Как определить, включен ли в файл или исполняемый файл кейлоггер?
У меня недавно была программа, созданная для меня, и я не думал, что она исполняемая, представляющая угрозу, так как я в значительной степени доверяю источнику, но не полностью.
Я тогда подумал о том, что кейлоггер, или любой вид шпионского или вредоносного программного обеспечения, возможно, были привязаны к нему. Это заставило меня задуматься обо всех других вещах, которые я загружаю ежедневно из мест или людей (торрентов), о которых я не думаю дважды.
-
Как может кто-то узнайте, был ли какой-то кейлоггер
назначен программное обеспечение вы используете или другие вещи связаны? -
Каковы некоторые хорошие способы, чтобы найти и остановить эти вещи?
2 ответов
каком-то смысле
- обнаружение на основе подписи.
Хороший и обновленный антивирусный пакет (да, я знаю, что "хорошо" будет обсуждаться)
поможет отслеживать большинство вредоносных программ, прежде чем он начнет взаимодействовать с вашей системой - обнаружение аномалий на основе.
Трек исходящей связи из отдельных приложений
(это также сделано большинств програмным обеспечением AV / AS)
будет способствовать определение неожиданных "материнских звонков" из приложений.
Обратите внимание, что я не имею в виду анализ общения. Я имею в виду попытки общения с приложениями, которые не должны этого делать (например, приложения редактора). Анализ связи (скажем, из приложения чата, которое вы загрузили) также может быть сделан, но будет довольно сложной проблемой.
я приведу личный пример хорошего случая обнаружения вредоносных программ.
один из стандартный AV / as люкс на машине окна шахты был активен, когда,
Я попытался открыть HTML-файл "sample" (и malware scripted) с одного из наших рабочих серверов.
Это было немедленно поймано номером.
Затем я попробовал Cygwin scp
выборка того же HTML файла, переименованного в TXT на сервере.
В номер не пускали scp
land на моем хост-диске. Он был удален, как только он был извлечен.
Обнаружение было основано на недавно обновленные подписи для новой атаки на основе сценариев.
вы можете загрузить исполняемый файл в VirusTotal.com. VirusTotal проанализирует файл, используя около 40 различных движков.
некоторое программное обеспечение брандмауэра сообщит вам, когда приложение попытается установить внешний контакт и даст вам возможность отклонить запрос. ZoneAlarm является бесплатным и имеет эту функцию. Они делают это немного трудно найти бесплатную версию на своем сайте, но вы можете быстро найти бесплатную версию на Download.com.