Google
Narzędzie działa jako usługa systemowa i może działać w trybach monitorowania i zapobiegania atakom. W trybie monitorowania identyfikowane są możliwe ataki, a w logu rejestrowana jest aktywność związana z próbami wykorzystania urządzeń USB do innych celów w celu podmiany wejść. W trybie ochrony, gdy zostanie wykryte potencjalnie złośliwe urządzenie, zostaje ono odłączone od systemu na poziomie sterownika.
Złośliwa aktywność jest określana na podstawie analizy heurystycznej charakteru danych wejściowych i opóźnień między naciśnięciami klawiszy — atak jest zwykle przeprowadzany w obecności użytkownika i aby pozostać niewykrytym, symulowane naciśnięcia klawiszy są wysyłane z minimalnymi opóźnieniami nietypowe dla normalnego wprowadzania danych z klawiatury. Aby zmienić logikę wykrywania ataków, zaproponowano dwa ustawienia: KEYSTROKE_WINDOW i ABNORMAL_TYPING (pierwsze określa liczbę kliknięć do analizy, a drugie próg odstępu między kliknięciami).
Atak można przeprowadzić za pomocą podejrzanego urządzenia ze zmodyfikowanym oprogramowaniem, na przykład można symulować klawiaturę
Źródło: opennet.ru