home *** CD-ROM | disk | FTP | other *** search
/ Shareware Super Platinum 8 / Shareware Super Platinum 8.iso / mac / BACKUP / FIXMBR28.ZIP;1 / CHK.DOC next >
Encoding:
Text File  |  1993-04-04  |  5.3 KB  |  101 lines
  1.         CHKMEM, CHKBOOT, & CHKCMOS
  2.  
  3. The CHK programs are part of a suite of programs
  4. which I have developed as personal tools for the investigation of
  5. viruses. For some reason (possibly laziness) I have become something
  6. of a specialist in Master Boot Record, DOS Boot Record, and other low 
  7. level infections.
  8.  
  9. Each carries its own documentation internally. To read, for CHKMEM 
  10. simply TYPE the progran (e.g. TYPE CHKBOOT.COM), for CHKBOOT, invocation
  11. without a drive letter (e.g. CHKBOOT) will provide help. CHKCMOS has no
  12. options & therefore has no internal documentation.
  13.  
  14. With the current rise in number and prevalence of such infections - in
  15. particular the destructive MICHELANGELO, I am releasing these programs,
  16. as FREEWARE to the general public so long as they are not changed in any
  17. way, and in particular so long as the ASCII notices remain intact and are
  18. displayed.
  19.  
  20. Like any personal tool, I can make no guarentee as to the fitness for
  21. any use but they have proven effective for me. They are not 100% effective
  22. against any and all viruses but CHKMEM will find all of the MBR infectors
  23. and quite a few of the file infectors that go resident in the "upper 640".
  24. MICHELANGELO in particular will return a total memory value that is 2k
  25. lower than expected (most 640k machines should return A000 seg 640k 655,360
  26. bytes when clean) when resident as will STONED and most of its varients.
  27.  
  28. If DOS 4.x is in use, this return may be 1k lower - 9FC0 seg - and certain
  29. COMPAQ and other machines with dedicated mouse buffers may do so also as
  30. will most BIOS-beginning security program such as my DiskSecure program.
  31. Be aware that such a memory loss may be normal but any should be 
  32. investigated to determine what the cause is. If you have a low value and
  33. are in doubt, one test would be to boot from a known, clean, write-protected
  34. floppy and see if the values are the same. Note that the lower two values
  35. will change depending on what TSRs are loaded but their sum should remain
  36. the same.
  37.  
  38. The best use of CHKMEM is before a virus strikes to record "clean" values.
  39. This way and differences will be redily noticable.
  40.  
  41. CHKBOOT simply checks the boot record of floppy and fixed disks for 
  42. adherance to certain rules. Note that STONED and MICHELANGELO will not
  43. be detectable on fixed disks this way since they are MBR not DOS Boot
  44. Record infectors. CHKBOOT will detect these infections (and others) very
  45. effectively on floppies. Also please note that it will not detect certain 
  46. viruses that "play by the rules" on floppy disks but I have seen very few 
  47. of these. Again be aware that some security products maintenance disks
  48. (e.g. my DiskSecure again) may also violate these rules so if a disk is
  49. flagged as infected, be aware that there is a small chance that it may
  50. be a valid disk. It is also possible that some disk formatting routines
  51. may legitemately violate my somewhat arbritrary rules. If so, I would
  52. like to know about it.
  53.  
  54. Since some "stealth" viruses may return correct values to CHKBOOT, it
  55. is recommended that CHKMEM be run first unless the system is known to
  56. be clean. Those "stealth" MBR infections that I have observed are detectable
  57. with CHKMEM when resident.
  58.  
  59. Just to make things a bit more difficult for would-be virus-writers, the
  60. rules these publicly-released versions use are slightly different than
  61. those in my personal toolkit but are designed to be just as effective
  62. at finding viruses.
  63.  
  64. Note: while these programs are designed to provide indication that a virus 
  65. such as STONED or MICHELANGELO is present, they do nothing to remove such 
  66. viruses, the proper treatment will depend on the virus encountered. For
  67. protection, please see my FREEWARE programs SafeMBR and NoFBoot.
  68.  
  69. CHKCMOS is a new program written in response to the EXEBUG virus. It is
  70. not very smart, just returning the information contained in the lower
  71. configuration bytes of the CMOS, those referring to floppy disks, fixed
  72. disks, and memory size. Since the CMOS checksum must agree with its
  73. contentent to work properly, a checksum mismatch is more likely due
  74. to a failing battery than to any other reason.
  75.  
  76. CHKCMOS is based on the original IBM-AT CMOS specification and has not
  77. been sufficiently tested to expect proper results with any other CMOS
  78. (though it has worked properly on all I have come across). As a 
  79. consequence it must be considered very much a "beta". The good news is 
  80. that it only reads the CMOS so it is very unlikely that it can do any
  81. harm. Note that it is for use with AT class PCs and above, operation on 
  82. 8088 class PCs is unpredictable.
  83.  
  84. RETURNS: While these programs were originally designed for manual use,
  85.     errorlevel returns have been added for use in batch files (CHKBOOT
  86.         should only be used this way on fixed disks) or from Network
  87.         servers. Returns will be 0 for valid termination and 1 or 2 for 
  88.         suspect termination.
  89.       
  90. Weasel-Words: Use entirely at your own risk. No garentees of any kind are
  91.         made or implied. Just because I cannot think of any problems that
  92.         might occur does not mean that none exist (though all three programs
  93.         are passive in nature). False positives may occur.
  94.  
  95.                 Padgett Peterson
  96.                 POB 1203
  97.                 Windermere, Florida, USA, 34786
  98.                 2 April, 1993
  99.                 Internet: padgett%tccslr.dnet@mmc.com
  100.  
  101.