Jak mogę ustalić, czy plik lub plik wykonywalny zawiera keylogger?

9

Miałem niedawno utworzony program i tak naprawdę nie myślałem, że może być wykonywalny, co stanowi zagrożenie, ponieważ prawie ufam źródłu, ale nie do końca.

Pomyślałem wtedy o tym, że keylogger lub jakiekolwiek oprogramowanie szpiegujące lub złośliwe oprogramowanie mogło być z nim związane. To sprawiło, że zastanawiałem się nad wszystkimi innymi rzeczami, które codziennie pobieram z miejsc lub ludzi (torrentów), o których nie myślę dwa razy.

  • Jak ktoś może dowiedzieć się, czy jakiś program rejestrujący klucze był powiązany z uruchomionym oprogramowaniem lub innymi powiązaniami?

  • Jakie są dobre sposoby, aby dowiedzieć się i zatrzymać te rzeczy?

ᔕᖺᘎᕊ
źródło

Odpowiedzi:

4

Niektóre sposoby

  1. Wykrywanie oparte na sygnaturach .
    Dobry i zaktualizowany pakiet antywirusowy (tak, wiem, że „dobry” będzie przedmiotem debaty)
    pomoże śledzić większość złośliwego oprogramowania, zanim zacznie on współpracować z twoim systemem
  2. Wykrywanie na podstawie anomalii .
    Śledzenie komunikacji wychodzącej z poszczególnych aplikacji
    (dzieje się to również w przypadku większości programów AV / AS)
    pomoże zidentyfikować nieoczekiwane „połączenia-matki” z aplikacji.
    Zauważ, że nie mam na myśli analizy komunikacji. Mam na myśli próby komunikowania się, które nie powinny tego robić (na przykład aplikacje edytora). Analiza komunikacji (powiedzmy z pobranej aplikacji czatu) może być również wykonana, ale byłby to dość złożony problem.

Przytoczę osobisty przykład dobrego przypadku wykrywania złośliwego oprogramowania.
Jeden ze standardowych pakietów AV / AS na moim komputerze z systemem Windows był aktywny, gdy
próbowałem otworzyć „przykładowy” (i skryptowany złośliwym oprogramowaniem) plik HTML z jednego z naszych serwerów roboczych.
Apartament został natychmiast złapany.
Następnie próbowałem scppobrać Cygwin tego samego pliku HTML, teraz przemianowanego na TXT na serwerze.
Pakiet nie pozwolił scplądować na dysku hosta. Został usunięty, gdy tylko został pobrany.
Wykrywanie opierało się na ostatnio zaktualizowanych sygnaturach nowego „ataku opartego na skryptach”.

nik
źródło
1

Możesz przesłać plik wykonywalny na VirusTotal.com. VirusTotal przeanalizuje plik przy użyciu około 40 różnych silników.

Niektóre oprogramowanie zapory poinformuje Cię, gdy aplikacja spróbuje nawiązać kontakt z zewnątrz, i da ci możliwość odrzucenia żądania. ZoneAlarm jest bezpłatny i ma tę funkcję. Utrudniają znalezienie darmowej wersji na ich stronie internetowej, ale możesz szybko znaleźć bezpłatną wersję na Download.com.

CHarmon
źródło