home *** CD-ROM | disk | FTP | other *** search

---

/ Cream of the Crop 1 / Cream of the Crop 1.iso / VIRUS / SENTRYB3.ARJ / SENTRY03.DOC

< prev

next >

Wrap

Text File  |  1992-07-08  |  12KB  |  388 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.  
10.  
11.  
12.  
13.  
14.  
15.  
16.  
17.  
18.  
19.  
20.                              SENTRY Version 3.0 Beta
21.                 Copyright (C) 1988-1992 by McAfee Associates.
22.                              All Rights Reserved
23.  
24.                        Documentation by Aryeh Goretsky
25.  
26.  
27.  
28.  
29.  
30.  
31.  
32.  
33.  
34.  
35.  
36.  
37.  
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45.  
46.  
47.  
48.  
49.      McAfee Associates                 (408) 988-3832 office
50.      3350 Scott Blvd., Bldg. 14        (408) 970-9727 fax
51.      Santa Clara, CA  95054-3107       (408) 988-4004 BBS (32 lines)
52.      U.S.A.                            USR HST/v.32/v.42bis/MNP1-5
53.                                        CompuServe    GO VIRUSFORUM
54.                                        InterNet  mcafee@netcom.COM
55.  
56.  
57.                               TABLE OF CONTENTS
58.  
59.  
60. SYNOPSIS . . . . . . . . . . . . . . . . . . . . . . . 2
61.   What is SENTRY
62.   System Requirements
63.  
64. AUTHENTICITY . . . . . . . . . . . . . . . . . . . . . 3
65.   Verifying SENTRY
66.  
67. INSTALLATION . . . . . . . . . . . . . . . . . . . . . 4
68.   How to install SENTRY on your system
69.  
70. RE-CONFIGURATION . . . . . . . . . . . . . . . . . . . 5
71.   How to update SENTRY's log file
72.  
73. OPERATION. . . . . . . . . . . . . . . . . . . . . . . 5
74.   How SENTRY works
75.  
76. IF A VIRUS IS FOUND. . . . . . . . . . . . . . . . . . 6
77.   What to do if a virus is found
78.   How to remove partition table, boot, and file viruses
79.  
80. EXTRA PRECAUTIONS. . . . . . . . . . . . . . . . . . . 6
81.   Making a backup copy of SENTRY
82.  
83.  
84.  
85.  
86.  
87.  
88.  
89.  
90.  
91.  
92.  
93.  
94.  
95.  
96.  
97.  
98.  
99.  
100.  
101.  
102.  
103.  
104.  
105.  
106.  
107.  
108.  
109.  
110. SENTRY Version 3.0 Beta                               Page 2
111.  
112. WARNING!
113.  
114.     This product is in BETA test stage only! McAfee Associates is
115. not liable for any damages resulting from the use of this product.
116. The disclaimer of liability for this BETA stage product shall not
117. infer an acceptance of liability for damages for any product that may
118. descend from this BETA product.  Sorry folks, but the lawyers need it!
119.  
120. SYNOPSIS
121.  
122.      SENTRY is a computer virus detection and location program
123. for IBM PC and compatible systems.  The SENTRY installation
124. program creates a log file of the system.  This log file is a
125. snapshot of all system areas that are susceptible to virus
126. attacks.  SENTRY compares the system against its log file using
127. a high speed search algorithm.
128.  
129.      If a virus does enter your system, SENTRY will report the
130. specific system area or program files that have been infected.
131. The VIRUSCAN and CLEAN-UP programs can then be used to determine
132. if it is a known virus and remove it.
133.  
134.      Since SENTRY detects viruses generically, i.e., looking for
135. the changes that a virus must make to infect a system, it works
136. as an 'early-warning' mechanism for corporate environments where
137. rapid distribution of virus-scanning software cannot be easily
138. accomplished or on networked PC's that do not have enough RAM
139. for memory resident programs.
140.  
141.      SENTRY executes in two phases:  An initial install phase and
142. subsequent check phase.
143.      The initial install phase logs the system's hardware and
144. software parameters - including the initial interrupt vector
145. states, master boot record (partition table), boot sector, and
146. all .COM and .EXE program files on the hard disk.  File header
147. information, initial program load instructions, branch
148. addresses, and other information are also logged for each
149. program on the disk.
150.       The subsequent check phase executes when SENTRY is
151. run--each time the system is powered on or rebooted.  SENTRY
152. then checks the system for signs of infection.
153.  
154.      SENTRY is fully effective in detecting all viruses,
155. including partition table and boot sector viruses, file
156. infectors and stealth viruses.  It provides a timely and nearly
157. foolproof indication of infection.
158.  
159.      SENTRY works on any PC with 256Kb or more of memory running
160. DOS 2.11 or above.
161.  
162.  
163.  
164. SENTRY Version 3.0 Beta                              Page 3
165.  
166.  
167. AUTHENTICITY
168.  
169.      SENTRY is packaged with the VALIDATE program to ensure the
170. integrity of the SENTRY.EXE and INSTALL.EXE file.  The
171. VALIDATE.DOC file tells how to use VALIDATE.  VALIDATE can be
172. used to check subsequent versions of SENTRY for tampering.
173.  
174.      The validation results for SENTRY Version 3 should be:
175.  
176.               FILE NAME: SENTRY.EXE       INSTALL.EXE
177.                    SIZE: 30,414             17,962
178.                    DATE: 07-06-1992         07-06-1992
179.     FILE AUTHENTICATION
180.          Check Method 1: 3BFD               792C
181.          Check Method 2: 036C               0622
182.  
183. If your copy of SENTRY differs, it may have been damaged.
184. Always obtain your copy of SENTRY from a known source.  The
185. latest version of SENTRY and validation data can be obtained
186. from McAfee Associates' bulletin board system at
187. (408) 988-4004 or from the Computer Virus Help Forum on
188. CompuServe (GO VIRUSFORUM).
189.  
190.      Beginning with Version 72, all of McAfee Associates'
191. VIRUSCAN series are archived with PKWare's PKZIP Authentic File
192. Verification.  If you do not see an "-AV" after every file is
193. unzipped and receive the "Authentic Files Verified! # NWN405
194. Zip Source: McAFEE ASSOCIATES" message when you unzip the files
195. then do not use them.  If your version of PKUNZIP does not have
196. verification ability, then this message may not be displayed.
197. Please contact us if you believe tampering has occured to the
198. .ZIP file.
199.  
200.  
201.  
202.  
203.  
204.  
205.  
206.  
207.  
208.  
209.  
210.  
211.  
212.  
213.  
214.  
215.  
216.  
217.  
218.  
219. SENTRY Version 3.0 Beta                              Page 4
220.  
221.  
222. INSTALLATION
223.  
224.  
225. NOTE:  The SENTRY installation phase takes a longer amount of
226.        time then the check phase.  This is because SENTRY has
227.        to compute a log entry for each system area.
228.  
229.      SENTRY installs on the primary (bootable) partition of your
230. hard disk drive.  If your system contains multiple hard drives,
231. then they may also be logged by SENTRY.
232.  
233.      To install SENTRY on a system, type:
234.  
235.            INSTALL logfile d1:..d26: [/Q] [/F]
236.                            [/S <pathspec_1>...<pathspec_n>] [/C]
237.                            [/NOI] [/NOB] [/NOP]
238.  
239. Options are:
240.  
241.      'logfile' - Directory path and filename of the SENTRY log
242.                  file to create.  If no name is given, then
243.                  C:\SENTRY3.LOG is used as the default log.
244.  
245.     d1:...d26: - Drives to be logged.  If no drive(s) is
246.                  specified, then C: is used as the default
247.                  drive.
248.  
249.             /C - Perform full cryptographic checksumming of
250.                  files during the installation and check phases.
251.                  If /C is not specified, cryptographic
252.                  checksumming is only performed during
253.                  installation.
254.  
255.             /F - Do not allow user to continue if change is
256.                  found.  If /F is not specified, SENTRY will
257.                  allow the user to continue after changes have
258.                  been reported.
259.  
260.           /NOB - Do not store boot sector check in log.
261.  
262.           /NOI - Do not store interrupt vector check in log.
263.  
264.           /NOP - Do not store partition table check in log.
265.  
266.             /Q - Quiet mode, no messages displayed on the screen
267.                  unless a change is found.  If /Q is not
268.                  specified, then SENTRY will tell which area of
269.                  the system is checking as it runs.
270.  
271.   /S pathspecs - Filename(s) or subdirectory(ies) to skip when
272.                  installing SENTRY.
273.  
274. SENTRY Version 3.0 Beta                              Page 5
275.  
276.  
277.      Once the INSTALL program has started, you will be prompted
278. to remove all floppy disks from the disk drives.  Now you must
279. remove any diskettes from the A: drive and other disk drives.
280. Once the disks have been removed, press any key to continue the
281. installation.  The PC will reboot and SENTRY will create its
282. log file and install SENTRY.EXE as the first program in your
283. AUTOEXEC.BAT file.
284.  
285. NOTE:  SENTRY.EXE MUST REMAIN THE FIRST INSTRUCTION IN YOUR
286.        AUTOEXEC.BAT FILE IN ORDER TO OPERATE CORRECTLY.
287.  
288.      The SENTRY installation process may take 10 minutes or more
289. for systems with large numbers of files - the default check
290. function, however, will execute many times faster.  After the
291. installation has completed, the system will reboot in order to
292. return the system to its state prior to installation.
293.      The SENTRY log file will take approximately 175 bytes for
294. each executable program on the disk(s).
295.  
296.  
297. RE-CONFIGURATION
298.  
299.      SENTRY checks the system for modifications each time the
300. system is powered on or re-booted.  If any system area has
301. changed, SENTRY will flag the changed areas as possibly
302. infected.  The following system modifications will cause SENTRY
303. to issue a warning:
304.  
305.           - Installing a new version of DOS
306.           - Removing or adding a device driver to CONFIG.SYS
307.           - Deleting a program
308.           - Replacing a program with a different version
309.  
310.      If any of the above have occurred, SENTRY will prompt the
311. user for authorization to include the changes in the log file.
312. The log file will be updated to include the system
313. modifications.  This will prevent SENTRY from false alarming
314. during subsequent executions.  To prevent changes from being
315. made to the log file, install SENTRY with the /F switch.
316.  
317.  
318. OPERATION
319.  
320.      The SENTRY check function compares the current state of
321. your system to the original "snapshot" state, checking
322. executable programs on your system for modifications caused by
323. viral infection.  The algorithm is able to do this in a
324. reasonable amount of time due to a selective logging function.
325. This logging function logs only those segments of program code
326. that would be affected by virus attack.  SENTRY also checks the
327. partition table, boot sector, and all system interrupt vectors
328. for modifications.
329. SENTRY Version 3.0 Beta                              Page 6
330.  
331.  
332.      The SENTRY check function executes each time the system is
333. powered on or re-booted.  If a discrepancy in any area of the
334. system is noted, the check function will pause and display a
335. message identifying the system area and the discrepancy.  If no
336. discrepancies are found, the check function will terminate with
337. an OK message.  The check function will require about 10
338. seconds for each 100 executable programs stored on your hard
339. disk.
340.  
341.  
342. IF A VIRUS IS FOUND
343.  
344. NOTE:  When SENTRY reports a virus, note the name(s) of the
345.        infected programs or system areas.  Immediately power
346.        down the system, reboot the system from the original DOS
347.        distribution diskette (or a write-protected copy), and
348.        then run the VIRUSCAN program to identify the virus.
349.  
350.        Before removing a virus, back up any critical files such
351.        as data or source code.
352.  
353.      Partition table infectors modify or replace the hard disk's
354. partition table.  To remove a partition table infector, run the
355. CLEAN-UP virus disinfection program, or use the FDISK command
356. with the undocumented /MBR switch to rewrite the partition table
357. (MS-DOS 5.00 only).
358.  
359.      Boot sector infectors replace or modify a disk's boot
360. sector.  To remove a boot sector infector, run the CLEAN-UP
361. virus disinfection program, or use the SYS command to replace
362. the DOS boot sector.  See your DOS manual for instructions on
363. using the SYS command.
364.  
365.      File infectors modify the beginning instructions of a
366. program.  To remove a file infector, run the CLEAN-UP virus
367. disinfection program, or delete the file and replace it with a
368. clean copy.
369.  
370.      If SENTRY detects an infection, and you have any questions
371. about the program, please contact McAfee Associates or any of
372. our Authorized Agents listed in the AGENTS.TXT file.
373.  
374.  
375. EXTRA PRECAUTIONS
376.  
377.      To prevent any possibility of viral tampering with the
378. SENTRY program and log file, you should copy the SENTRY.EXE
379. and log files from your hard disk to a backup floppy after
380. installation.  Write protect the floppy to prevent it from
381. becoming infected.
382.  
383.  
384. NOTE:
385.    This software uses the RSA Data Security, Inc. MD4 Message-Digest
386.    Algorithm.  The MD4 algorithm is Copyright (C) 1991-2, RSA Data
387.    Security, Inc. Created 1991. All rights reserved.
388.