home *** CD-ROM | disk | FTP | other *** search

---

/ PC World Komputer 1997 May / Pcwk0597.iso / cdinst / txt / adinf.txt

< prev

next >

Wrap

Text File  |  1997-03-25  |  16KB  |  413 lines

---

1.           ADVANCED DISKINFOSCOPE (ADinf)
2.                        by
3.              (c) Dr. Dmitry Mostovoy
4.  
5.                DialogueScience, Inc.
6.                  Moscow, Russia
7.  
8.  
9. A Guide to Frequently Asked Questions
10. =====================================
11. Here are the answers in  detail to the questions which
12. our  users  quite  frequently  ask  about  ADinf.  All
13. questions on  a topic have  been unified and  arranged
14. topicwise. The menu tree structure described below may
15. not  fully  agree  with  that  of  the  ADinf  earlier
16. versions as the answers  specifically refer to version
17. 8.xx and later.
18.  
19.      Can   ADinf   check   a   disk   compacted   with
20.      DoubleSpace, DriveSpace, SpeedStor or Stacker?
21.  
22. Yes,  it does  check  a  compacted disk,  scanning not
23. through  BIOS   but  via  Int  25h.   For  scanning  a
24. SuperStor-compacted disk,  you must tell  ADinf not to
25. check for new bad  clusters (choosing INFO UNDER CHECK
26. ═> BAD CLUSTERS ═> DON'T CHECK)
27.  
28.      I,  being  a  programmer,  naturally  change many
29.      files on  my disk everyday. How  can I tell ADinf
30.      to skip these legal modifications in its report?
31.  
32. You can hide directories  from ADinf checks. For this,
33. choose INFO UNDER CHECK ═>  SKIP TREE. Then choosing a
34. drive from  the on-screen panel, pop  up its directory
35. tree,  mark the  directories and  subdirectories where
36. files are  likely to be changed  often. ADinf will not
37. report the unharmful changes in  a file under a marked
38. directory.  But  if  a  change  (in  size  or  CRC) is
39. suspicious,  for example  a file  is modified  but its
40. date stamp is unaltered, you are alerted.
41.  
42.      What is  ADinf Cure Module?  If this is  a curing
43.      module, is  it better or worse  than Virus Hunter
44.      and Doctor Web? Where can I buy it?
45.  
46. ADinf Cure Module is a curing companion which enhances
47. the   capabilities  of   Advanced  Diskinfoscope.   It
48. radically  differs  from  scanners  Virus  Hunter  and
49. Doctor  Web.  It  kills  existing  and  as-yet-unknown
50. viruses  with  equal  efficacy.  It  maintains a small
51. database  containing necessary  information about  all
52. files in  your disk. When  ADinf detects a  virus, the
53. curing  module can  be used  to kill  it. Database  is
54. automatically updated  by ADinf when  diskinfo changes
55. in your system. The program was tested on a collection
56. of 7000  various infectors unknown to  the program and
57. successfully removed 97 percent of them.
58.  
59. Scanners  and ADinf  Cure Module  cannot be  compared:
60. each  deploys a  different strategy  to the  antivirus
61. problem:  each ideally  supplements the  other. First,
62. ADinf  Cure Module  does not  kill all  but about  97%
63. viruses,  particularly, admitting  its capabilities to
64. clean a computer  from as-yet-unknown viruses. Second,
65. it is  helpless when you  are handling someone  else's
66. diskettes  since it  requires the  database containing
67. diskinfo.  Scanners,  on   the  contrary,  deploy  the
68. traditional  tactics: to  every attack  they design  a
69. counterattack and can therefore  kill only the viruses
70. known to  them, but are helpless  against new viruses.
71. It is  therefore a good idea  to have both of  them in
72. your machine.
73.  
74.      What  is fast  CRC  that  ADinf computes?  When I
75.      modified a few bytes at  the end of an executable
76.      file, it ignored them under fast CRC mode. Why?
77.  
78. ADinf  checks in  one of  the modes:  FAST CRC, CRC16,
79. CRC32  and  NO  CRC.  FAST  CRC  is  computed in close
80. relation  to the  internal structure  of an executable
81. file. So FAST CRC is best suited for COM and EXE files
82. as it guarantees reliable  virus detection without the
83. need for computing the CRC  of the whole file. So, any
84. change   in   certain   file   areas,   unless  it  is
85. virus-induced, is ignored under FAST CRC check.
86.  
87.      Why  is   ADinf  very  sluggish   in  checking  a
88.      write-cached disk?  Why does it hang  on a cached
89.      disk?
90.  
91. ADinf efficiently  checks a read-cached  disk, but may
92. fail on  a write-cached disk  when both ADinf  and the
93. cache simultaneously address BIOS, creating conflicts.
94. There are  two ways of avoiding  such conflicts: first
95. disable  the write-cache  prior to  starting ADinf and
96. toggle it on when  checking is complete. For instance,
97. to  hide your  drives C  and D  from write-caching  by
98. smatrdrv.exe, use the command
99.  
100.         smartdrv C D
101.  
102. and to switch it again the command:
103.  
104.         smartdrv C+ D+
105.  
106. Alternatively, tell ADinf to access all drives, except
107. drive  C:, via  Int 13h.  For this,  go to  OPTIONS ═>
108. SETUP PARAMETERS  ═> DRIVE ACCESS TYPE.  Then arrow to
109. the  drive   name  letters  and   repeatedly  pressing
110. <Space>, set Int 13h as  the drive access type for all
111. drives. For the drive C:, leave the default setting as
112. it  is.   Now  ADinf  will  not   conflict  with  your
113. write-cache,  but  virus  detection  is  somewhat less
114. reliable.   ADinf  ver.   9.00  or   higher  is  fully
115. compatible  with  HyperDisk  write-cache  ver. 4.50 or
116. later. No problems arise with this utility any longer.
117.  
118.      Can I put network drives under ADinf control?
119.  
120. Unfortunately,  you  can't.   ADinf  checks  a  drive,
121. reading it  sector by sector.  Therefore it can  check
122. local drives only.
123.  
124.      Can ADinf  run under MS Windows,  Windows 95, and
125.      DESQview?
126.  
127. Yes,  it does  run under  MS Windows,  Windows 95, and
128. DESQview, scanning the drives directly via BIOS.
129.  
130.      Can ADinf  run under DR  DOS, Nowell DOS,  Compaq
131.      DOS?
132.  
133. Yes,  ADinf can  run under  DR DOS.  ADinf detects its
134. environment by  the version number. If  ADinf hangs up
135. under  Novell  DOS  later  than  7.0,  run  it with -r
136. option. Use  this option, if your  computer is running
137. under  Compaq DOS  or any  other OS  not fully  MS DOS
138. compatible.
139.  
140.      What is the purpose of personal tables?
141.  
142. ADinf  supports  two  types   of  tables,  common  and
143. personal, for storing  disk information. Structurally,
144. they don't differ much. Common tables are saved in the
145. root directory of logical drives and personal table in
146. the directory  where ADinf is installed  or in another
147. directory.  Common  tables  are  helpful  in regularly
148. checking  a   limited  number  of   program  files  of
149. particular  extensions.  Whereas  personal  tables are
150. better  suited  for  in-depth  checking.  You may even
151. choose  all types  of files  on your  disk and specify
152. CRC32  for CRC  type. Such  a check  is all-inclusive;
153. time consuming, though.
154.  
155.      I  feel  my  machine  is  infected,  but ADinf is
156.      silent. Can a virus dodge ADinf?
157.  
158. This  is  a  common  question,  and  there is only one
159. answer  to  it.  Unfortunately,  there  is  no panacea
160. against PC virus infection, nor can there be ever one.
161. ADinf seems  to be the best  virus detector today. But
162. bear in mind its  capabilities and limitations. Let us
163. examine the situations where ADinf may keep quite.
164.  
165. First,  if  you  have  installed  ADinf  on an already
166. infected  machine,  it  will  not  notice  any  virus,
167. because it detects viruses through the changes in file
168. information. And  in our case there  are no changes in
169. file information and so it  does not alert you. If the
170. virus is hiding its presence, i.e., you have a stealth
171. virus in the machine;  ADinf will certainly detect it,
172. if you  run under the  STEALTH SEARCH mode.  This is a
173. very useful mode and run ADinf from time to time under
174. this mode.
175.  
176. Second, ADinf may fail  to notice the viruses tailored
177. specifically  to infect  a file  only at  the time  of
178. creation. If they  are additionally hiding themselves,
179. you  may trap  them, running  ADinf in  STEALTH SEARCH
180. mode. If  they are NOT hiding  their presence, you can
181. easily detect them with  your naked eyes. For example,
182. suppose you are copying a  file from drive A: to drive
183. C: and you notice that the source file has a different
184. size than the target file.  You can easily detect such
185. infectors,  running ADinf  as follows:  write a  batch
186. file  (call it  TRAP) which  copies several executable
187. files,  say, to  your RAM  drive and  then copies them
188. back from the  RAM drive to the source  drive. Run the
189. TRAP batch file before turning off your computer. When
190. you start  the computer next  time, ADinf will  report
191. about such  viruses, if any.  For greater reliability,
192. you better include files to  be copied in STABLE FILES
193. list (its menu path is OPTIONS ═> SETUP PARARAMETRS ═>
194. INFO UNDER CHECK ═> STABLE FILES).
195.  
196. Third,  ADinf permits  to toggle  off many  checks. If
197. you,  for  example,  have  toggled  off  check of boot
198. sector  of  drive  C:  or  you  have  deleted EXE from
199. extension  list  for  control,   you  may  not  notice
200. virus-inducted changes.
201.  
202. Finally, because of its beneficent policy ─ aggressive
203. strategy  and ingenious  tactics ─  ADinf irritates to
204. virus designers. One fine day  it is not excepted that
205. you may  find a new virus  specially tailored to dodge
206. the  ADinf in  your machine.  Today there  are several
207. viruses which try to delete files with a name begining
208. with "ADIN". What will  these evil-mongers do further,
209. God alone knows.
210.  
211.      What is  disk access via  BIOS, Int 13h,  and Int
212.      25h?
213.  
214. In  checking missions,  ADinf automatically identifies
215. the DOS file structure by reading the disk sectors one
216. after another. Three access  methods are available for
217. reading the sectors in a drive
218.  
219.         through direct addressing to BIOS; through the
220.         use  of Interrupt  13h (Int  13h); through the
221.         use of DOS Interrupt 25h (Int 25h);
222.  
223. The drive access type is specified by choosing OPTIONS
224. ═> SETUP PARAMETERS ═> DRIVE ACCESS TYPE.
225.  
226.      When  and  which  drive  access  type  should  be
227.      chosen?
228.  
229. For  an IDE  disk  partitioned  by the  FDISK program,
230. ADinf uses BIOS as the access type.
231.  
232. Access via  Int 13h must  be used under  the following
233. situations.    Modern    high-capacity    disks    are
234. manufactured with  more than 1024  cylinders (limiting
235. value for standard BIOS of IBM AT). Present-day BIOSes
236. and  hard  disks  support  handling  of  such disks by
237. redusing  the number  of cylinders  and increasing the
238. number  of sectors  or heads,  accordingly (LBA mode).
239. However, if your BIOS  does not provide this facility,
240. you may  have to use  special disk drivers  to utilize
241. the  full capacity  of such  disks, for  example, Disk
242. Manager for  IDE disks. ADinf  identifies Disk Manager
243. and  automatically defaults  to  Int  13h as  the disk
244. access type. Several drivers exists for SCSI disks. If
245. you have  a high capacity  SCSI disk in  your machine,
246. manually  choose Int  13h from  the DRIVE  ACCESS TYPE
247. box.
248.  
249. Second case.  In a machine  running under QEMM  set to
250. STEALTH mode,  ADinf defaults to Int  13h as the DRIVE
251. ACCESS TYPE because access to  disk via BIOS is denied
252. to ADinf.
253.  
254. DRIVE  ACCESS TYPE  must be  set to  Int 25h for disks
255. managed   by  special   drivers,  for   example,  disk
256. compactors.   As   a   rule,   ADinf  identifies  such
257. situations and automatically defaults  to Int 25h. But
258. if  the drive  name letters  in a  compacted disk  are
259. changed, the drive access type  must be set to Int 25h
260. manually by the user.
261.  
262. There are  also other situations  where the user  must
263. specify the  drive access type  manually, for example,
264. if  you have  changed the  standard sequence  of drive
265. specifiers  that DOS  assigns to  disk partitions. DOS
266. allots  the  drive  name   letters  in  the  following
267. sequence  (if some  partition is  missing, the letters
268. are shifted accordingly):
269.  
270. First hard disk
271.  
272.       1st Primary  DOS Partition C: BIOS
273.       1st Extended DOS Partition E: BIOS
274.       2nd Extended DOS Partition F: BIOS
275.       3rd Extended DOS Partition G: BIOS
276.       2nd Primary  DOS Partition K: BIOS
277.       3rd Primary  DOS Partition L: BIOS
278.  
279. Second hard disk:
280.  
281.       1st Primary  DOS Partition D: BIOS
282.       1st Extended DOS Partition H: BIOS
283.       2nd Extended DOS Partition I: BIOS
284.       3rd Extended DOS Partition J: BIOS
285.       2nd Primary  DOS Partition M: BIOS
286.       3rd Primary  DOS Partition N: BIOS
287.  
288. ADinf  strictly  supports  this  standard  sequence of
289. specifiers  for assigning  names to  drives. But, this
290. sequence  may be  violated in  several cases.  For the
291. logical drives  of name letters  up to a  violation in
292. the standard  sequence, ADinf uses  BIOS as the  drive
293. access type and Int 25h for the other drives. Below is
294. an example  of such a  situation. Let us  suppose that
295. the  second hard  disk is  an IDE  disk with more than
296. 1024  cylinders   (without  LBA)  formatted   by  Disk
297. Manager.  In  this  case  the  partitions are allotted
298. drive name letters as follows:
299.  
300. First hard disk:
301.  
302.       1st Primary  DOS Partition C: BIOS
303.       1st Extended DOS Partition D: Int 25h
304.       2nd Extended DOS Partition E: Int 25h
305.       3rd Extended DOS Partition F: Int 25h
306.       2nd Primary  DOS Partition G: Int 25h
307.       3rd Primary  DOS Partition H: Int 25h
308.  
309. Second hard  disk:
310.  
311.       Only one DM Partition I: Int 25h
312.  
313. The DRIVE ACCESS TYPE is listed in the right-most
314. column.
315.  
316. One more example of nonconventional configuration. Let
317. us interchange  the hard disks  in the above  example.
318. Let  the   first  hard  disk  be   a  large  IDE  disk
319. partitioned by Disk Manager and the second an ordinary
320. IDE disk. In this case,  the drive access type must be
321. set as follows.
322.  
323. First hard disk:
324.  
325.       Only one DM partition C: Int 13h
326.  
327. Second hard disk:
328.  
329.       1st Primary  DOS Partition D: BIOS
330.       1st Extended DOS Partition E: BIOS
331.       2nd Extended DOS Partition F: BIOS
332.       3rd Extended DOS Partition G: BIOS
333.       2nd Primary  DOS Partition H: BIOS
334.       3rd Primary  DOS Partition I: BIOS
335.  
336.  
337.      What is  the purpose of  the -76 command  option,
338.      which the User's Guide  does not explain? On some
339.      computers  ADinf  hangs  up,  saying "Opening the
340.      disk". What is the cause for this?
341.  
342. Int  76h   is  an  interrupt  generated   by  the  IDE
343. controller   upon   the   completion   of  every  disk
344. operation.  There are  stealth viruses  that use  this
345. interrupt for hiding their presence in the machine. In
346. fact,  these viruses  dodge detection  at the hardware
347. level  utilizing the  published potentialities  of the
348. IDE controller. In order to detect such viruses, ADinf
349. intercepts and  handles this Int 76h  itself. But such
350. an independent handling may conflict with certain BIOS
351. systems  or special  drivers of  32-bit access  to IDE
352. disks. In  such cases, ADinf hangs  up, displaying the
353. message "Opening the disk".
354.  
355. In order  to prevent ADinf from  intercepting Int 76h,
356. run ADinf with the -76 option, as follows:
357.  
358. C:\ADINF\Adinf.exe -a -b -d -76 -@C:\ADINF\
359.   \list  -lC:\ADINF\
360.  
361. If, by such a command  line, your system does not hang
362. up any longer, please send  the version number of your
363. BIOS  (the eight  bytes at  the address  F000:FFF5) to
364. DialogueScience,  Inc., Moscow,  Russia, for modifying
365. the  ADinf internal  BIOS incompatibility  table in an
366. appropriate  manner so  that you  may be  able to  run
367. ADinf without  the need for  including this option  in
368. the command line.
369.  
370.      I  installed ADinf  version 10.06  on my  network
371.      server, but I could not install ADinf Cure Module
372.      version 3.03. What is the reason?
373.  
374. To  install  ADinf  on  a  LAN  along  with the curing
375. module,  ADinf Cure  Module must  be at  least 3.04 or
376. higher.
377.  
378. Similarly, the -home command option available in ADinf
379. 10.06 also  requires ADinf Cure Module  3.04 or higher
380. for the  joint operation of ADinf  along with the Cure
381. Module.
382.  
383.  
384.                            REFERENCES
385.  
386. DialogueScience, ADinf and Virus Hunter are registered
387. trademarks of DialogueScience Inc., Moscow, Russia.
388.  
389. DSAV is  a trademark of  DialogueScience Inc., Moscow,
390. Russia.
391.  
392. Sheriff is a registered  trademark of FomSoft, Moscow,
393. Russia.
394.  
395. Other names are registered trademarks or trademarks of
396. the respective companies.
397.  
398.  
399.                              * * *
400.  
401. DialogueScience, Inc.,
402. Computing Center of the Russian Academy of Sciences,
403. Office No 103a, House No 40, Vavilov street,
404. 117967, Moscow, Russia.
405.  
406. Tel.(+7-095) 137-0150, 135-6253
407. Tel./Fax:    938-2970, 938-2855
408. FidoNet: 2:5020/69.4 (Dmitry Mostovoy)
409. E-mail:
410.  
411. antivir@dials.ru  - Sales and Support Department
412. dmost@dials.ru    - ADinf author (Dmitry Mostovoy)
413.