¿El antivirus detectará todos los keyloggers?

No, los paquetes anti-malware no detectarán todas las formas de keylogger. Ellos detectarán los conocidos mediante el hash, y algunos pueden detectar ciertos comportamientos similares a los keyloggers a través del análisis heurístico.

Sin embargo, fuertemente le aconsejo que no lo haga. En primer lugar, es un insulto para sus empleados. Si descubriera que mi empleador estaba haciendo algo así, dimitiría en el acto. En segundo lugar, es potencialmente ilegal. Supongo que espías a la gente sin su consentimiento. Te estás abriendo a los juicios. Finalmente, está creando una vulnerabilidad de seguridad: el correo electrónico no es seguro y es probable que los keyloggers contengan credenciales personales y de la empresa cuando los usuarios inician sesión en los servicios. Es una pesadilla de seguridad y privacidad.

Por lo tanto, en mi opinión personal y profesional:

¡NO HAGAS ESTO!

Creo que tu pregunta (¿Antivirus detectará keyloggers?) ha sido respondida.

Me gustaría dar un paso atrás y examinar los problemas más amplios, porque a veces la respuesta a una pregunta no es realmente la respuesta que estás buscando.

Primero, respetuosamente estoy en desacuerdo con la opinión de @ Polynomial. Creo que su idea central es fantástica. No importa qué controles de seguridad implemente si sus usuarios no son al menos tácitamente compatibles. RSA se redujo porque un asistente administrativo buscó en un mensaje de correo electrónico secuestrado y hizo clic en un enlace. Está intentando cambiar el comportamiento del usuario proporcionando un ciclo de retroalimentación claro; Esta es una técnica que ha demostrado ser efectiva. Creo que un keylogger es la "misión" o carga útil equivocada para implementar en esta campaña. Creo que una carga útil suficiente sería una redirección a una página que contenga la política de su empresa. Si necesita ir más allá de eso, podría incluir uno de los virus de muestra utilizados por las compañías de antivirus para probar sus productos. (No puedo encontrar un enlace a uno, pero si tiene una necesidad legítima, estoy seguro de que podrá encontrar uno).

Segundo, no estoy seguro de entender por qué estás viendo un antivirus. Si su objetivo es probar la efectividad de su antivirus, le sugiero que confíe en la investigación de otras personas. Hay sitios que publican investigaciones comparativas. Pero en última instancia, el 90% de los productos antivirus serán adecuados contra el 90% de los ataques que encuentre. No tengo los números actuales, pero la mayoría de los virus en la naturaleza son virus comunes.

Tercero, déjame combinar esas dos observaciones. El antivirus está diseñado para reducir la probabilidad de que sea víctima de un ataque oportunista. Si desea probar su resistencia contra un ataque oportunista, necesita una estrategia de prueba diferente. (Las exploraciones simples son probablemente suficientes). Los ataques de phishing falsos, como lo que usted describe, están diseñados para probar su resistencia frente a ataques dirigidos; Los programas antivirus no tienen valor contra ataques dirigidos.

Creo que debe dar un paso atrás y decidir qué tipo de política de seguridad / implementación desea (cuál es su tolerancia al riesgo). Una vez que sepas eso, entonces diseña escenarios de amenazas y casos de prueba contra esos. El comportamiento confuso del usuario con los keyloggers con antivirus me indica que no tiene una estrategia coherente de gestión de riesgos.

No, no se encontrarán todos los keyloggers.

Al igual que los virus, Anti-Virus-Softwrae solo puede detectar cosas que conocen y / o detectar comportamientos "extraños".

Y: Hardware-Keylogger probablemente no será detectado en absoluto.

El software antivirus no puede detectar malware escrito personalizado (como los keyloggers) que utilizan firmas para detectar malware, ya que la firma de keylogger es única hasta ahora. Lo que puede detectar un software antivirus (AV) es que las aplicaciones se conectan al sistema de Windows para detectar eventos de pulsación de teclas (creados al teclear en un teclado). Algunos software de AV, si están configurados correctamente, también pueden bloquear la comunicación del keylogger a través de la red, impidiendo efectivamente que envíe las pulsaciones al atacante. Existe un software llamado "KeyScrambler" que puede proteger contra la mayoría de los programas maliciosos de registro de teclas.

la mejor protección hoy para los keyloggers es keyscrambler, en realidad no "bloquea" los teclados en el sentido de que sigan funcionando, pero las claves se cifrarán y descifrarán en la aplicación de destino, mientras que esto funcionará contra keyloggers reales. otros programas que leen datos directamente para un campo de entrada de programas también están pirateando una aplicación determinada y no se bloquearán, ya que la aplicación real tiene que obtener la entrada del teclado real, pero esos programas son virus reales y generalmente son detectados por un antivirus y requieren administración privilegios para ejecutar

Algunos antivirus pueden detectar keyloggers si está configurando el modo en "Paranoid", pero en este caso Antivirus toma toneladas de recursos ya que enlaza Windows Api y comprueba si hay llamadas anormales como, por ejemplo, GetAsyncKeyState, enlaces globales, comprueba inyecciones en procesos, pero su estación en este modo será muy lenta e irresponsable.

Puedes obtener un software que atrapará al 90% de los keyloggers, ya que la mayoría de ellos están equipados con las mismas técnicas, hoks de teclado y getasynkkeystate, hay algunos loggers que reemplazan los controladores de teclado predeterminados, de todos modos, no deberías centrarte en capturando keyloggers, debe centrarse en cómo evitar que los datos se envíen desde las estaciones de trabajo al mundo.