home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / fprot201.arc / SCAN.DOC < prev    next >
Encoding:
Text File  |  1992-01-14  |  9.6 KB  |  166 lines
  1.         Virus scanning - how, why and when ?
  2.  
  3. F-PROT is able to find practically all known viruses, by a method known as
  4. "scanning".  This involves searching for a virus pattern or "signature" -
  5. a sequence of bytes which is very unlikely to be found anywhere but in
  6. this particular virus.
  7.  
  8. The virus signatures are stored in a file named SIGN.DEF, which must be
  9. present in the current directory or the same directory as F-PROT.EXE.
  10. The number of signatures contained in this file is not an indication of
  11. the number of viruses F-PROT is able to detect, however - as most new
  12. viruses are created by making small changes to older viruses, the same
  13. signature can often be used to detect many different viruses.
  14.  
  15.                   Secure Scan, Full Scan or Quick Scan ?
  16.  
  17. F-PROT can use three different methods when scanning for viruses.  The first
  18. method, "Secure Scan" uses two (or more) different signatures for each
  19. virus.  It will also look for the signatures in a large block of data -
  20. usually located either at the beginning or the end of the file.  This
  21. improves the chances of detecting any virus which might have been created
  22. by modifying an older one - any change might cause a signature to be
  23. located at a different position within the virus, or it might even corrupt
  24. the signature itself, but the chances of a single change invalidating both
  25. of of the signatures are practically zero.
  26.  
  27. However, although "Secure Scan" is a very secure method, it is also very
  28. slow.  "Full Scan" is considerably faster, as it normally uses only a
  29. single signature for each virus.  If this signature is found, a search is
  30. made for the other signatures which are defined for the virus in question. 
  31. This method is faster when no (or few) files contain viruses, but when
  32. scanning through virus collections, there is no significant difference. 
  33. "Full Scan" is less secure than "Secure Scan", as a single change may
  34. invalidate the first signature.
  35.  
  36. The ability to detect new variants is in most cases not necessary, as the
  37. chances of being hit by a previously unknown virus variant are very low. 
  38. For this reason the third method is provided.  "Quick Scan" is, as the name
  39. implies the fastest method, but it is less secure than the other two.  This
  40. is because it only uses a single signature for each virus, and only looks
  41. for it at one fixed location.  To speed things up further, "Quick Scan"
  42. does not spend time on an accurate identification of any virus it might
  43. find.  "Quick Scan" will just report a "Jerusalem" infection, while "Full
  44. Scan" might report an infection by the "Anarkia-2B" variant of Jerusalem,
  45. for example.  Most users are not concerned with the accurate identification
  46. of any virus which might strike - all they want to know is if they have a
  47. virus or not, and "Quick Scan" is almost as good at finding known variants as
  48. "Full Scan" (There are a few "dead" viruses which "Quick Scan" will not
  49. detect).  If you select "Quick Scan", you cannot select any disinfection,
  50. as it requires an accurate identification, so the "Action" option is
  51. disabled.  As "Quick Scan" will not search for Trojans or user-defined
  52. strings, the "Targets" option is disabled as well. 
  53.  
  54. When you select "Scan" from the initial menu, a new menu will appear,
  55. where you can select what to scan for and where to scan.
  56.  
  57. To change the setup you simply use the arrow keys to move to the option you
  58. want to change and press Enter.  A window will then appear showing the
  59. available possibilities, and you select one of them.
  60.  
  61. The first option, "Method" is uses to select which search method (Secure,
  62. Full or Quick) to use.  None of the methods is the "best" in all cases -
  63. somebody responsible for installing new software on a LAN server might
  64. want to use "Secure Scan" all the time, but in a low-risk environment the
  65. faster "Quick Scan" might be preferable.  The default is "Full Scan".
  66.  
  67. The second option, "Search" is used to select on which drives and
  68. directories F-PROT should search for viruses.  The possibilities are
  69. "Hard disk", "Diskette drive" and "Network", which should be self-explanatory,
  70. and finally "User-specified".  The last possibility applies if you only
  71. want to scan a single directory, or perhaps just a single file.  If a
  72. directory is specified, all subdirectories below it will be searched as
  73. well.  The difference between selecting "Diskette drive A:" and selecting
  74. "User-specified", and entering "A:" is that in the former case it is
  75. assumed you might want to scan multiple diskettes, so after scanning each 
  76. diskette a report is given and you are prompted for the next diskette.
  77. One note: If "Network" is selected, all network drives from C: to Z: will
  78. be searched, so if several drive letters have been mapped to the same
  79. physical directory, the same files might be scanned several times.  The
  80. default is to search the hard disk.
  81.  
  82. The third option, "Action" is used to specify what action should be taken
  83. when a virus is found.  The default operation is just to list the names of
  84. any infected files, but F-PROT can also disinfect almost all viruses.  If
  85. you want disinfection, it can either be fully automatic, or F-PROT can
  86. prompt you before it attempts to disinfect any given file. Sometimes
  87. an infection cannot be removed, for example if the virus just overwrites
  88. any file it infects, or occasionally in the case of a "first-generation"
  89. sample.  In those case the only effective disinfection is to delete the
  90. file.  It is always safer to delete infected programs than to disinfect, so
  91. F-PROT offers deletion as well - any infected file will first be
  92. overwritten several times (just to make sure) and then deleted.  You can
  93. select automatic deletion or have F-PROT prompt you before it deletes a
  94. file.  Finally, an infected file can be renamed, and given the extension
  95. .VOM or .VXE, so it will not be executed by accident, but you will still have
  96. it around to study.
  97.  
  98. The fourth option, "Targets" is used to select the types of viruses to
  99. search for.  Normally one would like to search for all known viruses, but
  100. in certain circumstances you might want to exclude boot sector viruses or
  101. program viruses.  For example, if you are cleaning up after an attack by
  102. a specific boot sector virus, you might not want to search for program
  103. viruses on every single diskette.  F-PROT does normally not scan for
  104. Trojans, only viruses, but this option can be selected, although it is
  105. practically never necessary.  The Trojans are much rarer than the viruses,
  106. and not a serious threat, as they don't spread, except by deliberate
  107. copying.  In fact, the only place where most of the Trojans will probably
  108. be encountered is in certain large collections of programs used to compare
  109. anti-virus programs.  As some of my competitors detect the Trojans, I added
  110. this feature as well.  You can also instruct F-PROT to search only for
  111. special user-defined signature strings. 
  112.  
  113. The fifth option, "Files" is used to select in which files F-PROT should
  114. search for viruses.  Most viruses will only infect normal executable
  115. files, (.EXE and .COM files) although some may infect overlay files
  116. as well.  The default operation of F-PROT is just to scan those types of
  117. files, but it is also possible to select "All files" - this is advisable
  118. if you are cleaning up after a virus attack - just to make sure the virus
  119. is not hiding in some obscure overlay file.  It is also possible to specify
  120. a set of file extensions - for example adding .SYS to the default list.
  121.  
  122. If any of the options are changed from their default values, F-PROT will
  123. ask if the changed values should be saved when you exit from the program.
  124. If so, a file named SETUP.F2 will be created.  This does not work if the
  125. program is run from a write-protected diskette, however.
  126.  
  127.                          Starting the virus scan
  128.  
  129. When you have selected the correct options, you may start the scanning by
  130. selecting "Begin Scan" at the top of the menu, either my moving the cursor
  131. there, or just by pressing "B".
  132.  
  133. The small window at the bottom will display the name of the last file
  134. scanned.
  135.  
  136. The scanning can be aborted at any time simply by pressing the ESC key.
  137.  
  138. When the scanning is finished, a summary is displayed.  If no viruses or
  139. suspicious programs were found, it simply says so, but otherwise a
  140. detailed listing is produced when ENTER is pressed.  This listing can be
  141. saved to a disk or sent to the printer.
  142.  
  143. This report may say that a file has been packed by a program such as 
  144. LZEXE, PKLITE, DIET, ICE or EXEPACK and can not be scanned.  This is
  145. generally not a cause for alarm, although a virus can be hidden in a
  146. program by infecting it, and then running one of those file-packing
  147. programs, which create a program which will unpack itself in memory when
  148. executed.  Some virus writers use this method to distribute their viruses,
  149. but generally this only works for the first generation - second (and
  150. later) generation samples of the same virus will not be packed.  The
  151. ability to scan compressed files is not yet included, but will be added in
  152. the near future.
  153.  
  154.                           A note on disinfection
  155.  
  156. When a file has been disinfected it has usually been restored to its
  157. original state before infection.  In many cases the disinfected program
  158. will have 1-15 additional garbage bytes at the end.  Those bytes are added
  159. by viruses, in order to make the length of the program a multiple of 16
  160. bytes, before infection.  As the number of those extra bytes cannot be
  161. determined, they cannot be removed.  Normally they will not have any effect,
  162. unless the program checks its current length.  In those cases it will
  163. report an incorrect length after disinfection, and will have to be restored
  164. from a backup.
  165.  
  166.