Как я могу определить, есть ли в файле или исполняемом файле кейлоггер?

742
ᔕᖺᘎᕊ

Недавно у меня была программа, созданная для меня, и я не думал, что это исполняемый файл, представляющий угрозу, поскольку я в значительной степени доверяю источнику, но не полностью.

Затем я подумал о том, что к нему мог быть привязан кейлоггер, шпионское или вредоносное программное обеспечение. Это заставило меня задуматься обо всех других вещах, которые я загружаю ежедневно из мест или людей (торренты), о которых я не думаю дважды.

  • Как кто-то может узнать, был ли какой-то кейлоггер, связанный с программным обеспечением, с которым вы работаете, или другие вещи, связанные?

  • Какие есть хорошие способы узнать и остановить эти вещи?

9

2 ответа на вопрос

4
nik

Несколько способов,

  1. Обнаружение на основе сигнатур .
    Хороший и обновленный антивирусный набор (да, я знаю, что «хороший» будет обсуждаться)
    поможет отследить большинство вредоносных программ до того, как они начнут взаимодействовать с вашей системой.
  2. Обнаружение аномалий .
    Отслеживание исходящей связи от отдельных приложений
    (это также делается большинством программного обеспечения AV / AS)
    поможет выявить неожиданные «вызовы материнства» из приложений.
    Обратите внимание, что я не имею в виду анализ общения. Я имею в виду попытки коммуникации быть приложениями, которые не должны этого делать (например, редактор приложений). Анализ общения (скажем, из приложения чата, которое вы скачали) также может быть выполнен, но это будет довольно сложная проблема.

Я приведу личный пример хорошего случая обнаружения вредоносных программ.
Один из стандартных наборов AV / AS на моей машине с Windows был активен, когда
я пытался открыть «образец» HTML-файла (с вредоносным скриптом) с одного из наших рабочих серверов.
Это было немедленно поймано набором.
Затем я попробовал Cygwin scpизвлечь тот же HTML-файл, который теперь переименован в TXT на сервере.
Набор не дал scpземлю на моем хост-диске. Он был удален, как только был получен.
Обнаружение было основано на недавно обновленных сигнатурах для новой «атаки на основе сценариев».

1
CHarmon

Вы можете загрузить исполняемый файл на VirusTotal.com. VirusTotal проанализирует файл, используя около 40 различных движков.

Некоторое программное обеспечение брандмауэра сообщит вам, когда приложение пытается установить внешний контакт, и даст вам возможность отклонить запрос. ZoneAlarm бесплатна и имеет эту функцию. Они затрудняют поиск бесплатной версии на своем веб-сайте, но вы можете быстро найти бесплатную версию на Download.com.

Похожие вопросы