[測試] SEVAS 固態防毒 USB 硬碟外接盒 硬體篇 + 實用篇

[Tdnj]

同步刊登於tdnj's blog當中

針對可攜式隨身碟的硬體式防毒產品在市面上相當少見，在市面上2.5吋外接式硬碟一片廝殺聲當中，各個品牌都不斷的在外型、價位
上面做文章，有的則是做指紋辨識防止資料外洩、有的則是設計專屬軟體可單鍵備份!而針對可攜式裝置內病毒的防治卻是幾乎沒有。
當然現在每台電腦幾乎都會安裝防毒軟體，為了解決電腦防毒軟體及防火牆的不足，市場上漸漸出現一種硬體式的防毒機制--固態防毒，
針對的就是現代人對於備份資料的重視性，針對相當容易被感染的通道--USB 做閘道管制，嚴格控管通過閘道的資料即
時做掃描，防治自動植入惡意主動型病毒及檔案型病毒。

USB惡意病毒到底為什麼可怕?因為隨身碟移動範圍越大造成更大規模的病毒擴散，而惡意病毒能夠造成哪些傷害?
只是單純的讓你無法雙鍵點擊進入硬碟那麼簡單嗎? 惡意病毒可將可攜式硬碟備份以RSA-1024演算法加密(1024 bit!!讓你一輩子也解不開)!
也可以蒐集受害者個人資料(帳號、密碼)上傳網路..，讓你的虛擬寶物、甚至網拍帳號變成詐騙集團的魁儡帳號，甚至修改『我的最愛』，
轉址到釣魚網頁，進而竊取資料。因此針對可攜式裝置防毒的產品越來越被重視，下面介紹的這款SEVAS 2.5吋硬碟外接盒正是針對防護
外接盒內資料避免中毒所推出的產品。具備簡易、方便、可攜的USB隨身碟幾乎是每個人交換檔案的最方便利器!但USB病毒的肆聶下簡易、
方便、可攜的隨身碟幾乎變成人人避之唯恐不及的燙手山芋，而這樣的情況在固態防毒產品的推出下可望慢慢舒緩，讓電腦的防毒軟體與隨身碟硬體本身做雙重保障。

SEVAS外接盒正面是生活防刮的壓克力材質，沒錯!必須要強調是生活防刮，本身不像一般普通壓克力容易被刮傷，
但假如是使用利器去刮那還是會留下傷痕。上方的白色半透明四方圈圈底下有藍光LED在讀取時會閃爍。

背面採用的是皮革漆，摸的時候不會留下指紋，皮革漆真是一種很神奇的東西，明明是ABS塑膠但是上了一層皮革漆摸起來就很像是皮革質感。
皮革質感有個好處，就是會比較穩固有防滑的作用。而這款外接盒不是免螺絲設計的，他需要兩顆螺絲去做固定，雖然這樣拆裝就需要螺絲起子，
沒有快拆有些許不方便，但相對也會比較穩固。

伺服器及防火牆使用的硬體防毒往往非常昂貴，而要將硬體式的防毒機制作在外接硬碟盒、USB dongle但能讓大部分的消費者都可以接受
產品的價格就是一件相當困難的事情了。SEVAS推出的固態防毒產品是具備病毒碼更新能力的!應該說可更新病毒碼是防毒產品必備的!
可更新的防毒裝置怕被病毒給找到漏洞。如何兼顧硬體防毒核心不被病毒入侵而病毒碼又能線上更新增強防護效果?
這看似衝突的兩點是如何辦到的呢?在不同的產品上會採用不同的做法，以USB dongle舉例來說，因為常常會換插不同的USB裝置到dongle，
因此設計上自然不會把病毒碼放在隨身碟身上，而在USB dongle裡面會放一些flash作為病毒碼儲存之用，
而防毒晶片firmware仍舊是無法被病毒關閉的。而外接硬碟盒的做法則與USB dongle做法稍有不同!!應該說是會更簡單一些，
加上外接盒的價位相當競爭，一些衝低價的外接盒連防逆衝波保護機制都沒有做，當然這種有做跟沒做產品用久才會知道，
但是價位卻是馬上可以被大家感受到的，因此在競爭激烈成本考量之下，針對外接盒的固態防毒部分做了一點巧思去節省成本。

沒錯!今天介紹的這款硬碟外接盒大家可以清楚看到，上面除了一顆外接硬碟盒常見的USB晶片之外，右下角的一顆小晶片則是內搭載防毒核心，
這顆小晶片必須要透過特殊的工具才能去刷裡面的firmware，因此是不會被病毒給竄改及關閉，而固態防毒的病毒碼置將會被置放於硬碟隱藏磁
區內(後面會針對這個部分詳細再說明)，對於硬碟的大容量來說，病毒碼所佔的空間簡直是小巫見大巫，加上病毒碼其實是放在隱藏磁區內，這部分
的空間一般使用者本來就不會用到，因此不但產品成本可以降低也可以達到前面所提及的固態核心不會被病毒關閉而病毒碼能更新的目的。

而這次測試的硬碟是FUJITSU SATA 5400 r.p.m. 2.5吋 硬碟

HD Tune 2.55測試，平均速度可達24.1MB/sec，傳輸速度並沒有因為固態防毒而被拖累太多，
如果不說硬體裡面會經過即時檔案掃描，可能也不會被感覺出來與一般USB 2.0硬碟外接盒有異。

另外以HD Tach 3.0.4.0版測試，平均速度可達30.4MB/sec，因為不同軟體會稍微有一點測試的差異性在，因此挑了兩款常見的測試軟體來測試。

附上一張硬碟外接盒的規格表：

-

 

[Tdnj]

[測試] SEVAS 固態防毒 USB 硬碟外接盒 實測篇 《part 2》

當USB外接硬碟插入電腦後，首先電腦會先辨認到新裝置，而此裝置並非硬碟而是光碟機!這是因為目前USB通道是關閉的，
這時候只需要自動執行Anti_Virus_Guard.exe即可。這個動作之後，硬體的防毒核心會在電腦當中做防毒核心的映像檔。
(Vista底下會多一道 使用者帳戶控制,UAC, 在常使用的電腦建議可以使用TuneUAC設定 UAC 的各項功能)

固態防毒核心開啟後，隨身碟功能就會自動開啟，這個執行的動作看似麻煩，但只需要第一次使用時
勾選一律為 軟體及遊戲 執行這個動作(如上張圖片的把選項勾選起來)，之後使用就會得心應手就跟使用一般隨身碟差不多，
而到別台電腦也是一樣的做法，能讓隨身碟本身更有保障。

當固態防毒核心開啟後，防毒核心在電腦當中的映像檔會自動掛在常駐裡面，隨時可以叫出來，而這個小圖式也取代掉了一般常見的
安全移除硬體的選項，設計讓電腦的常駐不會因為SEVAS防毒而多了一個icon，對於一些對於常駐程式有潔癖的人，這點算是貼心。

常駐的SEVAS核心點開來後，可以看到底下的介面，左邊的功能訴求很簡單-- 線上更新、防護資訊、功能設定、偵查報告、隔離處理、技術支援 六大項。

下面是一張簡易的SEVAS防毒核心的示意圖，當通過USB通道的資料都會經過防毒核心掃描，針對已知病毒碼的病毒作病毒特徵掃描。
而新病毒出現的時間點一定是比防毒軟體快，為了泥補病毒碼更新的空窗期，SEVAS具備了『先知毒解析引擎』可有效阻絕目前流行之
PE/VBS/Macro/ USB等上萬隻變種基因病毒。而不透過病毒碼來偵測已知病毒而靠先知引擎來防治病毒是個不得已的空窗期防治手段，
而靠著病毒行為來著眼防治，當然可想而知的是防禦尺度抓的太緊就容易誤判。因此預設抓到的病毒接採取隔離方式處理，變更副檔名讓
病毒先行失效，如果誤判可手動更正。而勤勞更新病毒碼則是防毒軟體防禦能力泉源的不二來源。

固態防毒我自己將這個防毒機制定位成邊界防禦的第二道牆，為什麼是第二道牆?因為這個防毒機制跟電腦本身安裝的防毒軟體本身並不衝突，
因為防毒核心本身是硬體式防毒設備，不會跟電腦防毒軟體衝突，但卻能不管電腦本身是否中毒(完全置身事外,獨立)仍然能保護隨身裝置本身的
資料。而電腦防毒軟體與固態防毒同時運作能夠更加強「主動防禦能力」及「防禦縱深」，讓資料更能安全有保障。而軟體防毒範圍較大不但防禦
本機電腦也防禦外接裝置甚至網路端威脅防護，SEVAS絕對不可能取代掉，因為防護的主軸不同，SEVAS AV防禦的對象是可攜式裝置內的資料，
裝置外的病毒是不管的。而軟體防毒的缺點就是軟體一定會有漏洞!病毒有可能透過漏洞去關避掉防毒軟體而硬體防毒就無此問題，
而且防毒核心本身具備 硬體加速(HW Acceleration)裝置，能夠讓檔案通過USB閘道時能夠快速的掃描病毒，
硬體測試時有將HD Tune及HD Tach兩套軟體去做測試，其實傳輸速度與一般外接硬碟盒沒有差異，不因多了病毒掃描而拖慢傳輸速度。


防毒能力測試
這個部分將分為兩個部分測試，第一個部分單就SEVAS固態防毒部分的掃毒能力去測試，
第二個部分則使用安裝在電腦的防毒軟體及SEVAS固態防毒 雙重掃毒核心的搭配 下去做測試，
而病毒樣本為100隻常見綜合病毒。

1. SEVAS固態防毒
首先是單就SEVAS固態防毒下去做掃描，100隻病毒全數攔截，但這並不代表什麼，因為都是常見病毒，
防禦的能力如先前所提還是得取決於病毒碼更新及病毒碼更新的空窗期內的病毒行為分析阻擋。

2. 安裝在電腦的防毒軟體及SEVAS固態防毒 雙重掃描測試
因為安裝在電腦當中的防毒軟體會優先攔截掉病毒，剩下的漏網病毒則是再經由SEVAS固態防毒給攔截下來，
兩者是互補的功能而非取代掉對方的功能。圖中可見到AVira AntiVir Prersonal掃描到99隻病毒漏掉一隻，
而漏網的那隻還是這個邊界防禦的第二道牆給攔截下來。而因為SEVAS防毒核心是硬體式的且防禦的範圍在隨身碟這端，
因此不會與電腦當中的防毒軟體相衝突，進而達到提升「主動防禦能力」及「防禦縱深」的目的。

掃毒速度測試
因為掃毒核心具備硬體加速功能，因此掃描的速度會比軟體更快速，速度之所以重要在於外接盒產品
本身不能讓防毒整個機制拖慢掉整個傳輸的速度，而速度方面很難量化，因此直接以影片放式去呈獻。

論壇沒辦法直接貼影片，可到此網址觀看:http://vimeo.com/2219413
實際使用掃毒影片(高解析,高壓縮比,檔案檔案大小只有1MB,解壓縮後有80MB)

結論
固態防毒在一般消費者市場來說算是一個蠻新鮮的東西，以往伺服器上的應體防毒概念現在也應用在個人電腦上的資訊安全防備，
而其後續重點就在於產品的價位是否能讓市場接受?在競爭的外接盒市場來說是否能用新的概念去殺出一條血路，值得期待。而因
隨身碟防毒日益受到重視，因此可以預見的是日後不同種類的產品可能都會一一推出，像是USB flash隨身碟、讀卡機、純硬體防
毒dongle都是可以考慮加入固態防毒的產品。當隨身碟插入時，固態防毒會先將USB後端閘道給關閉，當透過裡面的硬體防毒核
心去掃描確認沒有主動式的病毒之後，則開啟USB閘道放行，可第一時間隔離主動式惡意病毒入侵。而傳輸的資料只要經過防毒核
心，檔案就會經過掃描才進入儲存裝置當中，可防範檔案型病毒搭配電腦防毒軟體則成為雙重保障。而這次測試的外接盒病毒碼部
分因為還算是測試版的產品，因此病毒碼是有更新一次的權利(測試用)，後續正式推出後病毒碼的更新方式目前廠商未定案，可能
得看上市後市售版本的標示。在這邊建議得讓這產品擁有較長期完善的病毒碼更新，因為病毒碼更新則是接下來防禦能力的重點。
這類產品對於常要展示資料給客戶看的業務或美工人員吸引力相當大，而一些設備機台目前大部分因為怕隨身碟病毒感染也都能以
燒錄光碟片的形式來存取資料避免中毒，相信對於資料安全越來越受重視的趨勢下，這類產品就是將會越來越被大眾所接受。

 

[maples006]

好特殊的產品,看來漸漸有廠商專注在防止主動感染隨身碟的病毒的硬體了,
不過對於已經中毒的電腦,這個防毒盒本身會怎麼動作去保護?

 

[Tdnj]

好特殊的產品,看來漸漸有廠商專注在防止主動感染隨身碟的病毒的硬體了,
不過對於已經中毒的電腦,這個防毒盒本身會怎麼動作去保護?

對主動攻擊的病毒會給予攔截，對於已知病毒會直接抓到，未知病毒會根據病毒行為模式去隔離。

 

[rainbow04260]

學習中 正在想要買硬碟外接線還市外接盒

 

[j62005]

蠻有特色的病毒掃描
但介面上有點陽春

 

[piliwind]

好有意義的
防毒加上隨身碟

 

[Shayne522]

請問防毒引擎是用哪家的？

 

[Tdnj]

蠻有特色的病毒掃描
但介面上有點陽春

其實因為要做成硬體式的防毒機構，把防毒核心放在fimwave裡面，
因此防毒軟體本身不能夠太大，因此看到的功能幾乎就都是很需要的功能，
一些對於隨身碟防護方面比較沒那麼重要的防毒功能就沒有在上面了。

 

[Tdnj]

請問防毒引擎是用哪家的？

目前還沒問到是用哪一家的掃毒引擎，不過幾乎是不耗費電腦資源，
因為全靠硬體本身做加速掃描。


後續還做了一些測試，找了一些很新的USB病毒來測，測試的當時其實很多防毒軟體還是掃不到這隻病毒的，不過SEVAS用病毒行為模式檔下這隻病毒了。
---
先前有引用一篇青年日報所報導到的新聞：『 二代隨身碟病毒，病毒本身會偽裝成資料夾 讓人誤擊』因為報導裡面有提到norton是掃不到的，
而平常寫報告的電腦剛好也是使用norton企業版的endpoint protection版本，因此特別拿出來掃一下發現還是沒掃到，
而這隻病毒的行為模式還蠻有趣的，因此拿出來整個測試一下。

這隻算是有點變形的USB病毒，平常中獎的時候並不會對電腦造成立即性的影響，而平常也就常駐在記憶體當中，
但是只要USB裝置一插入會立即性感染USB裝置也就是說寄生在PC但不會感染PC裡的文件。這隻青年日報稱之為
二代的隨身碟病毒感染隨身碟後的行為相當有趣，首先他會隱藏隨身碟當中正常的資料夾，另外創造出幾個看
起來像是資料夾的執行檔案，誤擊這些病毒偽裝的執行檔案後，後門隨之而開，能夠做的事情很多，有些根本讓你意想不到。


以下是以影子系統做保護，直接先讓電腦中毒再插入隨身碟的情況，看到了嗎？
所謂偽裝就是下面這回事，但是偽裝到真的很像，沒把詳細資料選來看真的會被騙。

而底下是SEVAS抓出來的狀況，可以看到這些偽裝成一個個資料夾的病毒檔案全都被一網打盡。
當然這是病毒碼更新後抓到的病毒狀況。而大家一定很好奇如果SEVAS病毒碼未更新的情況下，
是否會受到此病毒的危害？答案是不會，因為SEVAS本身具備專門防禦未知病毒的病毒行為分析，
直接讓這個病毒發作的同時(企圖開後門)，SEVAS就立即將病毒以現行犯的方式攔截下來。

而在未更新病毒碼的情況下，病毒直接入侵到隨身碟當中後，會直接以病毒行為模式直接判定為病毒並將相關檔案更名讓病毒失效。