Comment puis-je déterminer si un fichier ou un exécutable contient un enregistreur de frappe?


9

J'ai récemment créé un programme pour moi et je ne pensais pas vraiment qu'il était exécutable, ce qui constituait une menace car je fais plutôt confiance à la source, mais pas complètement.

J'ai ensuite pensé au fait qu'un enregistreur de frappe, ou tout type de logiciel espion ou malveillant, aurait pu y être lié. Cela m'a fait me poser des questions sur toutes les autres choses que je télécharge quotidiennement à partir de lieux ou de personnes (torrents) auxquelles je ne pense pas à deux fois.

  • Comment quelqu'un peut-il savoir s'il y a eu une sorte d'enregistreur de frappe lié au logiciel que vous utilisez ou d'autres choses liées?

  • Quels sont les bons moyens de découvrir et d'arrêter ces choses?

Réponses:


4

Certaines façons,

  1. Détection basée sur les signatures .
    Une bonne suite antivirus mise à jour (oui, je sais que «bonne» sera débattue)
    aidera à suivre la plupart des logiciels malveillants avant qu'ils ne commencent à interagir avec votre système
  2. Détection basée sur les anomalies .
    Une trace de la communication sortante des applications individuelles
    (cela est également fait par la plupart des logiciels AV / AS)
    aidera à identifier les «appels-mères» inattendus des applications.
    Notez que je ne parle pas d'analyse de communication. Je veux dire que les tentatives de communication sont des applications qui ne sont pas censées le faire (par exemple, les applications d'éditeur). L'analyse de la communication (par exemple à partir d'une application de discussion que vous avez téléchargée) pourrait également être effectuée, mais ce serait un problème assez complexe.

Je vais citer un exemple personnel d'un bon cas de détection de malware.
L'une des suites AV / AS standard sur une de mes machines Windows était active lorsque
j'ai essayé d'ouvrir un fichier HTML «échantillon» (et scripté par un logiciel malveillant) à partir de l'un de nos serveurs de travail.
Il a été immédiatement attrapé par la suite.
Ensuite, j'ai essayé une scpextraction Cygwin du même fichier HTML maintenant renommé en TXT sur le serveur.
La suite n'a pas laissé le scpterrain sur mon disque hôte. Il a été supprimé dès qu'il a été récupéré.
La détection était basée sur des signatures récemment mises à jour pour une nouvelle «attaque par script».


1

Vous pouvez télécharger le fichier exécutable sur VirusTotal.com. VirusTotal analysera le fichier en utilisant environ 40 moteurs différents.

Certains logiciels de pare-feu vous informeront lorsqu'une application tente d'établir un contact extérieur et vous donneront la possibilité de refuser la demande. ZoneAlarm est gratuit et dispose de cette fonctionnalité. Ils font qu'il est un peu difficile de trouver la version gratuite sur leur site Web, mais vous pouvez rapidement trouver la version gratuite sur Download.com.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.