EBlaster et Spector, et WinWhat Where Investigator.

Le snoopware s’intègre à un système de nombreuses façons : par l’installation de keyloggers, de plugins de navigation ou de processus de supervision autonomes, et même par remplacement du logiciel système. L’information que le snoopware surveille varie d’un produit à un autre, mais il s’agit généralement de photos d’écran, de frappes, d’activité applicative, de surf sur le Web, de communications de messagerie instantanée (IM, Instant Messaging) et de messages de courrier électronique.

Après avoir capturé l’information, le snoopware la stocke dans une base de données de la machine locale ou l’envoie à un serveur centralisé. Les produits qui stockent localement l’information utilisent le cryptage et les dossiers cachés pour passer inaperçus, puis envoient régulièrement par courriel l’information collectée à l’entité de surveillance. Cette dernière peut aussi accéder localement à l’information collectée par le biais de touches spéciales que le snoopware installe sur le système surveillé. Le snoopware qui stocke l’information recueillie sur un serveur centralisé à distance, l’envoie en temps réel via HTTPS (HTTP Secure).

La figure 2 montre une opération de snoopware distribuée classique, où l’entité surveillante visualise l’information collectée sur un ordinateur distant, au moyen d’un navigateur Web.