Google
Apuohjelma toimii järjestelmäpalveluna ja voi toimia valvonta- ja hyökkäysten estotiloissa. Valvontatilassa mahdolliset hyökkäykset tunnistetaan ja toiminta, joka liittyy yrityksiin käyttää USB-laitteita muihin tarkoituksiin syötteiden korvaamiseen, kirjataan lokiin. Suojaustilassa, kun mahdollisesti haitallinen laite havaitaan, se katkaistaan järjestelmästä ajuritasolla.
Haitallinen toiminta määritetään syötteen luonteen ja näppäinpainallusten välisten viiveiden heuristisen analyysin perusteella - hyökkäys suoritetaan yleensä käyttäjän läsnä ollessa ja jotta se jäisi havaitsematta, simuloituja näppäinpainalluksia lähetetään pienin viivein. epätyypillinen normaalille näppäimistösyötölle. Hyökkäyksen havaitsemislogiikan muuttamiseksi ehdotetaan kahta asetusta: KEYSTROKE_WINDOW ja ABNORMAL_TYPING (ensimmäinen määrittää napsautusten määrän analysoitavaksi ja toinen napsautusten välisen kynnysvälin).
Hyökkäys voidaan suorittaa epäilyttävällä laitteella, jossa on muokattu laiteohjelmisto, esimerkiksi voit simuloida näppäimistöä
Lähde: opennet.ru