CDM (Data & Recover)

NPCMike Lv.99
  2025-04-19 2025-04-19 Created   2026-05-13 16:49:36 2026-05-13 16:49:36 Updated    1.2k Words  4 Mins  

這篇以 CDM 的 Data & Recover 面向為主軸,整理 NeuShield Data Sentinel 的資料保護概念,並紀錄 Mirror Shielding 在勒索加密模擬情境中的實作觀察。

前言

這是學校的報告,但覺得很有趣,所以也做成我的 Blog。如有刊誤可以告知,我會進行更正。

在做報告時,其實我原本根本沒有接觸過 CDM,所以是看著表選了最具體的一個:資料備份。這預計會是短系列文,每次會報告一個新的類型,希望可以成功。

What is CDM

CDM,全名為 Cyber Defense Matrix。

簡短來說,CDM 是一張 5x5 的資安防禦檢查表,幫助你確認「哪些資產」在「哪些防禦階段」有做好保護。

在這張表格中:

  • NIST CSF 指的是功能。
  • 保護對象則是資安資產。

NeuShield

NeuShield 是一家總部位於美國加州弗里蒙特(Fremont, CA)的網路安全公司,成立於 2017 年,專注於提供創新的資料保護解決方案,特別針對勒索軟體攻擊的防護與恢復。

公司概況

項目 內容
創立時間 2017 年
總部位置 200 Brown Road, Suite 306, Fremont, CA 94539
公司性質 私有公司,獲得創投資金支持
員工人數 約 7 人
主要產品 NeuShield Data Sentinel

產品特色

NeuShield 的核心產品 Data Sentinel 採用專利技術,提供與傳統防毒軟體不同的資料保護方式。

  • Mirror Shielding:建立資料的鏡像層,使勒索軟體無法直接修改原始檔案。即使遭受攻擊,也能迅速還原。
  • One-Click Restore:一鍵還原功能,可快速將作業系統和檔案恢復至攻擊前的狀態,無需備份。
  • Data Engrams:類似檔案版本控制,保留多個時間點的資料副本,便於回復至先前版本。
  • Exfiltration Protection:防止資料被未授權存取或外洩,特別針對 SQL 資料庫提供保護。
  • Cloud Drive Protection:保護本機的雲端資料夾,如 OneDrive、Dropbox 等,即使離線也能恢復資料。

市場表現與認可

  • 資金籌措:截至 2019 年,共籌得約 160 萬美元的種子輪資金。
  • 業界認可:被 Fast Company 評選為 2021 年「全球最具創新力公司」之一。
  • 產品評價:PCMag 給予 Data Sentinel 4.0 分(滿分 5 分)的評價,肯定其在勒索軟體攻擊後的資料恢復能力。

實作

這同時也是我在報告中負責的部分。

Mirror Shielding

這是 NeuShield 一開始的起始頁面。它有一個很嚴重的問題,就是頁面不能縮放,看著很難受,所以我是 P 圖的。

按到 Mirror Shielding 後,可以看到它保護的威脅攻擊有哪些。接著也可以看 NeuShield Explorer,會看到它把我們的資料夾又複製到它自己底下,那就是所謂的保護層。

所以我們在做更動時,其實是動在保護層上的。

測試流程

  1. 新增一個資料夾,內含多筆內容為檔名的資料。
  2. 按下 commit,同意變更並建立備份。
  3. 對檔案進行加密,這裡快速寫了凱薩加密 k=3
  4. 比較原始檔與加密檔。
  5. 透過 collect log 下載觀察檔,會下載到桌面 .zip
  6. 觀察 DebugLog.txt

這樣做是為了模擬檔案被 malware 或勒索病毒加密。

DebugLog 重點

以下是 DebugLog.txt 中的關鍵紀錄:

1
2
[2025-04-20T15:26:20.468 0418] [serv] Reverting folder C:\Users\vboxuser\Desktop\. Does not lock down this folder after reverting
[2025-04-20T15:26:21.396 0170] [serv] Restoring folder C:\Users\vboxuser\Desktop start on Sun, 20 Apr 2025 03:26:21 PM and finish on Sun, 20 Apr 2025 03:26:21 PM. Total 2 files restored. Skipped 0 files.

從這兩點可以得知,系統對桌面進行 Reverting 的開始與結束時間。

1
[2025-04-20T17:18:46.052 1288] [serv] Successfully created system restore point

這可以得知它在此時建立保護快照。

1
2
3
[2025-04-20T17:25:16.919 184C] [serv] VSS volume \Device\NeuShieldVolumeShadowCopy1 for C: is ready
[2025-04-20T17:25:16.926 184C] [serv] Dama now session finished
[2025-04-20T17:25:16.931 184C] [serv] Detached VSS volume \Device\NeuShieldVolumeShadowCopy1

VSS(Volume Shadow Copy)代表有建立隱藏快照。Dama session 可能是處理還原的內部流程名稱,但我沒有找到官方文件。

由此可以知道,NeuShield 確實成功執行 Mirror Shielding Restoring。

簡報呈現

這是我的學校報告簡報原始檔。我叫方景玄,負責實作,職位為騎士與工匠。

結語

恭喜我自己這次做得比之前更深入,算是對自己的逼迫。至少成功了,我要哭了。

各位下課!

  • Title: CDM (Data & Recover)
  • Author: NPCMike
  • Created at : 2025-04-19 00:00:00
  • Updated at : 2026-05-13 16:49:36
  • Link: https://npcmike.github.io/2025/04/19/CDM_Data_and_Recover/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
CDM (Data & Recover)
  1. 前言
  2. What is CDM
  3. NeuShield
    1. 公司概況
    2. 產品特色
    3. 市場表現與認可
  4. 實作
    1. Mirror Shielding
    2. 測試流程
    3. DebugLog 重點
  5. 簡報呈現
  6. 結語