Google kasulikkust , mis võimaldab teil jälgida ja blokeerida tehakse pahatahtlike USB-seadmete abil, mis simuleerivad USB-klaviatuuri, et varjatult asendada fiktiivseid klahvivajutusi (näiteks rünnaku ajal võivad klõpsude jada, mis viib terminali avamiseni ja suvaliste käskude täitmiseni selles). Kood on kirjutatud Pythonis ja litsentsitud Apache 2.0 alusel.
Utiliit töötab süsteemse teenusena ja võib töötada seire- ja rünnakute ennetamise režiimides. Jälgimisrežiimis tuvastatakse võimalikud ründed ja tegevus, mis on seotud katsetega kasutada USB-seadmeid muul otstarbel sisendi asendamiseks, salvestatakse logisse. Kaitserežiimis katkestatakse potentsiaalselt pahatahtliku seadme tuvastamisel see juhi tasemel süsteemist.
Pahatahtlik tegevus tehakse kindlaks sisendi olemuse ja klahvivajutuste vaheliste viivituste heuristilise analüüsi põhjal – rünnak viiakse tavaliselt läbi kasutaja juuresolekul ja selleks, et seda ei avastataks, saadetakse simuleeritud klahvivajutused minimaalsete viivitustega. ebatüüpiline tavalise klaviatuuri sisendi jaoks. Rünnakute tuvastamise loogika muutmiseks pakutakse välja kaks seadet: KEYSTROKE_WINDOW ja ABNORMAL_TYPING (esimene määrab analüüsimiseks tehtavate klikkide arvu ja teine klikkide vahelise läveintervalli).
Rünnaku saab läbi viia kahtlase seadme abil, millel on muudetud püsivara, näiteks saate simuleerida klaviatuuri , , või (in USB-porti ühendatud Androidi platvormi kasutava nutitelefoni sisendi asendamiseks pakutakse spetsiaalset utiliiti). Rünnakute keerulisemaks muutmiseks USB kaudu saate lisaks ukipile kasutada ka paketti , mis võimaldab ühendada seadmeid ainult valgest nimekirjast või blokeerib võimaluse ühendada kolmanda osapoole USB-seadmeid, kui ekraan on lukustatud, ega luba selliste seadmetega töötada pärast kasutaja naasmist.
Allikas: opennet.ru