home *** CD-ROM | disk | FTP | other *** search
/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d23 / sentry.arc / SENTRY.DOC < prev    next >
Encoding:
Text File  |  1989-04-11  |  8.1 KB  |  195 lines
  1.                           SENTRY
  2.                       USER'S MANUAL
  3.  
  4. HOW IT WORKS:
  5.  
  6.      SENTRY is a computer virus detection system that catches
  7. viruses that have entered your system.  It uses a high
  8. reliability detection mechanism that monitors all system areas
  9. that are susceptible to viral attacks.  If a virus does enter
  10. your system, SENTRY will identify the specific system area or
  11. program files that have been infected, so that virus removal is
  12. simplified.
  13.      SENTRY executes in two phases.  The initial install phase
  14. logs the system's hardware and software parameters - including
  15. the initial interrupt vector states, boot sector instructions,
  16. hidden DOS files, device drivers and all executable code on the
  17. hard disks.  Initial load instructions, branch addresses, and
  18. other program states are also logged for each program on the hard
  19. disk.  The subsequent check phase executes each time the system
  20. is powered on or re-booted, and it checks all system parameters
  21. for traces of infection.
  22.      SENTRY is fully effective in detecting viruses, including
  23. boot sector infectors and imbedded viruses (viruses that the
  24. leave the infected program's size and external indicators
  25. unchanged).  It provides a timely and near foolproof indication
  26. of infection.  
  27.  
  28. INSTALLATION:
  29.  
  30.      SENTRY must be installed on your bootable hard drive.  If
  31. your system contains multiple hard drives, they may also be
  32. included in the SENTRY logging and monitoring function.  To
  33. install SENTRY on a system with one hard drive (C:), type:
  34.  
  35.                STINSTAL C:
  36.  
  37.      SENTRY will load and then display a message that it is going
  38. to automatically re-boot the system.  At this point, you must
  39. remove diskettes from the A drive and any other floppies that are
  40. in any drives.  When the floppies have been removed, press any
  41. key to allow SENTRY to begin installation.
  42.      If you have more than one hard drive in your system, you
  43. should include them in the installation by typing the drive
  44. designations after the boot drive.  For example:
  45.  
  46.                INSTALL C: D: E:
  47.  
  48. would install C: as the boot drive and also include D: and E: as
  49. drives to be logged and monitored for viral infections.
  50.      The SENTRY installation will re-boot your system and then
  51. begin its logging function.  It will create a log file called
  52. SENTRY.LOG and store it at the root of your boot disk.  It will
  53. then install the SENTRY check routine at the root of your boot
  54. disk and include it as the first program in your autoexec.bat
  55. routine.  SENTRY.COM MUST REMAIN THE FIRST INSTRUCTION IN YOUR
  56. AUTOEXEC IN ORDER TO OPERATE CORRECTLY.
  57.      The SENTRY installation process may take 10 minutes or more
  58. for systems with large numbers of files - the daily check
  59. function however, will execute many times faster.  After the
  60. installation has completed, the system's autoexec file will be
  61. re-executed in order to return the system to its state prior to
  62. installation.
  63.      The SENTRY.log file will take approximately 10K of disk
  64. space plus 100 bytes for each executable program on the disks.
  65.  
  66. RE-INSTALLATION
  67.  
  68.      SENTRY monitors the system each time the system is powered
  69. on or re-booted and checks for modifications to key system
  70. parameters.  If the system has been purposely modified, SENTRY
  71. may flag the changed areas as possibly infected.  The following
  72. system modifications will cause SENTRY to issue a warning:
  73.  
  74.           - Installing a new version of DOS
  75.           - Removing or adding a device driver to CONFIG.SYS
  76.           - Deleting a program
  77.           - Replacing a program with a different version
  78.      
  79.      If any of the above have occurred, SENTRY should be re-
  80. installed.  To re-install, follow the same instructions as for
  81. initial installation.  The original SENTRY.LOG file will be
  82. replaced with the new log file containing the new system data.
  83.  
  84. OPERATION
  85.  
  86.      The SENTRY check function compares the ongoing state of your
  87. system to the original "snapshot" state.  A copyrighted
  88. algorithm checks ALL executable programs on your system for viral
  89. modifications.  The algorithm is able to do this in a reasonable
  90. amount of time due to a selective logging function.  This logging
  91. function logs only those segments of program code and other
  92. variables that would be affected by any virus attack.  "Inert"
  93. sections of programs are removed from the checking process. 
  94. SENTRY also checks the entire boot sector and all system
  95. interrupt routines for modifications.  Finally, system device
  96. drivers and operating system hidden files are checked.
  97.      The SENTRY check function executes each time the system is
  98. powered on or re-booted.  If a discrepancy in any area of the
  99. system is noted, the check function will pause and display a
  100. message identifying the system area and the discrepancy.  If no
  101. discrepancies are found, the check function will terminate with
  102. an OK message.  The check function will require about 10 seconds
  103. for each 100 executable programs stored on your hard disk.  
  104.  
  105.  
  106. IF A VIRUS IS FOUND
  107.  
  108. Important: If any virus is discovered by SENTRY, first note the
  109. names of the infected programs or system areas.  Then immediately
  110. power down the system.  Re-boot the system from the original DOS
  111. distribution diskette prior to attempting to remove the virus.
  112.  
  113.      There are three general classes of PC viruses: Boot
  114. infectors, system infectors and program infectors.  Each class of
  115. virus will typically affect different areas of the system and
  116. require different approaches to removal.
  117.      Generally, viruses can be removed by deleting or overwriting
  118. the affected portion of the disk, and replacing the infected
  119. component.  For program infectors (viruses that infect general
  120. .COM or .EXE files), this is a fairly simple process.  SENTRY
  121. will identify each program that has been infected (program size,
  122. date, or internal components have changed).  Simply erase the
  123. infected programs and replace them from the original distribution
  124. diskettes.
  125.      Boot infectors replace or modify a disk's boot sector. 
  126. SENTRY will identify an infected boot sector with a "Boot Sector
  127. Infection" message.  This type of virus requires that the boot
  128. sector be replaced using the DOS "SYS" command.  See your DOS
  129. manual for instructions for the SYS command.
  130.      System infectors attach to COMMAND.COM, IBMBIO.COM,
  131. IBMDOS.COM or any installable device drivers.  SENTRY will
  132. identify such viruses by naming one of the above files or by
  133. specifying that the system interrupt vectors have changed.  To
  134. remove this type of virus, erase the affected files, then perform
  135. a SYS command as above.  Finally, replace any affected device
  136. drivers.
  137.      In all of the above cases, re-install SENTRY after virus
  138. removal.
  139.  
  140. If SENTRY detects an infection, and you have any concerns or
  141. questions, contact InterPath at the number and address at the end
  142. of this document.
  143.  
  144. EXTRA PRECAUTIONS
  145.  
  146.      To prevent any possibility of viral tampering with the
  147. SENTRY program and log file, you should copy the files SENTRY.COM
  148. and SENTRY.LOG from the root of your boot disk to a backup floppy
  149. immediately after installing SENTRY.  Periodically (each month or
  150. so) you should copy these two files from the floppy back to the
  151. root of your boot disk.
  152.       
  153.  
  154.  
  155. FOR ADVANCED USERS
  156.  
  157.      SENTRY defaults to a global scan a check of all system
  158. components.  You may however, restrict its operation in a number
  159. of areas:
  160.  
  161.  
  162. Using the /s option:
  163.  
  164.      STINSTAL c: /s d:\temp, d:\masm, c:\prod
  165.  
  166.      This command string would install SENTRY so that it ignored
  167. all activities in the three directories named.
  168.  
  169. Using the /i option:
  170.  
  171.      STINSTAL c: d: /i
  172.  
  173.      This command string would install SENTRY on drives D: and C:
  174. and would instruct SENTRY to ignore any modifications in the
  175. interrupt vectors caused by changes in the operating system
  176. environment.  If you frequently modify your config.sys files, or
  177. change out system device drivers you may want to use this option.
  178.  
  179. Using the /b option:
  180.  
  181.      STINSTAL c: /b
  182.  
  183.      This option tells SENTRY to ignore boot sector logging.  You
  184. must use this option if running on a Zenith laptop.
  185.  
  186. Using the /L option:
  187.  
  188.      STINSTALL c: /L a:frog.log
  189.  
  190.      This option creates a second log file.
  191.  
  192.  
  193.  
  194.  
  195.