Förutom dator-, nätverks- och företagsövervakning finns det också en metod för att kontinuerligt övervaka en enhets aktivitet och lagrade data genom att installera ett verkligt övervakningsprogram. Sådana program, ofta kallade keyloggers, har förmågan att spela in tangenttryckningar och söka innehållet på någon hårddisk för misstänkt eller värdefull information, kan övervaka datorns aktivitet och kan samla användarnamn, lösenord och andra privata detaljer.
Keylogging-programvaran / skadlig kod kan antingen lagra den insamlade informationen lokalt på en hårddisk eller den kan överföra den via internet till en fjärrvärddator eller webbserver.
Fjärrinstallation är det vanligaste sättet att installera skadlig programvara på en dator. När en dator blir infekterad med ett virus (trojan) kan den skadliga programvaran lätt spridas till alla datorer i samma nätverk, vilket utsätter flera personer för ständig övervakning och övervakning.
Ökända virus som "CryptoLocker", "Storm Worm" och andra infekterade miljontals datorer och kunde lämna digitala "bakdörrar" öppna som kunde nås på distans, vilket gjorde det möjligt för den infiltrerande enheten att installera ytterligare programvara och utföra kommandon.
Laglösa individer är dock inte de enda som skapar virus och trojaner, ibland kan sådan programvara utvecklas av myndigheter för att uppfylla mycket nyanserade och svåra uppgifter.
Programvara som CIPAV (Computer and Internet Protocol Address Verifier), som är ett datainsamlingsverktyg som Federal Bureau of Investigation (FBI) använder för att spåra och samla in platsdata om misstänkta under elektronisk övervakning, eller Magic Lantern, som är programvara för loggning av tangenttryckningar som återigen utvecklats av FBI, är program som är utformade för att övervaka och fånga laglösa och brottslingar genom att få hävstång på deras fysiska plats och onlineaktivitet.
Den amerikanska regeringen arbetar också aktivt med detekteringssystem för skadlig kod på grund av oförutsedda katastrofer, som uppgång och fall av "Stuxnet" som är ett datavirus som utvecklats av CIA som ursprungligen riktades mot Irans kärnvapen i syfte att neutralisera dem men har nu muterat och dess ursprungliga kod används av okända enheter för att skapa nyare virus för att attackera elnät och kraftinfrastruktur.
En lista över "Stuxnet" efterträdare inkluderar:
- Duqu (2011). Baserat på Stuxnet-kod utformades Duqu för att logga tangenttryckningar och gruvdata från industrianläggningar, förmodligen för att starta en senare attack.
- Flamma (2012). Flame, som Stuxnet, reste via USB-minne. Flame var sofistikerade spionprogram som spelade in Skype-konversationer, loggade tangenttryckningar och samlade skärmdumpar, bland andra aktiviteter. Det riktade sig till regerings- och utbildningsorganisationer och vissa privatpersoner, främst i Iran och andra länder i Mellanöstern.
- Havex (2013). Avsikten med Havex var att samla information från bland annat energi-, flyg-, försvars- och läkemedelsföretag. Hadex-skadlig programvara riktade sig främst till amerikanska, europeiska och kanadensiska organisationer.
- Industroyer (2016). Detta riktade sig till kraftanläggningar. Det krediteras med att orsaka ett strömavbrott i Ukraina i december 2016.
- Triton (2017). Detta riktade sig mot säkerhetssystemen vid en petrokemisk anläggning i Mellanöstern, vilket väckte oro över malwaretillverkarens avsikt att orsaka fysisk skada på arbetare.
- Okänd (2018). Ett namnlöst virus med liknande egenskaper som Stuxnet slog enligt uppgift ospecificerad nätverksinfrastruktur i Iran i oktober 2018.
För närvarande arbetar den amerikanska regeringen med ett 2019-detekteringsprojekt för skadlig programvara som kallas "MalSee" som syftar till att använda syn, hörsel och andra innovativa funktioner för att snabbt och otvetydigt upptäcka skadlig kod.
