Ci sono innumerevoli modi in cui lo spyware può estrarre informazioni, incluso, ma non limitato a:
-
HTTP utilizzando un metodo come GET, POST, PUT, ecc.
-
Contenuto del carico utile TCP o UDP grezzo
-
Nascosto in TCP o anche intestazioni IP (ad esempio contrabbandato nel puntatore URG).
-
Contenuti del payload ICMP, che sono normalmente nascosti.
Il controllo di dati sensibili inviati tramite HTTP POST non aiuta a rilevare lo spyware in quanto vi sono tanti altri modi per estrapolare le informazioni da un server compromesso. Sfortunatamente, dovrai sapere cosa stai cercando per rilevare il traffico di spyware. Tuttavia, se lo spyware non è particolarmente avanzato, esistono molti strumenti specifici del sistema operativo che è possibile utilizzare e che indicano quali processi stanno comunicando con la rete. Questo ovviamente presuppone che lo spyware non sia in esecuzione come utente privilegiato, altrimenti potrebbe nascondersi da tali strumenti.