home *** CD-ROM | disk | FTP | other *** search
/ Chip Hitware 7 / Chip_Hitware_Vol_07.iso / chiphit7 / _viren / 95tbav / appnotes.do_ / appnotes.do
Encoding:
Text File  |  1997-01-10  |  5.6 KB  |  110 lines
  1.  
  2. TBAV has been designed to provide good performance, reliability and
  3. compatibility. In most cases the TBAV utilities will work as expected.
  4. However, in combination with some other applications, problems may
  5. occur if no special measures are taken. These applications are listed
  6. below.
  7.  
  8.  
  9. EZ-DRIVE
  10.     Problem:
  11.         I have an enhanced IDE disk of 1 Gigabyte and I have created
  12.         one large partition on it. Afterwards my system got infected and
  13.         now I am unable to clean it.
  14.     Explanation:
  15.         The ROM BIOS is unable to support large disks. Most enhanced
  16.         IDE disks are able to act as two different drives, working
  17.         around the ROM limitations. However, if you create just ONE
  18.         but very large partition, this workaround can not be used
  19.         anymore. Instead, EZ-DRIVE puts a special resident program on
  20.         the first track of your disk. It takes care of the BIOS
  21.         translations necessary to access the disk. Since the first
  22.         track of a disk is supposed to contain the partition table and
  23.         master boot record, it features some stealth capabilities, by
  24.         hiding itself and acting as if these sectors are there.
  25.         Actually, it works exactly the same as some advanced bootsector
  26.         viruses. Now, supposed you get infected by a bootsector virus.
  27.         Several things may happen:
  28.  
  29.         1) A multipartite virus got active after the EZ-DRIVE driver was
  30.         executed. The virus made a copy of the master boot record (this
  31.         is what it sees since EZ-DRIVE is active and hides itself). Now,
  32.         if the system boots, the virus becomes resident and tries to
  33.         execute the original master boot record. It should however
  34.         execute the EZ-DRIVE driver, but doesn't know that. The system
  35.         now tries to boot without the necessary BIOS translations and
  36.         becomes inaccessable.
  37.         2) The virus executes after booting from a diskette and makes
  38.         correctly a copy of the EZ-DRIVE driver, and puts itself in the
  39.         space behind the master boot record, which is usually not used.
  40.         EZ-DRIVE however uses this space, but now it is overwritten.
  41.         When the system boots, EZ-DRIVE will be loaded by the virus, but
  42.         is partly overwritten and doesn't work anymore.
  43.         3) The virus contains its own bootsector loader. The virus
  44.         interprets the EZ-DRIVE driver as a partition table, and tries
  45.         to boot from the bootsector pointed by by the assumed partition
  46.         table. A system crash will be the result.
  47.  
  48.         An anti-virus system even makes things worse. Depending on the
  49.         anti-virus product, the virus, and the EZ-DRIVE version, it may
  50.         see one of the following sectors when it tries to read the
  51.         partition sector:
  52.         1) The original master boot record.
  53.         2) The EZ-DRIVE driver.
  54.         3) The virus.
  55.         Things will usually work OK when you scan the system for viruses,
  56.         but a problem will occur if you try to repair an infected system.
  57.  
  58.     Workaround:
  59.         Boot from a clean diskette. Do NOT use the EZ-DRIVE feature to
  60.         load the EZ-DRIVE driver before booting from the diskette. Put the
  61.         diskette into the drive and close the drive before switching on
  62.         the machine. Now use TbUtil to make a safety backup of your
  63.         partition table.
  64.  
  65.         An even better approach is to divide the drive into two (or more)
  66.         partitions and not use the EZ-DRIVE large partition feature.
  67.         This gives you additional benefits like a faster disk response,
  68.         less slack space (because of the smaller cluster sizes), and the
  69.         ability to separate the code from the data files, making maintenance
  70.         and disaster recovery much easier.
  71.  
  72.  
  73. MEMORY OPTIMIZERS
  74.     Problem:
  75.         Some memory optimizers, like MemMax, MemMaker and Optimize, will
  76.         not work properly if used in combination with the resident TBAV
  77.         utilities. The resident TBAV utilities can act as device drivers
  78.         as well as normal executables, depending on the way they are
  79.         loaded, and this confuses some memory optimizers. The TBAV
  80.         utilities also hook themselves into DOS for better virus
  81.         protection, and they can not be moved in memory once loaded. Any
  82.         attempt to do so will hang the machine.
  83.     Workaround:
  84.         Remove the TBAV utilities from the AutoExec.Bat file and/or
  85.         Config.Sys file and run the memory optimizer. Add the TBAV
  86.         utilities again to the AutoExec.Bat and Config.Sys file, and
  87.         highload them if desired.
  88.  
  89.  
  90. DOS APPEND
  91.     Problem:
  92.         The /X switch of the DOS APPEND command is very dangerous: if
  93.         you APPEND a directory with /X and then delete *.BAK when no
  94.         such files exist in the current directory, then the .BAK files
  95.         in the APPENDed directory will be deleted instead. APPEND is
  96.         able to 'fool' programs by accessing another file than the file
  97.         requested by the application, if a file with the same name
  98.         exists in another directory. This also applies when one of the
  99.         TBAV utilities needs to consult an Anti-Vir.Dat file: The
  100.         Anti-Vir.Dat file of another directory might be accessed instead
  101.         of the intended one.
  102.     Workaround:
  103.         TbSetup and TbScan switch off APPEND automatically if they
  104.         detect that it has been loaded, but the resident TBAV
  105.         utilities don't. It is therefore recommended to be very
  106.         careful if you need to use the APPEND /X option and to
  107.         switch it off as soon as you don't need it anymore.
  108.  
  109.  
  110.