- Назначение продукта
- Установка BitDefender 8 Professional Plus
- Интерфейс
- Тестирование BitDefender 8 Professional Plus
- Конфигурация тестового компьютера
- Использование программой памяти и загрузка процессора
- Сканирование системы сканером уязвимостей XSpider
- Он–лайн тест брандмауэра
- Атака на тестовую машину по сети
- Тестирование контроля дозвона
- Тестирование блокировки спама
- Тестирование скорости работы постоянной антивирусной защиты
- Тестирование скорости работы антивирусной защиты по требованию
- Вывод
BitDefender 8 Professional Plus предназначен для всесторонней защиты данных от вирусов, спама и обеспечения безопасной работы в сетях. В его состав входят: антивирус, модуль блокировки спама и файрвол. В этом обзоре мы познакомимся с основными возможностями продукта и протестируем скорость и стабильность его работы.
Скачать BitDefender 8 Professional Plus можно на сайте производителя. После заполнения анкеты для закачки доступна демонстрационная версия, которая проработает 30 дней. Размер дистрибутива 14,5 мегабайт. Цена лицензии 50 долларов.
К оглавлениюУстановка BitDefender 8 Professional Plus
Установка выполняется мастером, который в процессе инсталляции задаёт несколько стандартных вопросов. Благодаря тому, что интерфейс мастера полностью русифицирован, установка продукта не вызывает каких-либо затруднений. Следует отметить, что устанавливать можно не все модули (антивирус, антиспам, брандмауэр, обновление), а только некоторые из них, выборочно. Это будет большим плюсом при использовании, например, файрвола или антивируса от другого производителя. На последнем этапе установки мастер предлагает по умолчанию обновить антивирусные базы и проверить системные области на заражение вирусами. Перед перезагрузкой, необходимой для завершения установки, мастер предложит зарегистрировать, купить или продолжить ознакомительное использование BitDefender.
BitDefender 8 Professional Plus интегрируется в Центр безопасности Windows.
После установки BitDefender 8 Professional Plus:
К оглавлениюИнтерфейс
После окончания установки на рабочий стол выводится графический индикатор, показывающий текущую активность сканирования.
Главное окно BitDefender 8 Professional Plus показано на рисунке ниже.
В левой части главного окна расположены ярлыки для переключения между модулями программы, в верхней части - для переключения между настройками активного модуля. В правой части главного окна выводится краткое описание настроек выбранного модуля. В целом, интерфейс оставил очень приятное впечатление: все настройки логично сгруппированы и перейти к любой из них можно в два щелчка мыши.
Общие настройки
Внешний вид окна Общие показан на рисунке выше. На вкладке Состояние выводится суммарная информация о работе BitDefender 8. Здесь же можно быстро выключать или включать модули программы: для этого нужно снять или установить флажок около названия модуля.
На вкладке Регистрация можно узнать срок окончания действия лицензионного ключа и при необходимости установить новый (ввести код).
Вкладка Настройки показана на рисунке ниже.
Назначение настроек понятно из их названий.
На вкладке О программе даны ссылки на сайт BitDefender, Базу знаний и FAQ по продукту.
Антивирус
Внешний вид вкладки настроек антивируса показан на рисунке ниже.
По умолчанию антивирусный монитор включён и следит за всеми возможными путями проникновения вирусов на компьютер. Монитор отслеживает, в том числе, попытки записи в определённые разделы реестра, и если обнаруживает такие попытки, то запрашивает подтверждение у пользователя.
Нажатие кнопки Дополнительно в разделе настроек мониторинга открывает окно, показанное ниже.
Нажатие кнопки Дополнительно в разделе Статистика мониторинга открывает окно с подробной статистикой проверки файлов на вирусы и графиком активности проверки.
На вкладке Сканер можно настроить и вручную запустить проверку определённых объектов или дисков.
В список проверяемых объектов можно добавлять как папки, так и отдельные файлы, причем, для этого не обязательно пользоваться стандартным диалоговым окном открытия файла, а можно перетащить объект мышью прямо в список. Еще более короткий путь проверки файлов или папок - использование контекстного меню, которое вызывается щелчком правой кнопки мыши на объекте.
Настройки ручного сканирования файлов показаны ниже.
Настройки стандартны, можно лишь отметить возможность снижения приоритета процесса сканирования (настройка в самом низу окна). Если отметить этот пункт, то система будет выделять антивирусному сканеру значительно меньше процессорного времени. Таким образом, вручную запущенная проверка будет практически незаметна, и не будет значительно снижать общую производительность системы.
На вкладке Планировщик можно создать и настроить несколько заданий проверки, которые будут автоматически запускаться в определённое время.
Настройки задания стандартны: название, приоритет задачи (по умолчанию установлен низкий), расписание запуска, объекты для проверки, типы файлов, включение или отключение эвристического анализа, действия при обнаружении заражённых объектов и создание отчета. К сожалению, во время создания задания обнаружилась распространённая проблема, связанная с кодовыми страницами.
Как видно из скриншота, названия папок в кириллице отображаются неверно. Чтобы исправить эту проблему, достаточно в реестре, в разделе HKEY_LOCAL_MACHINESYSTEMControlSet001ControlNlsCodePage изменить значение параметра 1252 с c_1252.nls на c_1251.nls и перезагрузить компьютер.
На вкладке Карантин можно просмотреть список всех заражённых файлов, которые были обнаружены антивирусом и помещены в специальную область, где они ожидают решения пользователя об их дальнейшей судьбе. При помощи соответствующих кнопок, файлы, помещенные в карантин, можно безвозвратно удалить, восстановить или отправить в лабораторию BitDefender на исследование. Здесь же можно изменить настройки карантина.
На вкладке Отчеты доступны для просмотра автоматически создаваемые протоколы работы всех модулей BitDefender 8 Professional Plus.
Антиспам
Настройки модуля для борьбы со спамом показаны на рисунке ниже.
Особого внимания заслуживает мастер обучения модуля борьбы со спамом, который автоматически запускается после запуска почтового клиента. Мастер пошагово проводит пользователя по этапам настройки фильтра. На первом шаге настройки он предлагает добавить в список друзей всех получателей из адресной книги. На следующем шаге можно очистить базу антиспам-фильтра, если он работает не совсем корректно, и сконфигурировать его заново. Затем мастер обнаруживает банк сообщений почтового клиента и предлагает указать папку, в которой хранятся письма не являющиеся спамом. 
На следующем шаге мастер попросит указать папку, где хранятся спамовые письма. Затем он проанализирует все письма, хранящиеся в указанных папках, и создаст правила, по которым будут оцениваться в дальнейшем все входящие письма. После того как мастер обучения фильтра завершит свою работу, будет открыт почтовый клиент с новой панелью инструментов. 
Используя кнопки на этой панели инструментов можно пометить письмо как спам, изменить список друзей и спамеров (конкретные почтовые адреса и домены), запустить мастер настройки фильтра и изменить настройки его работы. По умолчанию фильтр помечает письма со спамом как прочитанные и сразу перемещает их в папку «Удалённые».
На вкладке Настройки главного окна BitDefender можно изменить дополнительные настройки модуля для борьбы со спамом.
Брандмауэр (файрвол)
На вкладке Статус, показанной на рисунке выше, собраны общие настройки файрвола BitDefender 8 Professional Plus. По умолчанию брандмауэр включен, и он контролирует доступ программ в сеть и дозвон при помощи модема. Блокировка скриптов и cookies отключена. При помощи соответствующей кнопки можно оперативно заблокировать весь трафик, что бывает нужно сделать при обнаружении нездоровой сетевой активности.
Вкладка Программы предназначена для управления правилами доступа приложений в сеть.
Определённому или любым приложениям можно разрешить или запретить обмен данными с определёнными или любыми портами на определённых или любых серверах по протоколам TCP или UDP. Можно создать правило для исходящего, входящего или обоих видов трафика.
На вкладке Дозвон можно перечислить приложения и номера телефонов, по которым они могут дозваниваться, что позволит пресечь работу диалеров, которые могут без ведома пользователя дозваниваться и устанавливать соединение с определёнными серверами.
Вкладка Скрипт предназначена для создания списка доменов, при посещении которых BitDefender будет блокировать или разрешать загрузку скриптов. Специально созданные скрипты могут быть использованы для сбора данных о пользователе и для заражения его компьютера при посещении сайта, созданного злоумышленником. Имеет смысл сразу после установки BitDefender включить контроль скриптов и создать список надёжных сайтов, скрипты с которых не будут блокироваться.
Последняя вкладка cookies предназначена для создания такого же списка, что и вкладка Скрипт, с той лишь разницей, что на этой вкладке блокируются cookies. Cookies - это небольшие текстовые файлы, которые создаются и сохраняются на компьютере пользователя при посещении им сайтов. Они хранят определённую информацию (логин и пароль, например), что снимает с пользователя необходимость вводить эти данные при каждом посещении сайта, но, в тоже время, cookies позволяют с легкостью определить, какие сайты посещал пользователь и при самом неблагоприятном стечении обстоятельств злоумышленник может узнать персональную информацию пользователя, хранящуюся в cookies.
Обновление
На вкладке Обновление можно просмотреть доступные для загрузки с сайта BitDefender обновления баз и модулей и загрузить их. На вкладке Настройки указываются настойки автоматического обновления.
К оглавлениюТестирование BitDefender 8 Professional Plus
Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании
- Celeron Tualatin 1000A на шине 133, то есть частота процессора 1333 мегагерца.
- Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
- 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
- Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
- Windows XP Pro Rus Service Pack 2.
- Сканер уязвимостей XSpider 7
- Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
- Internet Explorer 6.0.2900.2180.
- Outlook Express 6.0.2900.2180.
- Process Explorer от Sysinternals.
- Утилита для замера времени копирования файлов.
- Утилита PCAudit2.
Использование программой памяти и загрузка процессора
В ходе тестирования BitDefender 8 Professional Plus при помощи Process Explorer регулярно снимались показания об объеме занятой процессами программы памяти и о загрузке ими процессора. Результаты приведены в таблице ниже.
| Момент снятия показаний | Объем занятой памяти | Загрузка процессора | |
Физическая память (килобайт) | Виртуальная память (килобайт) | ||
После загрузки ОС, настройки по умолчанию, простой, все процессы | 44 136 | 31 376 | 0% |
Настройки по умолчанию, сканирование XSpider, все процессы | 44 148 | 31 328 | 0%–2% |
Настройки по умолчанию, ICMP–флуд в течение 5 минут, все процессы | 44 204 | 31 400 | 67%–90% |
Настройки по умолчанию, IGMP–флуд в течение 5 минут, все процессы | 44 368 | 31 264 | 5%–100% |
Настройки по умолчанию, SYN–флуд в течение 5 минут, все процессы | 44 376 | 31 272 | 39%–64% |
Настройки по умолчанию, UDP–флуд в течение 5 минут, все процессы | 44 379 | 31 268 | 6%–100% |
Копирование 1Gb папки, все процессы | 45 736 | 32 082 | 32%–100% |
Проверка раздела с 15–ю гигабайтами информации, все процессы | 45 864 | 36 984 | 25%–100% |
BitDefender можно закрыть, щелкнув правой кнопкой по значку программы в трее и выбрав Выход. При этом из памяти выгружается лишь один процесс, а BitDefender продолжает работать и занимает примерно 33 мегабайта физической и 25 мегабайт виртуальной памяти.
Сканирование системы сканером уязвимостей XSpider
Тестовая машина была просканирована сканером уязвимостей XSpider до и после установки BitDefender. Результаты сканирования показаны ниже.
До установки BitDefender, XSpider обнаружил две серьезные уязвимости, используя которые злоумышленник может атаковать незащищённую систему. Описания уязвимостей от XSpider:
Обнаружена уязвимость в реализации TCP/IP стека, связанная с обработкой ICMP сообщений. Удаленный пользователь может послать специально сформированные ICMP сообщения, что может привести к сбросу всех активных TCP соединений, а так же в некоторых случаях к потреблению большого количества системных ресурсов и в результате к отказу в обслуживании (DoS-атака).
Уязвимость присутствует в алгоритме обработки ICMP сообщений "Source Quench" и "Destination Unreachable".
Данной уязвимости подвержены многие сетевые OS и многочисленное сетевое оборудование от различных производителей.
Рекомендация от XSpider по устранению этой уязвимости: Фильтруйте ICMP сообщения "Source Quench" и "Destination Unreachable" или установите обновления от производителя.
Описание второй уязвимости: Обнаружена уязвимость в Microsoft Server Message Block (SMB), которая позволяет удаленному пользователю выполнить произвольный код на целевой системе.
Уязвимость существует из-за некорректной обработки входных SMB пакетов. Удаленный пользователь может с помощью специально сформированного SMB пакета выполнить произвольный код на целевой системе.
Рекомендовано следующее решение проблемы: Установите обновление http://www.microsoft.com/technet/security/Bulletin/MS05-027.mspx.
Затем на тестовую машину был установлен BitDefender и система просканирована при помощи XSpider еще раз. Результат показан на рисунке ниже.
Таким образом, файрвол закрыл первую уязвимость, но порт 445 остался открытым. Помимо этого, BitDefender открывает порт 10110, но ограничивает доступ к нему. То, что файрвол оставил 445 порт открытым и не скрыл машину в сети, весьма странно. К сожалению, мне не удалось найти какой-либо информации по этому вопросу ни в документации, ни на сайте разработчика. В настройках брандмауэра нет никаких тонких настроек, например, невозможно разрешить ответ по ICMP только определённому хосту.
Следует отметить, что правила приложений обрабатываются снизу вверх, а не сверху вниз, как у большинства аналогичных продуктов. Например, если создать два правила, одно - запрещающее, а другое разрешающее браузеру устанавливать соединения с любыми серверами, то браузер не сможет установить соединение, если запрещающее правило будет внизу. Если внизу будет разрешающее правило, то браузеру будет позволено установить соединение.
Он–лайн тест брандмауэра
Для тестирования файрвола BitDefender на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
BitDefender не смог пресечь отправку данных. Утилита перехватила введенный в Блокноте текст и попыталась установить соединение со своим сервером от лица Проводника. Поскольку, Проводнику в интернете делать нечего, то эта попытка была пресечена (в запросе BitDefender была нажата кнопка Нет). Затем утилита начала перебирать все работающие приложения, пытаясь установить соединение со своим сервером от их лица. BitDefender обнаруживал эти попытки установить соединение и выводил запросы. На все запросы был дан отрицательный ответ. Далее, утилита, видимо, установила соединение со своим сервером от лица одного из работающих системных процессов, о чем проинформировала на открывшейся странице со скриншотом рабочего стола и со всеми собранными данными.
Контроль за скриптами и cookies работает нормально.
Атака на тестовую машину по сети
Для выполнения этого теста была использована утилита, которая использует всю пропускную способность канала для направления на атакуемую машину большого потока данных различного типа по разным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных условиях.
Результаты тестирования приведены в таблице в разделе Использование программой памяти и загрузка процессора.
Тестирование не выявило каких-либо аномалий в поведении сервисов BitDefender во время атаки. Загрузка процессора в некоторых тестах (см. таблицу с результатами) достигала значений в 100%, и ощущалось значительное падение производительности системы. Объем занятой сервисами BitDefender памяти не изменялся.
Тестирование контроля дозвона
BitDefender 8 Professional Plus обнаруживает попытки программ дозвониться при помощи модема, перехватывает эти попытки и выводит запрос к пользователю.
В ходе тестирования было обнаружено, что если во время загрузки компьютера модем был выключен (внешний US Robotics на COM-порту), то после загрузки компьютера, включения модема и обнаружения его системой, BitDefender не контролирует попытки дозвона. Если перезагрузить компьютер с включенным модемом, то контроль дозвона работает корректно.
Тестирование блокировки спама
При тестировании модуля для борьбы со спамом был использован реальный спам, который приходил на один из почтовых ящиков автора. Настройки модуля для борьбы со спамом были оставлены по умолчанию. Почтовый клиент был с пустыми базами, поэтому обучить спам-фильтр было не на чем.
После первой проверки почты, как того и следовало ожидать, спам-фильтр не переместил ни одного письма в папку Удалённые. Весь пришедший спам был вручную помечен как спам при помощи кнопки Спам на новой панели инструментов в почтовом клиенте. Уже следующее полученное спамовое письмо было корректно опознано фильтром, помечено как прочитанное и перемещено в папку Удалённые. Я полностью скопировал текст одного из спамовых писем, его тему и отправил на тестовый аккаунт. Антиспам Яндекса, на котором находится тестовый почтовый ящик, пометил отправленное мной письмо как спам, но, не смотря на это, антиспам фильтр BitDefender не среагировал на провокацию и поместил письмо в папку Входящие.
Таким образом, эффективная работа спам-фильтра возможна только после достаточно продолжительного его обучения или при обучении фильтра по полным почтовым базам, содержащим как важные письма, так и спам, причем, они должны находиться в разных папках.
Тестирование скорости работы постоянной антивирусной защиты
Для тестирования скорости работы постоянной антивирусной защиты использовалась специально написанная для этого утилита, которая копирует из одного места в другое папку, замеряя время, потраченное на копирование. Для копирования была подготовлена папка, содержащая копию рабочей Windows 2000. Размер папки был подогнан до 1 гигабайта. По окончании копирования папка–получатель очищалась. Результаты тестирования приведены в таблице ниже. Объем использованной сервисом антивируса памяти приведен в таблице в разделе Использование программой памяти и загрузка процессора.
| Настройки | Время копирования папки | |
Первое копирование | Повторное копирование | |
BitDefender не установлен | 1 мин. 49 сек. | 1 мин. 42 сек. |
Настройки по умолчанию (проверка всех файлов) | 3 мин. 57 сек. | 3 мин. 31 сек. |
Проверка только программ | 3 мин. 09 сек. | 3 мин. 12 сек. |
Проверка всех файлов, кроме упакованных | 3 мин. 30 сек. | 3 мин. 27 сек. |
Тестирование скорости работы антивирусной защиты по требованию
Антивирусом проверялся раздел FAT32 размером 17 гигабайт, на котором находилось 15 гигабайт информации (копия Windows 98, программы, архивы, дистрибутивы, документы и т.д.). Объем использованной сервисом антивируса памяти приведен в таблице в разделе Использование программой памяти и загрузка процессора, а время сканирования при различных настройках проверки по требованию – в таблице ниже.
| Настройки | Время проверки |
Настройки по умолчанию (все объекты, эвристика) | 13 мин. 36 сек. |
Все объекты, без эвристики | 13 мин. 05 сек. |
Все объекты, без эвристики, почтовых баз и архивов | 8 мин. 10 сек. |
Только программы, без эвристики, почтовых баз и архивов | 3 мин. 21 сек. |
Антивирус информирует о невозможности проверить защищённый паролем архив и работает с RAR-архивами.
К оглавлениюВывод
BitDefender 8 Professional Plus радует простотой и продуманностью интерфейса. Справочная система полно описывает все настройки продукта. Антивирус надёжно защищает систему от проникновения вирусов. Фильтр для борьбы со спамом интеллектуален и после обучения способен практически полностью избавить от нежелательной корреспонденции. Несколько вопросов вызвала работа файрвола, который не скрывает машину в сети и оставляет открытым порт 445, что может быть использовано для атаки на машину.
