Google
La utilitat s'executa com un servei de sistema i pot funcionar en modes de control i prevenció d'atacs. En el mode de monitorització, es detecten possibles atacs i es registra l'activitat associada als intents d'utilitzar incorrectament els dispositius USB per a la substitució d'entrada. En mode de protecció, quan es detecta un dispositiu potencialment maliciós, es desconnecta del sistema a nivell de controlador.
L'activitat maliciosa es determina a partir d'una anàlisi heurística de la naturalesa de l'entrada i els retards entre les pulsacions de tecles: l'atac sol dur a terme en presència de l'usuari i perquè passi desapercebut, les pulsacions de tecles simulades s'envien amb retards mínims que són atípic per a l'entrada normal del teclat. Per canviar la lògica de detecció d'atac, es proposen dos paràmetres KEYSTROKE_WINDOW i ABNORMAL_TYPING (la primera determina el nombre de clics per a l'anàlisi, i la segona l'interval llindar entre clics).
L'atac es pot dur a terme mitjançant un dispositiu no sospitós amb firmware modificat, per exemple, podeu simular un teclat en
Font: opennet.ru