Как я могу определить, есть ли в файле или исполняемом файле кейлоггер?

9

Недавно у меня была программа, созданная для меня, и я не думал, что это исполняемый файл, представляющий угрозу, поскольку я в значительной степени доверяю источнику, но не полностью.

Затем я подумал о том, что к нему мог быть привязан кейлоггер или любой вид шпионского или вредоносного программного обеспечения. Это заставило меня задуматься обо всех других вещах, которые я загружаю ежедневно из мест или людей (торренты), о которых я не думаю дважды.

  • Как кто-то может узнать, был ли какой-то кейлоггер, связанный с программным обеспечением, которое вы используете, или другие вещи, связанные?

  • Какие есть хорошие способы узнать и остановить эти вещи?

ᔕᖺᘎᕊ
источник

Ответы:

4

Несколько способов,

  1. Обнаружение на основе сигнатур .
    Хороший и обновленный антивирусный набор (да, я знаю, что «хороший» будет обсуждаться)
    поможет отследить большинство вредоносных программ до того, как они начнут взаимодействовать с вашей системой.
  2. Обнаружение на основе аномалий .
    Отслеживание исходящей связи от отдельных приложений
    (это также делается большинством программного обеспечения AV / AS)
    поможет идентифицировать неожиданные «вызовы материнства» из приложений.
    Обратите внимание, что я не имею в виду анализ общения. Я имею в виду попытки коммуникации быть приложениями, которые не должны этого делать (например, редактор приложений). Анализ общения (скажем, из приложения чата, которое вы скачали) также может быть выполнен, но это будет довольно сложная проблема.

Я приведу личный пример хорошего случая обнаружения вредоносных программ.
Один из стандартных наборов AV / AS на моей машине с Windows был активен, когда
я пытался открыть «образец» HTML-файла (с вредоносным скриптом) с одного из наших рабочих серверов.
Это было немедленно поймано набором.
Затем я попробовал Cygwin scpизвлечь тот же HTML-файл, который теперь переименован в TXT на сервере.
Набор не дал scpземлю на моем хост-диске. Он был удален, как только был получен.
Обнаружение было основано на недавно обновленных сигнатурах для новой «атаки на основе сценариев».

Nik
источник
1

Вы можете загрузить исполняемый файл на VirusTotal.com. VirusTotal проанализирует файл, используя около 40 различных движков.

Некоторое программное обеспечение брандмауэра сообщит вам, когда приложение пытается установить внешний контакт, и даст вам возможность отклонить запрос. ZoneAlarm бесплатна и имеет эту функцию. Они затрудняют поиск бесплатной версии на своем веб-сайте, но вы можете быстро найти бесплатную версию на Download.com.

CHarmon
источник