全面测评Bitdefender 2009

wangfuxin

电爱首发

BitDefender来自罗马尼亚的老牌杀毒软件
1、拥有超过322万超大病毒库——小红伞也只有100多万 当然不同反病毒机制对应不同的入库方式，是不好相互比较的
2、强大的反病毒引擎以及互联网过滤技术——小红伞拥有优秀的启发式杀毒引擎，BitDefender也是靠启发吃饭，效果如何还看疗效
3、独有的游戏模式和文件保险箱——感觉有点噱头，不就是内置白名单和限制文件读取吗？ 可能玩游戏的朋友会比较方便些，不用像卡巴一样大量添加信任区域了。

特色还是不少，界面比较人性化，几乎不需要额外的设置。但是居然不可以完全退出，郁闷至极点了。。。

首先是大家关注的系统资源占用情况：

常驻进程4个，分别是守护程序bdagent.exe、监控程序vsserv.exe、升级程序livesrv.exe和安全中心seccenter.exe；


启动服务4个，可以看到服务BitDefender Thread Scanner调用svchoost，需要手动启动；



加载驱动1个，挂钩ssdt仅监控NtOpenProcess、NtOpenThread和NtTerminateProcess，即创建进程线程和结束进程；



这点也可以看出BitDefender是没有主防

安装前的内存使用情况：



安装后的内存使用情况：


所占静态内存250MB左右

扫描时的CPU使用率和内存使用情况：


点评：从上面数据来看，BitDefender的资源占用中规中矩，虽不及小红伞和NOD32精悍，但优于卡巴。启动扫描时，资源占用剧增而且时间也较长。总体来说，虚拟机下能比较流畅的浏览网页，相信主流配置都能轻松满足！

[ 本帖最后由 wangfuxin 于 2009-6-17 15:43 编辑 ]

wangfuxin

其次介绍杀软界面和设置：

1、建议切换到高级试图，方便设置；


2、反病毒一栏启用行为扫描程序；


3、隐私保护打开注册表监控；

主要保护一些关键注册表项和键值，触犯了弹出交互框


4、防火墙规则重要还是自学习模式；


注意勾上最后一项，可以与防火墙联动，自动配置防火墙策略

很惊讶的发现：可以根据协议类型，通信出口与入口等，自定义规则！想起了我的Look'n'stop，但其更复杂可以监控dll，定义碎片偏移和标识等


5、比较特色的漏洞检测和游戏模式，更人性化；



6、打开设置，如图启用相关的保护。网页上会显示按钮，是开启了实时反欺诈反钓鱼保护！


点评：界面人性化，组件齐全，默认设置完整。对于新手来说，方便上路

[ 本帖最后由 wangfuxin 于 2009-6-17 13:45 编辑 ]

wangfuxin

然后我做了一些测试，主要是针对BitDefender防火墙：



EICAR发布的一种测试文件，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。只是测试杀毒软件是否在正常工作，而不是评测杀毒能力的强弱。

八个项目全部通过，而且比较灵敏！

1、防泄漏测试：


2、互联网不可见：


3、溢出漏洞测试：

点评：仅仅是传统意义下的防火墙，对于防泄漏测试是相当脆弱的。但基本做到互联网隐身，能够防御常见的拒绝服务攻击，作为非专业防火墙够用

[ 本帖最后由 wangfuxin 于 2009-6-17 15:08 编辑 ]

wangfuxin

下面我们再来看看它的自保护能力

1、结束进程
在Windows任务管理器中，试着结束BitDefender的进程，但是没有成功


但是当我使用冰刃进行结束进程测试，很轻松的结束掉了杀软的所有进程。


2、停止服务
管理工具打开服务列表，守护程序对应的服务是暗色显示，不能中止服务


也不能调整服务启动类型


3、SSDT恢复
使用冰刃居然都轻松的恢复了！这样杀软已经无法监控新进程和线程的创建。


4、删除文件
直接删除当然不行，强制删除并不困难。



点评：上述测试，仅通过一个 没有对很多重要API的挂钩！只能说BitDefender 2009的自我保护能力是相当脆弱的，还需努力改进。

[ 本帖最后由 wangfuxin 于 2009-6-17 15:14 编辑 ]

wangfuxin

516个病毒大包检测杀毒能力

样本下载地址：http://www.brsbox.com/filebox/down/fc/a583825f437e965e9e1d3c071fc4bc7c




测试结果：
Bitdefender 2009 剩余24个
Kaspersky 2009  剩余23个
点评：可以看出Bitdefender不俗的杀毒能力，其中有300多个可以通过启发式分析查出 这是难能可贵的，它不怎么依赖于病毒库，加强了对新变种病毒的侦测能力。

[ 本帖最后由 wangfuxin 于 2009-6-17 15:36 编辑 ]

wangfuxin

经典病毒实机测试

样本都是大家熟悉臭名昭著的病毒


直接查杀不在话下


下面仅仅演示常见的感染型病毒和驱动型木马：
1、小浩
关闭实时监控，双击小浩


一切皆可感染，任务管理器和系统配置实用程序都无法调用！



时间也被篡改咕~~(╯﹏╰)b


Bitdefender 还没有挂，咱们先开启监控


深度扫描后，系统基本恢复正常，但所有感染文件都被隔离并没有得到修复！



2、机器狗
关闭实时监控，双击木马


任务管理器可以看到后台运行的木马，但冰刃无法打开。


扫描结果仅显示威胁样本病毒文件，没有检测到加载的驱动木马


点评：Bitdefender没有给我带来太大惊喜 所谓的系统修复机制并没有恢复小浩病毒所感染的系统文件，Rootkit扫描也有待加强——机器狗病毒是典型的SSDT Hook，扫描后居然没有报出加载的驱动木马 总之安全意识强过任何杀毒软件，只要能看到凝结在这些安全软件的技术创新，都应该值得我们称道 最近要去医院，也没时间继续写了。如果有兴趣可以用免杀工具，给正常文件加加壳，进一步研究它的反病毒机制。最好能对比下其他杀毒软件！

[ 本帖最后由 wangfuxin 于 2009-6-17 15:34 编辑 ]

支持，其实现在nod占用内存比bd多了

EAson7

支持LZ的评测

Neilac

了解一下，走人

玄蜗

100多万就不少了