home *** CD-ROM | disk | FTP | other *** search
/ Club Amiga de Montreal - CAM / CAM_CD_1.iso / files / 148.lha / Guardian_v1.2 / README < prev   
Encoding:
Text File  |  1980-11-15  |  10.6 KB  |  216 lines
  1. ************************************************************************
  2. *                            GUARDIAN v1.1                             *
  3. *                        Antivirus Bootstrap                           *
  4. *  Copyright 1988 by Leonardo Fei, via A. Fava 6, 20125 Milano, Italy  *
  5. *                                                                      *
  6. *  IMPORTANT NOTE: This program is freely copyable and distributable.  *
  7. *  It is NOT Public Domain.    All rights are reserved by the author.  *
  8. *  You may give copies of this program to anyone you wish but you may  *
  9. *  not sell it.    This program is NOT to be published on any Italian  *
  10. *  'magazine+disk', not even as a 'sample' or 'demo'.                  *
  11. *                                                                      *
  12. ************************************************************************
  13.  
  14. Guardian is an antivirus program I wrote on impetus in a few days, after
  15. I discovered that a new virus had infected most of my disks.
  16.  
  17. Guardian does not steal even a single cycle of the machine's time, 
  18. because it's called only during boot.
  19.  
  20. While the other antivirus programs are tuned on a particular version or
  21. family of viruses, Guardian recognize any not-standard bootblock.  With
  22. 'standard bootblock' I mean a bootblock created by the Workbench INSTALL
  23. command.  This standard bootblock is contained into the Guardian code.
  24.  
  25. Guardian installs itself in place of the bootstrap module, and examine
  26. the contents of each bootblock by comparing it with the standard one,
  27. BEFORE it is actually executed.
  28.  
  29.  
  30. "WARNING !!! - THIS IS NOT A STANDARD BOOTBLOCK !!!"
  31. ----------------------------------------------------
  32.  
  33. If the bootblock code differs even by a single byte, an alert is
  34. displayed to warn the user of the possible threat contained in the
  35. bootcode, and an ASCII view of the suspect bootblock is given, to help
  36. you in recognizing it.  You may recognize a virus by text strings such
  37. as 'SCA!SCA!SCA!' or 'VIRUS BY BYTE BANDIT', but remember that there are
  38. also anonymous viruses around, without a single message into them. 
  39. So, always be very careful, even when you don't see these text strings.
  40.  
  41. The user can choose to regardless give control to the loaded bootblock, 
  42. or to execute the standard one contained into the Guardian code.
  43. The opportunity to execute the loaded bootcode is given because there
  44. are several not-standard bootblocks that actually don't contain viruses. 
  45. These are boot-intros, fast loaders, boot-menus and other custom
  46. bootblocks, which you can find on commercial and not-commercial disks.
  47. You'll need to execute them, if you want those disks to work properly.
  48.  
  49. If you decide to give the control to the loaded bootblock, the
  50. screen color will become red, to remind you that you've chosen the
  51. dangerous way.  A copy of ExecBase is made before actually executing the
  52. bootcode, and after the control is returned from the bootcode to
  53. Guardian, this copy is compared to the current ExecBase.  
  54.  
  55.  
  56. "WARNING !!! - ExecBase was altered by bootcode !!!"
  57. ----------------------------------------------------
  58.  
  59. If they differ even by a single byte, an alert is displayed, and you can
  60. decide to restore the old copy of ExecBase into its place, overwriting
  61. the changes made by the bootcode.  If you get this alert, you could
  62. have executed the 'BYTE BANDIT' virus.  Restoring the old
  63. ExecBase will overwrite the changes made to the Vertical Blanking
  64. Interrupt vector by the virus, and also its entry in the Resident
  65. Modules table.  This way, the virus won't freeze the machine (because it
  66. has been removed from VBlanking interrupt) and won't survive next reset
  67. (because its ResModules entry has been removed).  But there is still a
  68. problem.  During its execution time, this virus alters the trackdisk
  69. device library's offset table, so that the virus itself will be called
  70. each time the computer accesses a new disk (each time there's a 
  71. read/write command starting from block 0).  So you'll still get your
  72. disk infected by simply inserting them into any drive.  To solve this
  73. problem you can simply reset the machine.  This will force the offset
  74. table to be rebuilt, and since the virus has been removed from the
  75. ResModules table, it will be flushed completely from memory.  
  76.  
  77. The old 'SCA' virus will also cause this alert to appear, because it
  78. changes the contents of the CoolCapture vector, which is contained in
  79. the ExecBase.  Simply restoring the old ExecBase will completely remove
  80. this virus, and no further action is required.
  81.  
  82. If you choose not to restore the old ExecBase, Guardian could be removed
  83. from the ResModules table ('BYTE BANDIT' virus will surely do it, while
  84. 'SCA' one will pacifically cohabit) and you would be responsible of what
  85. could happen later.
  86.  
  87.  
  88. "WARNING !!! - THIS IS NOT A STANDARD BOOTBLOCK !!!"
  89. ----------------------------------------------------
  90.  
  91. If you choose not to give the control to the loaded bootblock, the
  92. screen color will become white as usual, and you are given the
  93. opportunity of installing the disk with the standard bootblock.  
  94.  
  95.  
  96. "Shall I replace IT with a STANDARD BOOTBLOCK ?"
  97. ------------------------------------------------
  98.  
  99. If the bootblock contains a virus, you should use this opportunity to
  100. replace it with the standard one.
  101.  
  102. ************************************************************************
  103.  WARNING!  Do not install the original disk, unless you have a backup
  104.  copy or unless you are absolutely sure of what you are doing.  Some
  105.  commercial programs come with a not-standard bootblock (fast-load,
  106.  intros, etc.) and you may be no more able to use those disks/programs
  107.  once that the original bootblock is overwritten with the standard one. 
  108. ************************************************************************
  109.  
  110.  
  111. "Disk is write-protected.  Shall I retry ?"
  112. -------------------------------------------
  113.  
  114. An additional alert is displayed if the disk is write protected.
  115.  
  116.  
  117. Load and use of Guardian
  118. ------------------------
  119.  
  120. Again, the best thing to do is to use this ** SAFE ** disk for the first
  121. boot, just after the computer is turned on (and after the Kickstart disk
  122. has been loaded into the A1000, of course !), before inserting ANY other
  123. boot disk into the internal drive.  If you NEVER remove this disk's
  124. write protection, you'll be sure that NO virus can place itself here,
  125. and when you are in doubt about any of your boot disks, you'll just have
  126. to turn off and on the computer and use this disk first.  There had been
  127. rumours about some new virus, writing also on write protected disks. 
  128. That's definitely NOT POSSIBLE.  The last word about write protection is
  129. left to the floppy drive itself, and there's no way to fool it.  It is
  130. possible to force the computer (the software) to believe the disk is not
  131. write protected.  This way you could 'perform' write operations on write
  132. protected disks, and the drive would behave as if it were actually
  133. writing on those disks, but at the end you would find their contents
  134. unchanged.  This would let you do some innocent jokes, but nothing else.
  135.  
  136. After you've removed the viruses from your disks, you could copy
  137. Guardian into their C directories, and call it from their 
  138. startup-sequences.
  139.  
  140. Guardian should be launched in the first place of the startup-sequence,
  141. because of its unusual method of initialization.  When it's called, it
  142. looks in the ResModules table to see if it's already there.  If this is
  143. not true (such as if it's launched for the first time), Guardian
  144. installs itself in memory and reset the machine, to force the reset code
  145. to build the ResModules table again.
  146.  
  147. From now on, you don't need to launch Guardian again, because it's
  148. mounted in a Resident Module, and therefore the reset code takes care of
  149. it, through reset and system crashes.  Guardian will survive any number
  150. of them, until the machine is forced to do a cold-start, or until a
  151. malfunctioning program trashes its memory area.  A label on the boot
  152. screen will inform the user whether and which version is currently
  153. installed.
  154.  
  155. When Guardian is launched and finds itself in the ResTable, it outputs
  156. an announcement in the initial cli and exits smoothly.
  157.  
  158. Guardian installs itself in a 'kind' way, saving the vectors that KickTagPtr
  159. and KickMemPtr may contain, but can't distinguish between a good and a bad
  160. boy.  Thus, I suggest that you launch Guardian as soon as you turn your
  161. computer on, before any virus has the chance of installing itself into your
  162. memory.  
  163.  
  164. To give viruses no chance at all, I've written Guardian v1.1r, which is
  165. installed into the Kickstart disk directly by the Creator program,
  166. in place of the never-used Debug() function (use it on a COPY of your
  167. original KS 1.2 disk!).  If you own an A1000, I strongly suggest to use
  168. v1.1r, instead of v1.1, because of two major benefits:  
  169. 1) it's in the Kickstart disk, so you don't need to place it anywhere else. 
  170. 2) it's active BEFORE ANY bootable disk is used, so it's SAFEST.
  171.    There is no chance it can be fooled by an already active virus, so you 
  172.    don't need to care about the disk you are using for the first boot.
  173.    The only way to 'fool' it, is by passing control (execute the code) to a
  174.    virus bootblock ('byte bandit' virus, for example).
  175.    So, always be sure of what you are doing when you decide to give control
  176.    to a suspect bootblock, especially when you get the alert of the 'altered
  177.    ExecBase'.
  178. The only drawback is that Exec function Debug() no longer exists.
  179. If you call this function, the computer will reset.
  180.  
  181. In Guardian v1.1r I've used the memory space of the "AMIGA WORKBENCH" text,
  182. on the disk label in the 'hand+disk' bootscreen, for the Guardian label. 
  183. Since I hardly boot with the original 'Workbench' disk, I didn't shed a
  184. single tear for this change.  8-)
  185.  
  186. Version 1.1 of Guardian was developed to work on A500/1000/2000, (version 
  187. 1.1r works on A1000 only), with release 1.2 of Kickstart (v33.180).
  188.  
  189.  
  190. *** July 14th, 1988 change to this instruction file
  191. ---------------------------------------------------
  192.  
  193. I used to ask for a small contribution at this point.  Please consider this
  194. version of the program absolutely free of any charge.  If you want to
  195. support further developments of this program, please note that version 1.2
  196. and 1.2r (sorry, no more freely copyable and redistributable) are already
  197. available from the author or from Transactor (UK) (and shortly also from
  198. Transactor Pub., Canada) at the cost of a Public Domain disk, which is 8000
  199. italian lire, 3 english pounds or 6 USD.  
  200.  
  201. Guardian v1.2 has been greatly enhanced, both in terms of security and of
  202. versatility.  You'll find more infos about version 1.2 in the "New12.doc"
  203. file in this directory.
  204.  
  205. If you have any comment or suggestion, please let me know what you think.
  206. Thanks!
  207.  
  208.  
  209. Leonardo Fei
  210. via A. Fava 6
  211. 20125 Milano
  212. Italy 
  213.  
  214. BIX: LFEI
  215.  
  216.