Làm cách nào để xác định xem một tệp hoặc tệp thực thi có keylogger đi kèm không?


9

Gần đây tôi đã có một chương trình được tạo cho tôi và tôi không thực sự nghĩ về việc nó có thể thực thi được gây ra mối đe dọa vì tôi khá tin tưởng vào nguồn này, nhưng không hoàn toàn.

Sau đó tôi đã nghĩ về thực tế rằng một keylogger, hoặc bất kỳ loại phần mềm gián điệp hoặc phần mềm độc hại nào có thể đã được liên kết với nó. Điều này khiến tôi băn khoăn về tất cả những thứ khác tôi tải xuống hàng ngày từ những nơi hoặc người (torrent) tôi không nghĩ hai lần.

  • Làm thế nào ai đó có thể tìm ra nếu đã có một số loại keylogger bị ràng buộc với phần mềm bạn đang chạy hoặc những thứ khác bị ràng buộc?

  • Một số cách tốt để tìm hiểu và ngăn chặn những điều này là gì?

Câu trả lời:


4

Một vài cách,

  1. Chữ ký dựa trên phát hiện .
    Một bộ phần mềm chống vi-rút tốt và được cập nhật (vâng, tôi biết 'tốt' sẽ được tranh luận)
    sẽ giúp theo dõi hầu hết các phần mềm độc hại trước khi nó bắt đầu tương tác với hệ thống của bạn
  2. Phát hiện dựa trên sự bất thường .
    Theo dõi giao tiếp ra ngoài từ các ứng dụng riêng lẻ
    (điều này cũng được thực hiện bởi hầu hết các phần mềm AV / AS)
    sẽ giúp xác định các 'cuộc gọi làm mẹ' bất ngờ từ các ứng dụng.
    Lưu ý rằng tôi không có nghĩa là phân tích truyền thông. Tôi có nghĩa là những nỗ lực của truyền thông là các ứng dụng không được mong đợi để làm điều đó (ví dụ như các ứng dụng biên tập). Phân tích giao tiếp (giả sử từ một ứng dụng trò chuyện bạn đã tải xuống) cũng có thể được thực hiện, nhưng sẽ là một vấn đề khá phức tạp.

Tôi sẽ trích dẫn một ví dụ cá nhân về trường hợp phát hiện phần mềm độc hại tốt.
Một trong những bộ AV / AS tiêu chuẩn trên máy Windows của tôi đã hoạt động khi
tôi cố gắng mở tệp HTML 'mẫu' (và phần mềm độc hại) từ một trong các máy chủ công việc của chúng tôi.
Nó ngay lập tức bị bắt bởi bộ.
Sau đó, tôi đã thử scptìm nạp Cygwin của cùng một tệp HTML bây giờ được đổi tên thành TXT trên máy chủ.
Các bộ không cho phép scpđất trên đĩa máy chủ của tôi. Nó đã bị xóa ngay khi nó được tải xuống.
Việc phát hiện được dựa trên các chữ ký được cập nhật gần đây cho một 'cuộc tấn công dựa trên kịch bản' mới.


1

Bạn có thể tải tệp thực thi lên VirusTotal.com. VirusTotal sẽ phân tích tệp bằng khoảng 40 công cụ khác nhau.

Một số phần mềm Tường lửa sẽ thông báo cho bạn khi một ứng dụng cố gắng liên lạc bên ngoài và cho bạn cơ hội từ chối yêu cầu. ZoneAlarm là miễn phí và có tính năng này. Họ làm cho việc tìm phiên bản miễn phí trên trang web của họ hơi khó khăn nhưng bạn có thể nhanh chóng tìm thấy phiên bản miễn phí tại Download.com.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.