En prøvd og sanne metoden for å identifisere hvis har blitt kompromittert en datamaskin er å se på sitt filsystem for å finne noen nye filer som nylig ble lagret på datamaskinen. Mange ganger i hendelsen respons, vil en datamaskin under etterforskning slås av og harddisken vil bli forensically undersøkt for å finne nye lagrede filer. Når filene er funnet, kunne indikatorer på kompromiss opprettes og videre undersøkelser på andre systemer som kan gjøres.
Men ved å ikke skrive filer til filsystemet, angripere kan unngå disse hendelsen respons trinn. I dette tilfellet, ville hendelsen responder må gjenopprette malware fra minnet eller fra nettverkstrafikk, noe som kan være mye mer utfordrende.
Malware forsker Kafeine skrev et blogginnlegg om ny malware som ikke skrive en fil til det lokale filsystemet. Dette malware fungerer ved å tvinge en sårbar program for å laste ned ondsinnet kode som vil kjøre i minnet og injisere ondsinnet kode i en løpende prosess. Denne typen malware kan bli dumpet fra minnet ved hjelp av en etterforskning verktøy som Volatilitet og deretter undersøkt.
En av de beste måtene bedrifter kan stoppe fileless malware er av omgående og regelmessig patching programvare på endepunktet slik at det kan " t utnyttes i første omgang. I tillegg bør bedriftene bruke enten en antimalware Network Appliance å blokkere ondsinnet nettverkstrafikk eller antimalware programvare som kan oppdage denne typen malware. Hvis fileless malware oppdages, skal hendelsen respondere se på nettverkstrafikklogger og identifisere de prosessene som brukes til å sende ondsinnet nettverkstrafikk til tidfeste de skadelige prosesser.
Andre vertsbasert herde teknikker som implementerer de minst privilegerte kontoer , hvitlisting og så videre bør også være på plass for å stoppe fileless malware angrep.