بالإضافة إلى مراقبة الكمبيوتر والشبكة والشركات ، هناك أيضا طريقة للمراقبة المستمرة لنشاط الجهاز والبيانات المخزنة عن طريق تثبيت برنامج مراقبة فعلي. مثل هذه البرامج ، التي يشار إليها غالبا باسم keyloggers ، لديها القدرة على تسجيل ضغطات المفاتيح والبحث في محتويات أي محرك أقراص ثابت عن معلومات مشبوهة أو قيمة ، ويمكنها مراقبة نشاط الكمبيوتر ويمكنها جمع أسماء المستخدمين وكلمات المرور والتفاصيل الخاصة الأخرى.
يمكن لبرنامج keylogging / البرامج الضارة إما تخزين المعلومات التي تم جمعها محليا على محرك أقراص ثابت أو يمكنه نقلها عبر الإنترنت إلى كمبيوتر استضافة بعيد أو خادم ويب.
التثبيت عن بعد هو الطريقة الأكثر شيوعا لتثبيت البرامج الضارة على جهاز كمبيوتر. عندما يصاب جهاز كمبيوتر بفيروس (حصان طروادة) ، يمكن أن تنتشر البرامج الضارة بسهولة إلى جميع أجهزة الكمبيوتر في نفس الشبكة ، مما يعرض العديد من الأشخاص للمراقبة والمراقبة المستمرة.
أصابت الفيروسات سيئة السمعة مثل "CryptoLocker" و "Storm Worm" وغيرها ملايين أجهزة الكمبيوتر وتمكنت من ترك "أبواب خلفية" رقمية مفتوحة يمكن الوصول إليها عن بعد ، مما يسمح للكيان المتسلل بتثبيت برامج إضافية وتنفيذ الأوامر.
ومع ذلك ، فإن الأفراد الخارجين عن القانون ليسوا الوحيدين الذين يخلقون الفيروسات وأحصنة طروادة ، في بعض الأحيان يمكن تطوير مثل هذه البرامج من قبل الوكالات الحكومية من أجل الوفاء بمهام دقيقة وصعبة للغاية.
برامج مثل CIPAV (التحقق من عنوان بروتوكول الكمبيوتر والإنترنت) ، وهي أداة لجمع البيانات يستخدمها مكتب التحقيقات الفيدرالي (FBI) لتتبع وجمع بيانات الموقع عن المشتبه بهم تحت المراقبة الإلكترونية ، أو Magic Lantern ، وهو برنامج لتسجيل ضغطات المفاتيح تم تطويره مرة أخرى بواسطة مكتب التحقيقات الفيدرالي ، هي برامج مصممة لمراقبة الخارجين عن القانون والمجرمين والقبض عليهم على حين غرة من خلال اكتساب نفوذ على موقعهم الفعلي ونشاطهم عبر الإنترنت.
تعمل الحكومة الأمريكية أيضا بنشاط على أنظمة الكشف عن البرامج الضارة بسبب الكوارث غير المتوقعة ، مثل صعود وسقوط "Stuxnet" وهو فيروس كمبيوتر طورته وكالة المخابرات المركزية وكان يستهدف في الأصل أسلحة إيران النووية بهدف تحييدها ولكنه تحور الآن ويتم استخدام رمزه الأصلي من قبل كيانات غير معروفة لإنشاء فيروسات جديدة من أجل مهاجمة الشبكات الكهربائية والبنية التحتية للطاقة.
تتضمن قائمة خلفاء "Stuxnet" ما يلي:
- دوكو (2011). استنادا إلى كود Stuxnet ، تم تصميم Duqu لتسجيل ضغطات المفاتيح وبيانات التعدين من المنشآت الصناعية ، على الأرجح لشن هجوم لاحق.
- اللهب (2012). اللهب ، مثل Stuxnet ، سافر عبر عصا USB. كان Flame عبارة عن برنامج تجسس متطور يسجل محادثات Skype ، ويضغط على المفاتيح ، ويجمع لقطات شاشة ، من بين أنشطة أخرى. واستهدفت المنظمات الحكومية والتعليمية وبعض الأفراد في الغالب في إيران ودول الشرق الأوسط الأخرى.
- هافكس (2013). كان هدف هافكس هو جمع المعلومات من شركات الطاقة والطيران والدفاع والأدوية وغيرها. استهدفت البرامج الضارة Havex بشكل أساسي المنظمات الأمريكية والأوروبية والكندية.
- إندستروير (2016). هذا يستهدف مرافق الطاقة. ينسب إليه الفضل في التسبب في انقطاع التيار الكهربائي في أوكرانيا في ديسمبر 2016.
- تريتون (2017). استهدف هذا أنظمة السلامة في مصنع للبتروكيماويات في الشرق الأوسط ، مما أثار مخاوف بشأن نية صانع البرامج الضارة التسبب في إصابات جسدية للعمال.
- غير معروف (2018). وبحسب ما ورد ضرب فيروس لم يذكر اسمه بخصائص مماثلة ل Stuxnet بنية تحتية غير محددة للشبكة في إيران في أكتوبر 2018.
تعمل الحكومة الأمريكية حاليا على مشروع للكشف عن البرامج الضارة لعام 2019 يعرف باسم "MalSee" والذي يهدف إلى استخدام الرؤية والسمع والميزات المبتكرة الأخرى لاكتشاف البرامج الضارة بسرعة وبشكل لا لبس فيه.