijdstip TbScanX opnieuw
  285.         wordt  aangeroepen  wordt  het  device  automatisch  hernoemd en
  286.         opnieuw gebruikt.
  287.  
  288.  
  289.     TbScanX zoekt op de volgende wijze naar het databestand:
  290.     1)  Het gebruikt het bestand dat is opgegeven met de -f optie.
  291.     2)  Het kijkt of het in de actieve directory een bestand met de
  292.         naam "TBSCAN.DAT" kan vinden.
  293.     3)  Het zoekt naar "TBSCAN.DAT" in de zelfde directory als waar
  294.         het programmabestand "TBSCAN.COM" zelf staat (alleen DOS 3+).
  295.     4)  Het zoekt in de actieve directory naar een bestand met de naam
  296.         "VIRSCAN.DAT"
  297.  
  298.  
  299.     Voorbeeld:
  300.         c:\utils\tbscanx -f c:\tb\tbscan.dat -me
  301.     of:
  302.         device=c:\utils\tbscanx.com -f c:\tb\tbscan.dat -me -o
  303.  
  304.  
  305.     Wanneer er  geprobeerd wordt  om te  schrijven naar  een uitvoerbaar
  306.     bestand  (bestanden  met  de  uitgang  .COM  en .EXE) ziet u kort de
  307.     tekst   "*Scanning*"   in  de   linker  bovenhoek   van  uw   scherm
  308.     verschijnen. Zo  lang als  TbScanX aan  het scannen  is zo  lang wil
  309.     deze  melding  blijven  staan.  Omdat  TbScanX  niet veel tijd nodig
  310.     heeft om  een bestand  te scannen  zal de  melding maar  erg kort te
  311.     zien zijn.
  312.  
  313.     Zodra TbScanX een virus detecteert drukt het de volgende melding af:
  314.  
  315.         WARNING, <filename> is infected with <virus name>!
  316.         Abort? (Y/n)
  317.  
  318.     Toets  "N"  om  door  te  gaan,  of  druk  op een andere toets om de
  319.     gevaarlijke activiteit af te breken.
  320.  
  321.  
  322.     Om de  naam van  het virus  af te  kunnen drukken  heeft TbScanX het
  323.     signaturebestand opnieuw nodig.  Het gebruikt automatisch  hetzelfde
  324.     bestand dat  het gebruikte  toen het  werdt opgestart.   Indien  het
  325.     signaturebestand niet meer  bestaat (omdat u  het heeft hernoemd  of
  326.     verwijderd)  of  door  een  of   andere  oorzaak  niet  kan   worden
  327.     gebruikt,  detecteert  TbScanX  nog  steeds  virussen, maar kan niet
  328.     meer de  naam van  het virus  afdrukken. Het  drukt inplaats  van de
  329.     naam "[name unknown]" af.
  330.  
  331.     Indien  TbScanX  als  device  driver  is  opgestart  heeft  het  een
  332.     zogenaamd  "character  device"  aangemaakt  met  de  naam   "SCANX".
  333.     Wanneer u gegevens  naar dit device  stuurt worden deze  automatisch
  334.     onderzocht op virussen. Toets bijvoorbeeld in:
  335.  
  336.     copy testvir.com scanx /b
  337.  
  338.     Er  wordt  geen  bestand  met  de  naam  "scanx" aangemaakt, maar de
  339.     invoer (in dit geval afkomstig van het bestand "testvir.com")  wordt
  340.     doorzocht  op  virussen.  Op  deze  manier  kunt  u  een willekeurig
  341.     bestand  (ook  de  niet  uitvoerbare  bestanden) laten doorzoeken op
  342.     virussen  zonder  er  een  speciaal  programma  voor  op te starten.
  343.     Indien  het  device  "scanx"  een  signature  herkend  in  de invoer
  344.     simuleert het een DOS "write protect error".
  345.  
  346.     De "/b" optie is absoluut nodig, omdat DOS anders de tekens een
  347.     voor een naar het device stuurt. Dit kost veel tijd en bovendien
  348.     worden er geen signatures gevonden in een tekenreeks bestaande uit
  349.     slechts 1 teken.
  350.  
  351.  
  352.  
  353.  
  354. REGISTREREN
  355. -----------
  356.  
  357.     De ongeregistreerde versie van TbScanX  vraagt u om een toets  in te
  358.     drukken   tijdens   het   opstarten,   behalve   wanneer   er    een
  359.     Thunderbyte-kaart in de machine zit. Hoe u TbScanX kunt  registreren
  360.     ziet u in de register.doc file.
  361.  
  362.     Eenmaal geregistreerd  kunnen alle  toekomstige versies  van TbScanX
  363.     zonder extra kosten worden gebruikt!
  364.  
  365. --> U  HOEFT TBSCANX  NIET TE  REGISTREREN VOOR  GEBRUIK IN  EEN MACHINE
  366.     WAARIN EEN THUNDERBYTE-KAART IS GEINSTALLEERD!
  367.  
  368.  
  369.  
  370. Opmaak van het databestand
  371. --------------------------
  372.  
  373.     Het databestand (met de naam "TBSCAN.DAT" of "VIRSCAN.DAT") kan  met
  374.     iedere ASCII-editor gelezen en/of gewijzigd worden.
  375.  
  376.     Alle regels die  beginnen met het  teken ";" zijn  commentaarregels.
  377.     TBSCAN negeert  deze regels  volkomen. Wordt  het teken  ";" gevolgd
  378.     door een procentteken dan wordt de  rest van de regel op het  scherm
  379.     afgedrukt.  Er  kunnen  maximaal  15  regels worden afgedrukt op het
  380.     scherm. Handig for "HOT NEWS"...
  381.  
  382.     Als eerste  regel wordt  de naam  van een  virus verwacht. De tweede
  383.     regel bevat dan een of meer van de volgende woorden:
  384.                      BOOT SYS EXE COM HIGH LOW
  385.  
  386.     Deze  woorden  mogen  worden  gescheiden  door  spaties,  tabs,   of
  387.     komma's.
  388.  
  389.     TbScanX zoekt alleen naar virussen  die het sleutelwoord COM of  EXE
  390.     bevatten.  De  andere  sleutelwoorden  worden  genegeerd  en  alleen
  391.     gebruikt in de niet-geheugenresidente versie: TBSCAN. TbScanX  maakt
  392.     ook geen onderscheid tussen  COM en EXE bestanden.  Alle uitvoerbare
  393.     bestanden worden doorzocht op  beide soorten virussen. Dit  bespaart
  394.     geheugen.
  395.  
  396.     BOOT geeft aan dat  het virus een BOOT-sector  virus is.  SYS,  EXE,
  397.     en  COM  geven  aan  dat  het  virus  in  bestanden  met de genoemde
  398.     uitgangen  kan  voorkomen.  Overlay  bestanden  (bestanden  met   de
  399.     uitgang .OV?) worden doorzocht op  EXE virussen. HIGH geeft aan  dat
  400.     het virus in  het geheugen van  de PC kan  voorkomen, en wel  in het
  401.     geheugen BOVEN  het TBSCAN  programma zelf.  LOW geeft  aan dat  het
  402.     virus  in  het  geheugen  van  de  PC  kan  voorkomen, en wel in het
  403.     geheugen ONDER het TBSCAN programma zelf.
  404.  
  405.     Als derde  regel wordt  de tekenreeks  in ASCII-HEX  verwacht. Ieder
  406.     virusteken wordt beschreven door  middel van twee tekens.  In plaats
  407.     van  twee  hex-tekens  mogen  ook  twee  vraagtekens  voorkomen. Dat
  408.     laatste betekent  dan dat  het teken  op die  positie door het virus
  409.     gewijzigd kan worden  en elk teken  dus voldoet. Een  tekenreeks kan
  410.     er dus als volgt uitzien:
  411.                 A5E623CB??CD21??83FF3E
  412.  
  413.  
  414.     Ook kunt  u het  sterretje gevolgd  door een  byte gebruiken  om een
  415.     aantal tekens in de zoekreeks  over te laten slaan. De  byte bestaat
  416.     uit  een   ASCII-HEX  teken,   en  geeft   het  aantal   tekens  dat
  417.     overgeslagen  kan  worden.  Een  tekensreeks  kan  er  dus als volgt
  418.     uitzien:
  419.                 A5E623CB*3CD2155??83FF3E
  420.     De volgende tekenreeks wordt dan als virus herkend:
  421.                 A5E623CB142434CD21554583FF3E
  422.  
  423.  
  424.     In plaats  van een  tekenreeks in  ASCII-HEX kunt  u ook  een gewone
  425.     tekst opgeven.  Deze dient  dan wel  tussen dubbele aanhalingstekens
  426.     geplaatst te worden.  Een geldige tekenreeks is:
  427.                 "Ik heb je te pakken!"
  428.  
  429.     Deze opeenvolging van drie regels  dient voor ieder virus te  worden
  430.     herhaald. Tussen alle regels mogen commentaarregels voorkomen.
  431.  
  432.     Zie verder het meegeleverde databestand.
  433.  
  434.  
  435. Limieten
  436. --------
  437.  
  438.     +   128Kb aan vrij geheugen is minimaal vereist.
  439.  
  440.     +   DOS versie vanaf 3.0 is vereist.
  441.  
  442.     +   De lengte van het databestand mag maximaal 64Kb bedragen.
  443.  
  444.     +   De naam van een virus mag 30 tekens lang zijn.
  445.  
  446.     +   De ASCII-HEX tekenreeks mag maximaal 80 tekens lang zijn.
  447.  
  448.     +   Er mogen tot 500 verschillende signatures worden opgegeven.
  449.  
  450.     +   Alle bestandsnamen hebben een maximale lengte van 48 tekens.
  451.  
  452.  
  453. Foutmeldingen
  454. -------------
  455.  
  456.     De volgende foutmeldingen kunnen voorkomen:
  457.  
  458.     +   Not enough memory
  459.         Er is niet genoeg geheugen vrij om te kunnen scannen.
  460.  
  461.     +   Error in data line at line <nummer>
  462.         Er zit een fout in het databestand op de vermelde regel.
  463.  
  464.     +   Limit exceeded
  465.         Het databestand was te lang, of er staan te veel
  466.         virus-signatures in.
  467.  
  468.     +   Data file not found
  469.         TBSCAN kon het databestand niet vinden.
  470.  
  471.     +   Processor type does not match.
  472.         De betreffende versie van TbScanX is processor-type afhankelijk
  473.         en kan niet worden uitgevoerd met de huidige processor.
  474.  
  475.  
  476.  
  477. SPECIALE VERSIES
  478. ----------------
  479.  
  480. TBSCANX.COM  is  een  volledig  functionerende  versie. We hebben echter
  481. twee speciale versies van TbScanX toegevoegd die gebruikt kunnen  worden
  482. in  combinatie  met  bepaalde  processor  types.  Indien u de 286 of 386
  483. versie  gebruikt  haalt  u  het  meeste  uit  het  uw processor voor wat
  484. betreft geheugengebruik  en snelheid.  Indien u  de 286  versie wenst te
  485. gebruiken  dan   moet  u   het  bestand   TBSCANX.286  hernoemen    naar
  486. TBSCANX.COM. Hetzelfde geldt voor de 386 versie.
  487.  
  488. TBSCANX.COM:    Universele versie. Werkt op alle soorten machines.
  489.                 Ondersteunt Windows "386-enhanced-mode".
  490.                 Gebruikt wat meer geheugen dan de andere versies en is
  491.                 iets minder snel.
  492.  
  493. TBSCANX.286:    Werkt op machines met een NEC-V20, NEC-V30, 80286,
  494.                 80386 of 80486 processor.
  495.                 Ondersteunt NIET de Windows "386-enhanced-mode".
  496.                 Deze versie gebruikt ongeveer 100 bytes minder geheugen
  497.                 dan de andere versies en is ietwat sneller.
  498.  
  499. TBSCANX.386:    Werkt op machines met een 80386 of 80486 processor.
  500.                 Ondersteunt Windows "386-enhanced-mode".
  501.                 Gebruikt minder geheugen dan de standaard versie, maar
  502.                 meer dan de 286 versie door de Windows ondersteuning.
  503.                 Het is de snelste versie.
  504.  
  505.  
  506.  
  507. Applicatie Interface
  508. --------------------
  509.  
  510. Indien u  een  softwareontwikkelaar bent  kunt u  TbScanX  gebruiken  om
  511. gegevens te controleren op virussen. Een programma kan bijvoorbeeld  een
  512. zelfcontrole uitvoeren nadat het is opgestart door zichzelf aan  TbScanX
  513. aan  te  bieden.  Een  programma  dat  uitvoerbare  bestanden  (of delen
  514. daarvan) verwerkt (bijvoorbeeld scrambled  of comprimeerd) zou voor  het
  515. het andere programma bewerkt  even kunnen  kijken of  het geen virus aan
  516. het verwerken is.
  517.  
  518. High-level aansturing
  519.  
  520. De  hier  beschreven  methode  is  het  meest  geschikt  voor  de meeste
  521. zogenaamde high-level programmeertalen  en talen die  geen voorzieningen
  522. hebben om interrupts te genereren.
  523.  
  524. Open een  bestand met  de naam  "SCANX." Indien  dit bestand  bestaat is
  525. TbScanX als device  driver opgestart en  in het geheugen  aanwezig. Open
  526. het bestand in  de binaire modus.  Schrijf vervolgens de  te onderzoeken
  527. gegevens  naar  het  bestand  "SCANX".   Indien  de  gegevens  een virus
  528. bezitten zat TbScanX een DOS "write protect error" als resultaat  geven.
  529. Gebeurt  er  niets  (de  invoer  wordt  geacepteerd)  dan  was  er  geen
  530. signature herkend.
  531.  
  532. Low-level aansturing
  533.  
  534. Deze methode is ingewikkelder, doch biedt meer mogelijkheden. Indien  uw
  535. programmeertaal  het  genereren  van  interrupts  toestaat  kunt  u deze
  536. methode  gebruiken.  Deze  methode  werkt  ook  indien  TbScanX niet als
  537. device driver is opgestart.
  538.  
  539. De  interface  bestaat  uit  een  serie  multiplex  calls  (int 2Fh). In
  540. register  AH  dient  CAh  te  staan,  en  in register AL het sub-functie
  541. nummer.
  542.  
  543. De volgende sub-functies zijn aanwezig:
  544.  
  545.  
  546. AL=0    InstallationCheck
  547.  
  548.         Return value:
  549.         AL=0    TbScanX niet geinstalleerd.
  550.         AL=FFh  TbScanX geinstalleerd.
  551.  
  552.         Indien BX gelijk was aan 'TB' dan is hij nu veranderd in 'tb'.
  553.  
  554.  
  555. AL=1    GetStatus
  556.  
  557.         Return value:
  558.         AH      Versie nummer TbScanX in BCD. (CAh indien versie < 2.2)
  559.         AL=1    TbScanX actief
  560.         AL=0    TbScanX inactief
  561.         BX      Segment swap-area. Nul indien niet geswapped.
  562.         CX      Aantal signatures waarop wordt gezocht.
  563.         DX      EMS_Handle. -1 indien geen EMS geheugen in gebruik.
  564.  
  565.  
  566.  
  567. AL=2    SetStatus
  568.         BL=1    Activeer TbScanX
  569.         BL=0    Zet TbScanX uit.
  570.  
  571.         Return value:
  572.         geen.
  573.  
  574.  
  575. AL=3    ScanBuffer
  576.         DS:DX   Adres van de te doorzoeken buffer
  577.         CX      Lengte van de te doorzoeken buffer
  578.  
  579.         Return value:
  580.         No Carry flag set       Geen signatures gevonden in buffer
  581.         Carry:                  Signature gevonden!
  582.                 ES:BX   ASCIIZ-reeks bestaande uit naam virus.
  583.  
  584.         Registers gewijzigd:
  585.         AX,BX,CX,DX,ES
  586.         Buffer blijft altijd ongewijzigd.
  587.  
  588.  
  589. AL=4    ScanFile
  590.         DS:DX   Naam van het te doorzoeken uitvoerbare bestand
  591.  
  592.         LET OP! Er dient minimaal 4Kb vrij geheugen aanwezig te zijn om
  593.         deze functie te kunnen laten uitvoeren!
  594.  
  595.         Return value:
  596.         No Carry flag set       Geen signature gevonden in programma
  597.         Carry:                  Signature gevonden!
  598.                 ES:BX   ASCIIZ-reeks bestaande uit naam virus.
  599.  
  600.         Registers gewijzigd:
  601.         AX,BX,CX,DX,ES
  602.  
  603.  
  604.  
  605. Assembler voorbeeld:
  606.  
  607.         mov ah,0CAh             ;Multiplex nummer
  608.         mov al,0
  609.         int 02Fh                ;Installatie controle
  610.         cmp al,0FFh             ;Indien AL=FFh dan TbScanX aanwezig
  611.         jne notinstalled        ;Anders is TbScanX niet geinstalleerd.
  612.  
  613.         lea dx,buffer           ;Adres van de buffer in DS:DX
  614.         mov cx,512              ;Lengte van onze buffer
  615.         mov ah,0CAh             ;Multiplex nummer
  616.         mov al,3
  617.         int 02Fh                ;ScanBuffer
  618.         jnc notinfected         ;Geen carry? Dan geen virus gevonden!
  619.  
  620.         call print              ;Virus gevonden. Druk naam af ES:BX
  621.  
  622.     notinfected:
  623.  
  624.  
  625.  
  626. Thunderbyte
  627. -----------
  628.  
  629.     Virusscanners kennen een aantal zeer grote nadelen:
  630.  
  631.     +   Ze kunnen geen besmetting voorkomen.
  632.         Virusscanners kunnen slechts vertellen  of uw systeem besmet  is
  633.         of niet, en als uw systeem  inderdaad besmet is is er al  schade
  634.         ontstaan. Alleen een goede backup kan u dan nog redden.
  635.  
  636.     +   Ze kunnen slechts reeds geidentificeerde virussen herkennen.
  637.         Wanneer  er  een  nieuw  virus  gelanceerd  wordt  duurt het een
  638.         tijdje voor het door iemand wordt ontdekt. Daarna duurt het  nog
  639.         even  voordat  er  een  betrouwbare  tekenreeks uit het virus is
  640.         gedestilleerd, en vervolgens  duurt het nog  een tijd voordat  u
  641.         de laatste  virscan.dat in  huis heeft.  Al met  al loopt  u een
  642.         reele  kans  dat  u  systeem  wordt  besmet  op  een  moment dat
  643.         virusscanners "uw" virus nog niet herkennen!
  644.  
  645.  
  646.     Virussen worden steeds geavanceerder. Onder andere door de  aandacht
  647.     die  door  de  media   aan  het  verschijnsel  computervirus   wordt
  648.     geschonken is  er een  ware sport  onder zieke  geesten ontstaan  om
  649.     computervirussen te schrijven.  Er zijn nu  al virussen ontdekt  die
  650.     geen  vaste  tekenreeks  meer  hebben.  Doordat TBSCAN jokers in het
  651.     databestand  toestaat  kan  TBSCAN  dit  soort virussen vaak nog wel
  652.     opsporen.  Het  duurt  echter  niet  lang  meer  voor  er   virussen
  653.     rondwaren die  in het  geheel geen  herkenningspunt meer  bieden, en
  654.     dan biedt zelfs TBSCAN geen soelaas meer.
  655.  
  656.     Ook zijn  er reeds  virussen die  op dezelfde  manier als TBSCAN het
  657.     DOS  entry-point  opzoeken,  op  een effectieve manier beschermings-
  658.     programma's omzeilend.
  659.  
  660.     Ook  het  van  een  checksum   voorzien  van  programma's  is   geen
  661.     oplossing:  Virussen kunnen  zodra een bestand wordt  ingelezen deze
  662.     desinfecteren, zodat ieder besmet programma er uitziet als een  niet
  663.     besmet exemplaar.
  664.  
  665.     Er is echter EEN oplossing voor bovengenoemde problemen:
  666.     Thunderbyte!
  667.  
  668.  
  669.     Thunderbyte   werd   ontwikkeld   om   Personal   Computers    tegen
  670.     computervirussen,  Trojan   Horses,  en   andere  bedreigingen   van
  671.     kostbare  gegevens   te  beschermen.   Het  is   een  hardwarematige
  672.     beveiliging,  bestaande  uit  een  insteekkaart, een installatie- en
  673.     configuratieprogramma,  en  een  duidelijke  handleiding. De werking
  674.     van  Thunderbyte  is  niet  gebaseerd  op  de  kennis van specifieke
  675.     virussen,  zodat   Thunderbyte  ook   tegen  toekomstige    virussen
  676.     beschermt.
  677.  
  678.     Een hardwarematige beveiliging biedt een bescherming die vele  malen
  679.     groter  is  dan  die  van  een  softwarematige. Thunderbyte wordt al
  680.     actief nog voordat het besturingssysteem (DOS) wordt geladen,  zodat
  681.     de computer direct na het inschakelen volledig is beschermd.
  682.  
  683.     Door  de   ruime  configuratiemogelijkheden   en  de    intelligente
  684.     algoritmen wordt het gebruik van Thunderbyte nooit een last: in  een
  685.     virusvrije omgeving zal  er hoogst zelden  iets van de  aanwezigheid
  686.     van Thunderbyte worden gemerkt.
  687.  
  688.  
  689.     De voordelen van een hardwarematige beveiliging zijn:
  690.  
  691.     +   De beveiliging gebruikt weinig (1Kb) RAM.
  692.  
  693.     +   De  beveiliging is  al actief tijdens  het opstarten van  de PC,
  694.         beschermt daarom de PC ook tegen bootsectorvirussen. Dit is  met
  695.         een  softwarematige  beveiliging  per  definitie  NIET mogelijk,
  696.         simpelweg omdat een softwarematige  beveiliging dan nog niet  is
  697.         opgestart.
  698.  
  699.     +   De beveiling is gegarandeerd actief VOORDAT een virus  opgestart
  700.         kan worden, een softwarematige beveiliging heeft weinig nut  als
  701.         het opgestart wordt  nadat een virus  reeds de controle  over de
  702.         machine heeft overgenomen.
  703.  
  704.     +   De  vaste schijf van de  PC kan niet meer  rechtstreeks benaderd
  705.         worden. Dit omdat  de bekabeling van  de vaste schijf  nu via de
  706.         Thunderbyte  kaart  loopt.  Een  softwarematige  blokade   tegen
  707.         formatteer- en  schrijfacties kan  altijd softwarematig  omzeild
  708.         worden.
  709.  
  710.     +   Het  Thunderbyte  systeem  kan  nooit  worden   vergeten  op  te
  711.         starten, zelfs  niet indien  de PC  met behulp  van een diskette
  712.         wordt opgestart.
  713.  
  714.  
  715.  
  716.     Thunderbyte biedt u vele soorten bescherming:
  717.  
  718.  
  719.     +   Bescherming tegen gegevensverlies
  720.  
  721.         Thunderbyte  wordt  aangesloten  tussen  de  kabel  van de vaste
  722.         schijf.  Het   bewaakt  de   vaste  schijf   tegen  ongeoorloofd
  723.         formatteren. Thunderbyte detecteert bovendien alle  rechstreekse
  724.         schijfoperaties die  tot doel  hebben gegevens  te wijzigen c.q.
  725.         te verminken en controleert welk programma de opdracht voor  die
  726.         operaties  geeft.   Alleen  het   besturingssysteem  (DOS)    is
  727.         zondermeer gerechtigd tot het uitvoeren van modificaties.
  728.  
  729.         DOS  heeft  standaard  al  de  mogelijkheid  om  bestanden tegen
  730.         overschrijven en modificeren te  beschermen door middel van  het
  731.         read-only attribuut.  Deze bescherming  is softwarematig  echter
  732.         zeer eenvoudig  uit te  schakelen. Thunderbyte  voorkomt evenwel
  733.         dat  deze  beveiliging  ongemerkt  ongedaan  gemaakt kan worden,
  734.         zodat  u  uw  bestanden  nu  toch  via  een  standaard   methode
  735.         doeltreffend kan beveiligen.
  736.  
  737.  
  738.     +   Bescherming tegen besmetting
  739.  
  740.         Thunderbyte  beschermt  programma's  (bestanden  met  de uitgang
  741.         "EXE", "COM", of "SYS") tegen besmetting, door ale  modificaties
  742.         te  beoordelen  op  hun  bedoeling.  De  functionaliteit   wordt
  743.         hierdoor  niet  beinvloed.   Compileren,  linken,  e.d.   worden
  744.         ongemoeid gelaten,  en programma's  die hun  configuratie intern
  745.         bewaren  worden  ook  niet  beinvloed.  Bovendien  kan  software
  746.         beveiligd worden met het read-only attribuut.
  747.  
  748.  
  749.         Wijzigingen in  de bootsector  worden ondervangen  zodat ook  de
  750.         zogevreesde bootsectorvirussen geen kans meer krijgen. Let  wel:
  751.         softwarematig   is   de   bootsector   niet   of  nauwelijks  te
  752.         beschermen.  Thunderbyte wordt  daartegen al actief nog  voordat
  753.         het systeem probeert op te starten!
  754.  
  755.  
  756.     +   Detectie virussen
  757.  
  758.         Thunderbyte detecteert de aanwezigheid van virussen, behalve  op
  759.         de reeds  genoemde manieren,  ook doordat  deze vaak  een aantal
  760.         speciale   handelingen   uitvoeren;   handelingen   waar  andere
  761.         programma's zich  nooit zullen  wagen. Zulke  handelingen, zoals
  762.         het aanbrengen van een  markering om reeds besmette  programma's
  763.         te herkennen,  worden gedetecteerd.  Ook pogingen  van een virus
  764.         om zich op een verdachte manier in het geheugen achter te  laten
  765.         worden    herkend,    evenals    abnormale    manipulaties   met
  766.         interruptvectoren.
  767.  
  768.  
  769.     +   Wachtwoordbescherming
  770.  
  771.         Thunderbyte  geeft   u  de   mogelijkheid  een   wachtwoord   te
  772.         installeren.  U  kunt  twee  soorten  wachtwoorden  opgeven: een
  773.         wachtwoord  dat  altijd  gevraagd  wordt,  of een wachtwoord dat
  774.         slechts  gevraagd  wordt  wanneer  er  gepoogd  wordt  van   een
  775.         diskette in plaats van de vaste schijf op te starten.
  776.  
  777.  
  778.     +   Hoge veiligheid
  779.  
  780.         Aan de veiligheid van Thunderbyte is ruime aandacht  geschonken.
  781.         De programmacode van Thunderbyte bevindt  zich in ROM en kan  op
  782.         geen enkele manier worden gewijzigd.
  783.  
  784.         Thunderbyte  kan  op  geen  enkele  manier  softwarematig worden
  785.         uitgeschakeld.    Alle    belangrijke    instellingen     worden
  786.         gerealiseerd met behulp  van schakelaartjes op  de insteekkaart.
  787.         En virussen  kunnen, al  hun verspilde  intelligentie ten spijt,
  788.         nu eenmaal  geen schakelaartjes  omzetten of  de uitlezing ervan
  789.         beinvloeden.
  790.  
  791.         De virussen die de  controller van de vaste  schijf rechtstreeks
  792.         benaderen komen  van een  koude kermis  thuis: Thunderbyte geeft
  793.         schrijfoperaties  slechts  door  indien  het  schrijfcommando de
  794.         normale (gecontroleerde) weg heeft bewandeld.
  795.  
  796.         Van  Thunderbyte  bestaan  vele  verschillende (doch functioneel
  797.         identieke) versies, die op basis van willekeur worden  geleverd.
  798.         Hierdoor is kennis van 1 Thunderbyte systeem niet toereikend  om
  799.         de beveiligende werking ervan aan te tasten of teniet te doen.
  800.  
  801.         Thunderbyte controleert zijn eigen variabelen met een per  verie
  802.         verschillend soort controlegetal.  Ook de geheugenplaatsen  waar
  803.         de  variabelen   worden  bewaard   is  per   Thunderbyte  versie
  804.         verschillend.
  805.  
  806.  
  807.     +   Extra mogelijkheden
  808.  
  809.         Thunderbyte  biedt  u  een  aantal  interressante extra's, zoals
  810.         opstarten van  drive B:.
  811.  
  812.  
  813. Tot slot
  814. --------
  815.  
  816.     Verbaast u uzelf over de relatief grote kracht en inventiviteit  van
  817.     zo'n  kleine  virusscanner?  Schaf  Thunderbyte  aan,  dan blijft  u
  818.     uzelf verbazen!
  819.  
  820.     Wanneer u het programma TbScanX waardeert, of wanneer het u al  eens
  821.     duidelijkheid heeft verschaft in een benarde situatie:
  822.  
  823.         Stuur ons geen geld, maar schaf Thunderbyte aan or registreer
  824.         TbScanX.
  825.  
  826.  
  827. NAMEN EN ADRESSEN
  828. -----------------
  829.  
  830.     Meer informatie over Thunderbyte kunt u aanvragen bij:
  831.  
  832.         ESaSS B.V.              Tel.: 080 - 787 771
  833.         P.o. box 1380           Fax.: 080 - 777 327
  834.         6501 BJ  Nijmegen       Data: 085 - 212 395 (2:280/200@fidonet)
  835.  
  836.  
  837.     TbScanX is geschreven door Frans Veldman.
  838.  
  839.     TbScanX  en  de  signature  bestanden  zijn  beschikbaar  op ESaSS /
  840.     Thunderbyte support BBS, Tel: 085-212395 (300/1200/2400 bps).
  841.  
  842.     Wanneer u operator van een  electronic mail systeem bent kunt  u een
  843.     file-request sturen voor TBSCAN om de laatste versie van  TBSCAN.COM
  844.     te   krijgen,   TBSCANX    voor   de   laatste    update   van    de
  845.     geheugen-residente automatische versie van TBSCAN, en VIRUSSIG  voor
  846.     een kopie van de meest recente update van het signature-bestand.