home *** CD-ROM | disk | FTP | other *** search
/ Best Objectech Shareware Selections / UNTITLED.iso / boss / util / viru / 004 / fixmbr24.doc < prev    next >
Text File  |  1992-01-27  |  26KB  |  473 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.                                FixMBR v2.4 (gamma)
  7.  
  8.             FixMBR is a combination recovery/integrity management program 
  9.         for  the protection of hard disks. In the case of an Master  Boot 
  10.         Record  infection  FixMBR  may  be used  to  restore  either  the 
  11.         original  Master Boot Record or to rebuild it using  an  original 
  12.         Partition Table taken from either inside the virus or from one of 
  13.         the "hidden" sectors (where most MBR infectors hide them).
  14.  
  15.             According   to   the  latest  (1991)  figures   from   McAfee 
  16.         Associates,  producers  of the popular SCAN, VSHIELD,  and  CLEAN 
  17.         programs,  MBR infecting viruses were the cause of over  half  of 
  18.         all  reported infections. FixMBR is designed to  provide  warning 
  19.         and recovery from such infections.
  20.  
  21.             Additionally, FixMBR also provides for capture/storage of  an 
  22.         off-line   copy  of  the  MBR  sector  that  may  be   used   for 
  23.         reconstruction and capture.
  24.  
  25.             FixMBR  requires no complicated switches and will prompt  for 
  26.         all  necessary information and permissions. Further  FixMBR  will 
  27.         suggest   only legitimate partition tables found in the track   0 
  28.         "hidden" area.
  29.  
  30.             User commands are limited to y(es)/n(o)/q(uit) and  will  be
  31.         requested when appropriate. On  single disk systems  q(uit)  will
  32.         terminate the program. On systems having multiple physical disks,
  33.         q(uit)  will  skip to the next disk. This is useful when the only 
  34.         activity desired is to back-up the original MBR(s).
  35.  
  36.                                  WARNING Message
  37.  
  38.             The only real "caveat"s involve the error checking mechanisms 
  39.         used  by FixMBR. When the program starts, the drive  table(s)  as 
  40.         reported  by  the system is read and these  disk  parameters  are 
  41.         output.  If  the  CMOS (AT class & 386  and  later  machines)  is 
  42.         corrupt due to battery failure or rogue software, the  parameters 
  43.         as reported will probably be different than exist. In this  case, 
  44.         the  program should be q(uit)ed and the CMOS restored to  correct 
  45.         parameters before continuing. 
  46.  
  47.             The other case is if the disk is not completely allocated  to 
  48.         partitions  (rare).  This would occur if FDISK was  not  told  to 
  49.         allocate  all  of  the  disk  to  active,  extended,  or  non-DOS 
  50.         partitions  during the low-level format process. What will  occur 
  51.         is that on partition table display a warning message will appear.
  52.         Should  this  occur, either check the  original  partition  table 
  53.         values to verify entries or look for another table to use  before 
  54.         loading.  In  most  cases  a mismatch  will  indicate  a  corrupt 
  55.         partition table.
  56.  
  57.                                  Other Functions
  58.  
  59.             While  FixMBR  is designed to install the  SafeMBR  code  for 
  60.         detection  of attacks by MBR and partition table viruses,  it  is 
  61.         also designed to allow easy storage and recovery of original  MBR 
  62.         code in the event that the SafeMBR code cannot be used.              
  63.  
  64.                                   Suggested Use
  65.  
  66.             FixMBR   is   best utilized before  infection  or  corruption 
  67.         strikes.   In  this case, run the program, save the original  MBR 
  68.         when  prompted, select the partition table found  in sector  one, 
  69.         and  allow use of the SafeMBR code. It is further suggested  that 
  70.         the saved MBR(s) be copied as .COM file(s) along with the SafeMBR 
  71.         program  to a known clean bootable (restoration) floppy  that  is 
  72.         then write-protected and stored in a safe location. If a  printer 
  73.         is connected, Print-Screen may be used to automatically create  a 
  74.         hard  copy  of  the selected partition table(s)  that  should  be 
  75.         stored with the recovery floppy.
  76.  
  77.                              If an Infection Occurs
  78.  
  79.             In the event of an identified infection (e.g. STONED), simply 
  80.         boot   from the restoration floppy, run FixMBR and  increment  to  
  81.         the sector  in  which the virus stores the real MBR (e.g.  sector  
  82.         7)  then  use  this  to either restore the original MBR  or   use  
  83.         the SafeMBR code.
  84.  
  85.             In the case of an unknown infection, the best bet would be to 
  86.         select   a   partition  table from a sector other   than   sector  
  87.         one 
  88.         following a clean floppy boot.
  89.  
  90.             In  the event that a valid partition table is only  found  in 
  91.         sector   one (e.g. Azusa) then the SafeMBR replacement code  must  
  92.         be   selected  -  again only after a  known  clean  floppy  boot. 
  93.         Alternatively,  the user can use the original MBR stored  offline 
  94.         (see MBR8x.DAT below).
  95.             
  96.             If  used prior to infection, FIXMBR provides for  storage  of 
  97.         the original MBR code offline in separate programs for each disk.
  98.         (physical disks, not partitions). These  programs  will  be named
  99.         MBR80.DAT for the first disk responding, MBR81.DAT for the second
  100.         disk,   etc.   When   renamed with  a   .COM   extension,   these 
  101.         become executable programs that will restore  the  original  MBR.  
  102.  
  103.             It  is very unlikely that a virus will attack the MBR of  any 
  104.         fixed disk other than the first (disk 80) since this is the  only 
  105.         one in which the MBR is executed, however just in case...  FixMBR 
  106.         is designed to operate on ALL physical fixed disks responding  as 
  107.         such and will provide for saving all MBRs found.
  108.  
  109.         WARNING: Since MBR code is generally unique to each PC, execution 
  110.         of these programs  could  cause  serious data loss if executed on 
  111.         a different machine. DO NOT MIX PROGRAMS. If used in a  multiple-
  112.         PC environment, these files should be renamed to identify with  a
  113.         specific machine.
  114.  
  115.         IMPORTANT:  For  FixMBR  to  work properly, it is essential  that 
  116.         any disk caching software (e.g. PC-Kwik) be turned OFF !
  117.  
  118.  
  119.                               Recovery Using FixMBR
  120.  
  121.             Nearly  every  known  MBR infection (with  the  exception  of 
  122.         AZUSA)  will store the original MBR sector in one of  the  hidden 
  123.         sectors  (2-11 on MFM and many "translating" drives, 2-26 on  RLL 
  124.         drives).  For  example, the STONED virus and  its  many  variants 
  125.         store the original MBR in absolute sector 7. Furthermore, so that 
  126.         a  PC  can be booted from a floppy, the partition table  MUST  be 
  127.         found  in absolute sector 1 (see below for a description  of  the 
  128.         MBR and Partition Table). Consequently, every known non-"stealth" 
  129.         virus keep a copy of the P-Table in its own body.
  130.  
  131.  
  132.                          Recovery Using the Original MBR
  133.  
  134.             Since  it  is  often necessary to  boot  "bare"  an  infected 
  135.         machine,  it is recommended that the first step after receipt  of 
  136.         FixMBR be creation of a "recovery" disk.
  137.  
  138.             The  advisability of running FixMBR on a "clean"  system  and 
  139.         saving  the  original MBR to a floppy  cannot  be  overemphasized 
  140.         since  this  is a sure way to recover a system once  failure  has 
  141.         occurred. For this reason more detail is provided.
  142.  
  143.          Step 1: Prepare a bootable  floppy  disk with the same operating
  144.                  system  currently  used. Copy the SYS  program  (may  be 
  145.                  either .COM or .EXE extension) to the disks.
  146.          Step 2: Run FIXMBR  and respond "y" when it asks if you wish  to
  147.                  save the original MBR(s).
  148.          Step 3: With  the  bootable floppy in the A:  drive,  enter  the
  149.                  command: COPY MBR*.DAT A:MBR*.COM
  150.          Step 4: Place   a   write protect tab on the  floppy,  label  it 
  151.                  SafeMBR recovery disk (if you have mor