Påvisning av statsstøttet malware eller kommersiell programvare som har funksjonalitet utviklet av Back Orifice, DameWare eller andre fjernadministrasjons trojanere har vært vanskelig for antimalware leverandører. Siden hensikten med nyere statsstøttet malware er i strid med malware sin tiltenkte målet beste interesse, men er i beste interesse for statlig sponsor, og legger gjenkjenning evner å stoppe statsstøttet malware kunne sette antimalware leverandør på statens uvennlig listen. Den fjernadministrasjon Trojan Back Orifice var mindre vanskelig å forholde seg til i sin tid siden de legitimt å bruke det visste hvordan å la programvaren til å kjøre, derfor antimalware leverandører kunne blokkere illegitim Back Orifice bruk uten en masse problemer fra statsstøttet angripere.

Den gratis Detekt verktøyet kan brukes av organisasjoner for å identifisere nåværende versjoner av DarkComet, FinFisher, njRAT og Gh0st RAT malware. Den ble utviklet av Claudio Guarnieri i et samarbeid med Amnesty International, Digitale Gesellschaft, Privacy International og Electronic Frontier Foundation for å hjelpe menneskerettighetsaktivister, journalister og andre som kan bli målrettet av statsstøttet angripere eller bruke kommersielle antimalware verktøy som don ' t blokk statsstøttet malware. Det er imidlertid viktig å merke seg at Detekt ikke oppdager alle de forskjellige varianter av malware som et kommersielt verktøy gjør det, hjelper det bare å identifisere de som de kommersielle verktøy gjør det ikke.

Detekt oppdager malware ved hjelp av Yara, Volatilitet og Winpmem verktøy i forbindelse skanne minnet om det potensielle målet system for indikatorer for overvåking malware. Loggene innhentet av Detekt kan da bli vurdert av en sakkyndig.

Bedrifter kan ha nytte av å bruke lignende metoder for å identifisere og analysere ukjent malware. Noen endepunkt sikkerhetsverktøy som Cisco AMP eller FireEye MIR Endpoint Forensics vil gi rom for denne typen analyser på en bedrift, men de fleste standard antimalware verktøy gjør det ikke.