Wie kann ich feststellen, ob in einer Datei oder ausführbaren Datei ein Keylogger enthalten ist?


9

Ich hatte kürzlich ein Programm für mich erstellt und dachte nicht wirklich daran, dass es ausführbar ist und eine Bedrohung darstellt, da ich der Quelle ziemlich vertraue, aber nicht vollständig.

Ich dachte dann darüber nach, dass ein Keylogger oder irgendeine Art von Spyware oder schädlicher Software möglicherweise daran gebunden sein könnte. Dies ließ mich über all die anderen Dinge nachdenken, die ich täglich von Orten oder Menschen (Torrents) herunterlade, über die ich nicht zweimal nachdenke.

  • Wie kann jemand herausfinden, ob ein Keylogger an die von Ihnen ausgeführte Software oder an andere Dinge gebunden ist?

  • Was sind einige gute Möglichkeiten, um diese Dinge herauszufinden und zu stoppen?

Antworten:


4

Einige Wege,

  1. Signaturbasierte Erkennung .
    Eine gute und aktualisierte Antivirensuite (ja, ich weiß, dass über "gut" diskutiert wird)
    hilft dabei, den größten Teil der Malware zu verfolgen, bevor sie mit Ihrem System in Kontakt tritt
  2. Anomaliebasierte Erkennung .
    Ein Track der ausgehenden Kommunikation von einzelnen Anwendungen
    (dies wird auch von den meisten AV / AS-Programmen durchgeführt)
    hilft dabei, unerwartete "Mutterschiff-Anrufe" von Anwendungen zu identifizieren.
    Beachten Sie, dass ich nicht die Analyse der Kommunikation meine. Ich meine, Kommunikationsversuche sind Anwendungen, von denen dies nicht erwartet wird (z. B. Editoranwendungen). Eine Analyse der Kommunikation (z. B. von einer von Ihnen heruntergeladenen Chat-Anwendung) könnte ebenfalls durchgeführt werden, wäre jedoch ein recht komplexes Problem.

Ich zitiere ein persönliches Beispiel für einen guten Fall der Malware-Erkennung.
Eine der Standard-AV / AS-Suiten auf einem meiner Windows-Computer war aktiv, als
ich versuchte, eine HTML-Beispieldatei (und eine mit Malware-Skripten versehene) von einem unserer Arbeitsserver aus zu öffnen.
Es wurde sofort von der Suite gefangen.
Dann habe ich versucht, einen Cygwin- scpAbruf derselben HTML-Datei durchzuführen, die jetzt auf dem Server in TXT umbenannt wurde.
Die Suite hat das scpLand nicht auf meiner Host-Festplatte gelassen . Es wurde gelöscht, sobald es abgerufen wurde.
Die Erkennung basierte auf kürzlich aktualisierten Signaturen für einen neuen "skriptbasierten Angriff".


1

Sie können die ausführbare Datei auf VirusTotal.com hochladen. VirusTotal analysiert die Datei mit etwa 40 verschiedenen Engines.

Einige Firewall-Programme informieren Sie, wenn eine Anwendung versucht, einen externen Kontakt herzustellen, und geben Ihnen die Möglichkeit, die Anforderung abzulehnen. ZoneAlarm ist kostenlos und verfügt über diese Funktion. Sie machen es ein wenig schwierig, die kostenlose Version auf ihrer Website zu finden, aber Sie können die kostenlose Version schnell auf Download.com finden.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.