Google
Hjælpeprogrammet kører som en systemd service og kan fungere i overvågnings- og angrebsforebyggelsestilstande. I overvågningstilstanden identificeres mulige angreb, og aktivitet relateret til forsøg på at bruge USB-enheder til andre formål til inputsubstitution registreres i loggen. I beskyttelsestilstand, når en potentielt ondsindet enhed opdages, afbrydes den fra systemet på driverniveau.
Ondsindet aktivitet bestemmes ud fra en heuristisk analyse af inputtets karakter og forsinkelserne mellem tastetryk - angrebet udføres normalt i brugerens tilstedeværelse, og for at det skal forblive uopdaget, sendes simulerede tastetryk med minimale forsinkelser atypisk for normal tastaturinput. For at ændre logikken til registrering af angreb foreslås to indstillinger: KEYSTROKE_WINDOW og ABNORMAL_TYPING (den første bestemmer antallet af klik til analyse, og den anden tærskelintervallet mellem klik).
Angrebet kan udføres ved hjælp af en mistænkelig enhed med modificeret firmware, for eksempel kan du simulere et tastatur i
Kilde: opennet.ru