home *** CD-ROM | disk | FTP | other *** search

---

/ PC World Komputer 1997 May / Pcwk0597.iso / antywir / imast311 / resmem.txt

< prev

next >

Wrap

Text File  |  1997-02-27  |  10KB  |  199 lines

---

1.                RESIDENT PROGRAM AND MEMORY CONFIGURATION
2.  
3. This file explains how the "Resident program and memory" configuration check
4. works and how to best use this new feature.
5.  
6. IM checks your PC to see if anything has changed the low-level memory resident
7. programs that provide access to your hardware.  This allows IM to detect memory
8. resident viruses unknown to its scanner component without booting from a
9. floppy.  It also provides you a warning if the configuration of your PC has
10. changed.
11.  
12. You can invoke the configuration check by using the "Resident program and
13. memory" or "Entire disk integrity" options on the Check menu or with the /CM
14. command line switch. IM will return an ERRORLEVEL of 24 if it finds memory
15. changes that resemble those a virus would make or an ERRORLEVEL of 16 if the
16. changes are significant but not likely to be due to a virus.
17.  
18. You can use the command line /MS# option (or SetupIM) to vary the sensitivity
19. of IM to resident program configuration changes.  The sensitivity can be set
20. from 0 to 9. 0 turns the check off, and 9 provides maximum sensitivity to
21. changes.  4 is the default (and recommended) setting. 9 is useful for for
22. researchers and on systems where there should be no software changes at all.
23.  
24.  
25. WHAT TO DO IF IM FINDS A CONFIGURATION CHANGE
26. ---------------------------------------------
27. After each check IM provides a display of what has changed.  IF THERE IS A
28. SIGN OF A CONFIGURATION CHANGE WHICH COULD BE DUE TO A VIRUS OR WHICH COULD
29. AFFECT THE SECURE OPERATION OF YOUR PC, IM WILL ALERT YOU.  Here's
30. what you should do:
31.  
32.  1) Boot from a clean write protected diskette containing IM.EXE and IM.PRM.
33.  
34.  2) Run a full (not quick update) check on your disk. A virus would be
35.     indicated by change to a boot sector or changes to your executable
36.     files.
37.  
38.  3) If there is no sign of a virus, then the change is probably normal
39.     and you can "Initialize" (IM /IM) to  record the current configuration.
40.     You may wish to determine exactly what has changed, though.  See
41.     the list under NORMAL CHANGES below.
42.  
43.  4) If your environment frequently changes, you may wish to decrease
44.     IM's sensitivity to detecting these changes. The sensitivity level
45.     is normally set to 4 (/MS4).  You can use the SetupIM "advanced
46.     option" menu or the /MS command line parameter to do this (e.g.
47.     "/MS3" will set the sensitivity to 3).
48.  
49.  
50. NORMAL CHANGES
51. --------------
52.  
53. Here is a list of changes in your configuration that will be detected
54. as memory and/or interrupt changes:
55.  
56. o  Installing a new version of an operating system (e.g., DOS, OS/2,
57.    Windows, or Network).
58.  
59. o  Installing a new device driver (e.g. a DEVICE= statement in your
60.    CONFIG.SYS file)
61.  
62. o  Installing new memory resident (TSR) software.
63.  
64. o  Installing a new memory manager or changing the settings that control
65.    your memory manager (in other words changing what gets loaded in
66.    high or upper memory).
67.  
68. o  Changing your cache or print spooler
69.  
70. o  If your PC is running as a network server, there will be a difference
71.    depending upon the state of the server (e.g., starting, stopping,
72.    suspending, etc.).
73.  
74. o  Changing the DOS session settings under Windows or OS/2.  (Under
75.    Windows or OS/2, you can change settings for DOS sessions such as
76.    amount of extended memory, display handling, mouse, file handles,
77.    etc.)
78.  
79.  
80. DETAILS OF IM'S CONFIGURATION CHANGE DISPLAY
81. --------------------------------------------
82.  
83. IM provides a detailed display of what has changed in your PCs configuration.
84. It is NOT necessary to understand these changes, since IM will alert you if
85. these changes require any action.  For the more technically inclined users
86. here is what IM displays:
87.  
88. DOS version           -  This shows the release of DOS running currently and
89.                          the version which was running when IM last recorded
90.                          (initialized) configuration data for your PC.  A DOS
91.                          version 10 or 20 indicates OS/2.  (Note that Win95
92.                          still runs on a base DOS system.)
93.  
94. Windows Version       -  If Windows is active when IM is running the version
95.                          will be displayed here. Win95 reports itself as
96.                          version 4 and Windows NT as 3.5.
97.  
98. Available CPU Speed   -  This value is a measure of how many typical 80x86
99.                          instructions IM can execute in 1/9 of a second.  This
100.                          value will vary if your real time clock is unstable or
101.                          if there are other programs executing at the same time
102.                          Variation in this value is normal under Windows, OS/2
103.                          and other multitasking operating systems.  This value
104.                          value varies from 3 for a 8mhz PC/XT, 66 for a 386/33
105.                          to 800 for a Pentium/230.
106.  
107. Program Load Address  -  This is the address in DOS memory where your programs
108.                          are loaded for execution. An increase in this address
109.                          means something has grown or something new is
110.                          occupying your low memory.  You can use your memory
111.                          manager to reduce this value by loading programs into
112.                          upper memory.
113.  
114. Maximum DOS memory    -  This is the total amount of conventional DOS memory
115.                          available on your PC.  It's usually 655,360 bytes but
116.                          some PCs load a driver into this memory.  Most boot
117.                          sector viruses will reduce this value.
118.  
119. Unallocated DOS memory - This shows how much conventional memory is available
120.                          in the first 1mb.  Any new resident software (e.g. a
121.                          resident virus) will reduce this value.
122.  
123. Resident programs changed for these interrupts:
124.  
125.                          IM displays a list of interrupt numbers which have
126.                          software that has changed. Interrupts are a low-level
127.                          way to access your hardware or provide basic function
128.                          for your PC.  Memory resident viruses or installing
129.                          new hardware, drivers or operating systems, will
130.                          change the software associated with the interrupts.
131.                          IM traces the actual interrupt code to determine
132.                          what has changed and will occasionally report
133.                          an interrupt number (especially Int 13h, the
134.                          low-level disk interrupt) a number of times on
135.                          the list when their are multiple programs that
136.                          service the interrupt.
137.  
138.                          Note that the multiplex interrupt (2F) will be
139.                          different depending upon how you launch a
140.                          program under Win 95. IM takes this difference
141.                          into account when analyzing the changes.
142.  
143.  
144.  
145. USE UNDER WINDOWS AND OS/2
146. --------------------------
147.  
148. If you run IM in a DOS session (virtual DOS machine) under Windows or OS/2, you
149. will see changes if you modify the DOS session settings. This essentially
150. changes the resident software which will be detected by IM.  Keep your settings
151. consistent to avoid confusion.
152.  
153. You will also see variation in the CPU speed reported by IM.  This is due
154. to two factors:
155.  
156.   1) Since other tasks execute in the background, these tasks will steal
157.      CPU power from IM.
158.  
159.   2) The timer is less consistent under Windows than DOS so IM.
160.  
161.   3) The memory load address of IM or part of the system has changed. This
162.      will change the CPU cache hits and misses and can change reported speed
163.      by up to 90 percent.
164.  
165.  
166. HANDLING MULTIPLE CONFIGURATIONS (OR MULTI-BOOT)
167. ------------------------------------------------
168.  
169. IF YOU CHANGE ANY BASIC SOFTWARE (E.G., DRIVERS, TSRS, CACHES, MEMORY
170. MANAGERS, ETC.) IM WILL RECOGNIZE THIS AS A SERIOUS CHANGE. For this reason,
171. it's important to compare within a fixed configuration.
172.  
173. IM provides support for multiple operating systems on your PC. IM stores the
174. configuration of your PC in a different file for each operating system.
175.  
176. IM uses a file name of MEMD.SRL (for DOS), MEMW.SRL (Win 3.x), MEM9.SRL
177. (Win95), or MEMO.SRL (OS/2).  If you are running a network, the 3rd
178. character of the filename becomes an "N" (e.g, MEND.SRL). This allows
179. you to run resident program checks under different PC configurations.
180.  
181.                         ╔═══════════╤═════════════╤════════════╗
182.                         ║  DOS only │ Windows 3.x │ Windows 95 ║
183. ╔═══════════════════════╬═══════════╪═════════════╪════════════╣
184. ║Without network active:║  MEMD.SRL │  MEMW.SRL   │  MEM9.SRL  ║
185. ╟───────────────────────╫───────────┼─────────────┼────────────╢
186. ║With network active:   ║  MEND.SRL │  MENW.SRL   │  MEN9.SRL  ║
187. ╚═══════════════════════╩═══════════╧═════════════╧════════════╝
188.  
189. What this means is that if the only change you make to your configuration
190. is to switch between running DOS, Windows or a network, IM will handle
191. this automatically.  If you make changes beyond this and wish to run
192. a configuration check in each one you will need to use the /MF=
193. command line parameter  IM provides the /MF=filename command line
194. parameter so that you can store multiple memory configuration files in
195. your home directory. To do this, you will use a different filename with
196. /MF= in each unique configuration.
197.  
198.  
199.