Come posso determinare se un file o un eseguibile ha incluso un keylogger?


9

Di recente ho creato un programma per me e non pensavo davvero che fosse eseguibile rappresentando una minaccia dato che mi fido praticamente della fonte, ma non del tutto.

Ho quindi pensato al fatto che un keylogger, o qualsiasi tipo di spyware o software dannoso avrebbe potuto essere vincolato ad esso. Questo mi ha fatto riflettere su tutte le altre cose che scarico quotidianamente da luoghi o persone (torrent) a cui non ci penso due volte.

  • In che modo qualcuno può scoprire se esiste una sorta di keylogger associato al software in esecuzione o altre cose vincolate?

  • Quali sono alcuni buoni modi per scoprire e fermare queste cose?

Risposte:


4

In qualche modo,

  1. Rilevamento basato sulla firma .
    Una suite antivirus valida e aggiornata (sì, so che si discuterà di "buono")
    aiuterà a tracciare la maggior parte del malware prima che inizi a interagire con il sistema
  2. Rilevamento basato sull'anomalia .
    Una traccia delle comunicazioni in uscita dalle singole applicazioni
    (ciò viene fatto anche dalla maggior parte dei software AV / AS)
    aiuterà a identificare le "chiamate di nave madre" impreviste dalle applicazioni.
    Nota che non intendo l'analisi della comunicazione. Voglio dire, i tentativi di comunicazione sono applicazioni che non ci si aspetta che facciano questo (ad esempio le applicazioni dell'editor). Anche l'analisi della comunicazione (ad esempio da un'applicazione di chat scaricata) potrebbe essere eseguita, ma sarebbe un problema piuttosto complesso.

Citerò un esempio personale di un buon caso di rilevamento di malware.
Una delle suite AV / AS standard su una mia macchina Windows era attiva quando,
ho provato ad aprire un file HTML "campione" (e con script malware) da uno dei nostri server di lavoro.
Fu subito catturato dalla suite.
Quindi, ho provato un scprecupero di Cygwin dello stesso file HTML ora rinominato TXT sul server.
La suite non ha lasciato la scpterra sul mio disco host. È stato eliminato non appena è stato recuperato.
Il rilevamento si basava su firme aggiornate di recente per un nuovo "attacco basato su script".


1

È possibile caricare il file eseguibile su VirusTotal.com. VirusTotal analizzerà il file utilizzando circa 40 motori diversi.

Alcuni software Firewall ti informeranno quando un'applicazione tenta di stabilire un contatto esterno e ti darà l'opportunità di rifiutare la richiesta. ZoneAlarm è gratuito e ha questa funzione. Rendono un po 'difficile trovare la versione gratuita sul loro sito Web, ma puoi trovare rapidamente la versione gratuita su Download.com.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.