Tietokone-, verkko- ja yritysvalvonnan lisäksi on olemassa myös menetelmä laitteen toiminnan ja tallennettujen tietojen jatkuvaan seurantaan asentamalla varsinainen valvontaohjelma. Tällaisilla ohjelmilla, joita usein kutsutaan näppäinloggereiksi, on kyky tallentaa näppäinpainalluksia ja etsiä minkä tahansa kiintolevyn sisällöstä epäilyttäviä tai arvokkaita tietoja, seurata tietokoneen toimintaa ja kerätä käyttäjätunnuksia, salasanoja ja muita yksityisiä tietoja.
Näppäinlokiohjelmisto / haittaohjelma voi joko tallentaa kerätyt tiedot paikallisesti kiintolevylle tai lähettää ne Internetin kautta etäisäntätietokoneeseen tai verkkopalvelimeen.
Etäasennus on yleisin tapa asentaa haittaohjelmia tietokoneeseen. Kun tietokone saa virustartunnan (troijalaisen), haittaohjelma voi helposti levitä kaikkiin saman verkon tietokoneisiin, jolloin useita ihmisiä seurataan ja valvotaan jatkuvasti.
Pahamaineiset virukset, kuten "CryptoLocker", "Storm Worm" ja muut, saastuttivat miljoonia tietokoneita ja pystyivät jättämään digitaaliset "takaovet" auki, joihin voitiin päästä etänä, jolloin tunkeutuva yksikkö pystyi asentamaan lisäohjelmistoja ja suorittamaan komentoja.
Laittomat henkilöt eivät kuitenkaan ole ainoita, jotka luovat viruksia ja troijalaisia, joskus valtion virastot voivat kehittää tällaisia ohjelmistoja erittäin vivahteikkaiden ja vaikeiden tehtävien suorittamiseksi.
Ohjelmistot, kuten CIPAV (Computer and Internet Protocol Address Verifier), joka on tiedonkeruutyökalu, jota Federal Bureau of Investigation (FBI) käyttää epäiltyjen sijaintitietojen seuraamiseen ja keräämiseen sähköisessä valvonnassa, tai Magic Lantern, joka on FBI: n jälleen kehittämä näppäinpainallusten kirjaamisohjelmisto, ovat ohjelmia, jotka on suunniteltu valvomaan ja saamaan kiinni lainsuojattomat ja rikolliset saamalla vipuvaikutusta heidän fyysiseen sijaintiinsa ja online-toimintaansa.
Yhdysvaltain hallitus työskentelee myös aktiivisesti haittaohjelmien havaitsemisjärjestelmien parissa odottamattomien katastrofien vuoksi, kuten "Stuxnetin" nousu ja tuho, joka on CIA: n kehittämä tietokonevirus, joka oli alun perin suunnattu Iranin ydinaseisiin niiden neutraloimiseksi, mutta on nyt mutatoitunut ja tuntemattomat tahot käyttävät sen alkuperäistä koodia uusien virusten luomiseen hyökätäkseen sähköverkkoihin ja sähköinfrastruktuuriin.
Luettelo "Stuxnet" -seuraajista sisältää:
- Duqu (2011). Stuxnet-koodiin perustuva Duqu suunniteltiin kirjaamaan näppäinpainalluksia ja louhimaan tietoja teollisuuslaitoksista, oletettavasti käynnistääkseen myöhemmän hyökkäyksen.
- Liekki (2012). Liekki, kuten Stuxnet, kulki USB-tikun kautta. Flame oli hienostunut vakoiluohjelma, joka tallensi Skype-keskusteluja, kirjasi näppäinpainalluksia ja keräsi kuvakaappauksia muun muassa. Se kohdistui hallitukseen ja koulutusorganisaatioihin sekä joihinkin yksityishenkilöihin lähinnä Iranissa ja muissa Lähi-idän maissa.
- Havex (2013). Halexin tarkoituksena oli kerätä tietoa muun muassa energia-, ilmailu-, puolustus- ja lääkeyhtiöiltä. Halex-haittaohjelma kohdistui pääasiassa yhdysvaltalaisiin, eurooppalaisiin ja kanadalaisiin organisaatioihin.
- Industroyer (2016). Tämä kohdistui voimalaitoksiin. Sen uskotaan aiheuttaneen sähkökatkoksen Ukrainassa joulukuussa 2016.
- Triton (2017). Tämä kohdistui Lähi-idässä sijaitsevan petrokemian tehtaan turvajärjestelmiin, mikä herätti huolta haittaohjelmien valmistajan aikomuksesta aiheuttaa fyysisiä vammoja työntekijöille.
- Tuntematon (2018). Nimeämättömän viruksen, jolla on samanlaiset ominaisuudet kuin Stuxnetilla, kerrotaan iskeneen määrittelemättömään verkkoinfrastruktuuriin Iranissa lokakuussa 2018.
Tällä hetkellä Yhdysvaltain hallitus työskentelee vuoden 2019 haittaohjelmien havaitsemisprojektissa, joka tunnetaan nimellä "MalSee", jonka tavoitteena on käyttää näköä, kuuloa ja muita innovatiivisia ominaisuuksia haittaohjelmien nopeaan ja erehtymättömään havaitsemiseen.