בנוסף למעקב ממוחשב, רשת וארגוני, קיימת גם שיטה לניטור רציף של פעילות המכשיר והנתונים המאוחסנים על ידי התקנת תוכנית מעקב בפועל. תוכניות כאלה, המכונה לעתים קרובות keyloggers, יש את היכולת להקליט הקשות ולחפש את התוכן של כל כונן קשיח עבור מידע חשוד או בעל ערך, יכול לפקח על פעילות המחשב והוא יכול לאסוף שמות משתמש, סיסמאות ופרטים פרטיים אחרים.
תוכנת keylogging / תוכנה זדונית יכולה לאחסן את המידע שנאסף באופן מקומי על כונן קשיח או שהיא יכולה להעביר אותו דרך האינטרנט למחשב מארח מרוחק או לשרת אינטרנט.
התקנה מרחוק היא הדרך הנפוצה ביותר להתקנת תוכנות זדוניות במחשב. כאשר מחשב נדבק בווירוס (סוס טרויאני), התוכנה הזדונית יכולה להתפשט בקלות לכל המחשבים באותה רשת, ובכך לחשוף אנשים רבים לניטור ומעקב מתמידים.
וירוסים ידועים לשמצה כמו "CryptoLocker", "Storm Worm" ואחרים הדביקו מיליוני מחשבים והצליחו להשאיר "דלתות אחוריות" דיגיטליות פתוחות שניתן לגשת אליהן מרחוק, ובכך אפשרו לישות החודרת להתקין תוכנות נוספות ולבצע פקודות.
עם זאת, אנשים פורעי חוק הם לא היחידים שיוצרים וירוסים וסוסים טרויאניים, לפעמים תוכנה כזו יכולה להיות מפותחת על ידי סוכנויות ממשלתיות על מנת למלא משימות ניואנסים וקשות מאוד.
תוכנות כמו CIPAV (Computer and Internet Protocol Address Verifier), שהיא כלי לאיסוף נתונים שהבולשת הפדרלית (FBI) משתמשת בו כדי לעקוב ולאסוף נתוני מיקום על חשודים תחת מעקב אלקטרוני, או Magic Lantern, שהיא תוכנת רישום הקשות שפותחה שוב על ידי ה-FBI, הן תוכנות שנועדו לנטר ולתפוס פורעי חוק ופושעים לא מוכנים על ידי השגת מינוף על מיקומם הפיזי ופעילותם המקוונת.
ממשלת ארה"ב גם עובדת באופן פעיל על מערכות לזיהוי תוכנות זדוניות עקב אסונות בלתי צפויים, כמו עלייתו ונפילתו של "Stuxnet" שהוא וירוס מחשב שפותח על ידי ה-CIA וכוון במקור לנשק הגרעיני של איראן במטרה לנטרל אותו, אך כעת עבר מוטציה והקוד המקורי שלו משמש גורמים לא ידועים ליצירת וירוסים חדשים יותר כדי לתקוף רשתות חשמל ותשתיות חשמל.
רשימת היורשים של "Stuxnet" כוללת:
- דוקו (2011). בהתבסס על קוד Stuxnet, Duqu תוכנן לתעד הקשות ולכרות נתונים ממתקנים תעשייתיים, ככל הנראה כדי לבצע התקפה מאוחרת יותר.
- להבה (2012). Flame, כמו Stuxnet, עברה באמצעות התקן USB. Flame הייתה תוכנת ריגול מתוחכמת שהקליטה שיחות סקייפ, רשמה הקשות ואספה צילומי מסך, בין שאר הפעילויות. היא כוונה נגד ארגונים ממשלתיים וחינוכיים וכמה אנשים פרטיים, בעיקר באיראן ובמדינות אחרות במזרח התיכון.
- Havex (2013). הכוונה של Havex הייתה לאסוף מידע מחברות אנרגיה, תעופה, ביטחון ותרופות, בין היתר. נוזקת Havex התמקדה בעיקר בארגונים בארה"ב, אירופה וקנדה.
- Industroyer (2016). זה התמקד במתקני כוח. לזכותו נזקפת גרימת הפסקת חשמל באוקראינה בדצמבר 2016.
- טריטון (2017). זה התמקד במערכות הבטיחות של מפעל פטרוכימי במזרח התיכון, והעלה חששות לגבי כוונת יצרנית התוכנה הזדונית לגרום נזק פיזי לעובדים.
- לא ידוע (2018). על פי הדיווחים, וירוס ללא שם עם מאפיינים דומים של Stuxnet פגע בתשתית רשת לא מוגדרת באיראן באוקטובר 2018.
נכון לעכשיו, ממשלת ארה"ב עובדת על פרויקט זיהוי תוכנות זדוניות בשנת 2019 המכונה "MalSee" שמטרתו להשתמש בראייה, שמיעה ותכונות חדשניות אחרות כדי לזהות במהירות וללא ספק תוכנות זדוניות.
