【TechTarget中国原创】有位安全工作人员向我们提出这样的问题：他通过使用反恶意软件扫描器检测出大量的本地键盘记录器行为，他想知道这样是否能够在查到的{dy}时间检测或保护系统。

我们的TT安全专家Randall Gamby对这一问题进行了解答，并提出了他的在这一问题上的一些建设性意见……

【TechTarget中国原创】问：通过使用反恶意软件扫描器，我已检测出大量的本地键盘记录器活动。我这样能够在查到的{dy}时间检测或保护系统吗？

　　答：是的，你可以识别并防御这种类型的攻击，但是这样做需要部署一些工具。扫描器归属于策略执行点（PEP）技术的类别。PEP分为两种类别：传感器和加载器。扫描器就是传感器的一种。它能检测出违反安全策略的行为（这种情况下就是系统上的未授权软件），但仅仅是对违反行为进行报告。你所需要的是加载器。加载器也可以检测违反安全策略的行为，但它不会只停留在对出现的问题进行报告的层面上，它还可以作出修正，例如防御或删除键盘记录器。

　　对于系统级别的键盘记录器，{zj0}的加载器技术是间谍软件、键盘记录器或病毒删除工具。然而，使用它们的前提是你预先知道已出现了键盘记录问题。还有，在所有的系统上安装这种工具可能会使成本过高，又或者不适用于受感染的操作系统。

　　在基础结构层面上，{zx1}的技术是数据丢失防范工具（DLP）。这些工具能够检测到企图从公司内部传输出去的未经授权的信息，还能够阻止这些信息对外传播。虽然这样做并没有删除掉键盘记录器，但是还是可以阻止向键盘记录器软件的编写者反馈有效信息。

　　在{dy}时间阻止恶意软件入侵终端用户是非常重要的。为达到这一目的，可以在企业的外围邮件服务器（大多数的恶意软件都是通过它们进入企业内部的）上运行反恶意软件或反病毒软件的企业级工具。如果你还想封锁间谍软件入侵系统的其他途径，你可以在终端用户系统中安装软件，以阻止U盘驱动和其他便携式工具和设备的使用，因为这些终端用户系统是间谍软件和病毒的第二大入侵渠道。然而，在禁止U盘驱动之前，你需要考虑到这样做给用户带来的不便之处。

　　{zh1}还有一点，你没有在问题中提到你在公司里的职位。我这样说是因为可能还存在合法授权的键盘记录器。你有没有对安全部门做过核查？确认没有在某些用户系统上授权安装键盘记录器，以保证只有授权过的操作才可以在那些系统上运行。有一些组织将键盘记录器作为PEP传感器在使用！