Google
L'utilitaire fonctionne comme un service systemd et peut fonctionner en modes de surveillance et de prévention des attaques. En mode surveillance, les attaques possibles sont identifiées et l'activité liée aux tentatives d'utilisation de périphériques USB à d'autres fins pour la substitution d'entrée est enregistrée dans le journal. En mode protection, lorsqu'un périphérique potentiellement malveillant est détecté, il est déconnecté du système au niveau du pilote.
L'activité malveillante est déterminée sur la base d'une analyse heuristique de la nature de l'entrée et des délais entre les frappes - l'attaque est généralement effectuée en présence de l'utilisateur et, pour qu'elle ne soit pas détectée, des frappes simulées sont envoyées avec des délais minimes. atypique pour une saisie normale au clavier. Pour modifier la logique de détection des attaques, deux paramètres sont proposés : KEYSTROKE_WINDOW et ABNORMAL_TYPING (le premier détermine le nombre de clics à analyser, et le second l'intervalle seuil entre les clics).
L'attaque peut être menée à l'aide d'un appareil non suspect doté d'un micrologiciel modifié. Par exemple, vous pouvez simuler un clavier dans
Source: opennet.ru