Google
A utilidade execútase como un servizo systemd e pode funcionar en modos de monitorización e prevención de ataques. No modo de seguimento, identifícanse os posibles ataques e rexístrase no rexistro a actividade relacionada cos intentos de utilizar dispositivos USB para outros fins para a substitución de entradas. No modo de protección, cando se detecta un dispositivo potencialmente malicioso, desconéctase do sistema a nivel de controlador.
A actividade maliciosa determínase en base a unha análise heurística da natureza da entrada e dos atrasos entre as pulsacións de teclas: o ataque adoita realizarse en presenza do usuario e, para que non se detecte, as pulsacións de teclas simuladas envíanse cun atraso mínimo. atípico para a entrada normal do teclado. Para cambiar a lóxica de detección de ataques, propóñense dúas opcións: KEYSTROKE_WINDOW e ABNORMAL_TYPING (a primeira determina o número de clics para a análise, e a segunda o intervalo limiar entre clics).
O ataque pode levarse a cabo usando un dispositivo non sospeitoso con firmware modificado, por exemplo, pode simular un teclado en
Fonte: opennet.ru