Как определить, включен ли в файл или исполняемый файл кейлоггер?

каком-то смысле

1. обнаружение на основе подписи.
   
   Хороший и обновленный антивирусный пакет (да, я знаю, что "хорошо" будет обсуждаться)
   
   поможет отслеживать большинство вредоносных программ, прежде чем он начнет взаимодействовать с вашей системой
2. обнаружение аномалий на основе.
   
   Трек исходящей связи из отдельных приложений
   
   (это также сделано большинств програмным обеспечением AV / AS)
   
   будет способствовать определение неожиданных "материнских звонков" из приложений.
   
   Обратите внимание, что я не имею в виду анализ общения. Я имею в виду попытки общения с приложениями, которые не должны этого делать (например, приложения редактора). Анализ связи (скажем, из приложения чата, которое вы загрузили) также может быть сделан, но будет довольно сложной проблемой.

я приведу личный пример хорошего случая обнаружения вредоносных программ.

один из стандартный AV / as люкс на машине окна шахты был активен, когда,

Я попытался открыть HTML-файл "sample" (и malware scripted) с одного из наших рабочих серверов.

Это было немедленно поймано номером.

Затем я попробовал Cygwin scp выборка того же HTML файла, переименованного в TXT на сервере.

В номер не пускали scp land на моем хост-диске. Он был удален, как только он был извлечен.

Обнаружение было основано на недавно обновленные подписи для новой атаки на основе сценариев.