Google
Programi funksionon si një shërbim systemd dhe mund të funksionojë në mënyrat e monitorimit dhe parandalimit të sulmeve. Në modalitetin e monitorimit, identifikohen sulmet e mundshme dhe aktiviteti në lidhje me përpjekjet për të përdorur pajisje USB për qëllime të tjera për zëvendësimin e hyrjeve regjistrohet në regjistër. Në modalitetin e mbrojtjes, kur zbulohet një pajisje me qëllim të keq, ajo shkëputet nga sistemi në nivelin e drejtuesit.
Aktiviteti keqdashës përcaktohet bazuar në një analizë heuristike të natyrës së hyrjes dhe vonesave ndërmjet goditjeve të tastave - sulmi zakonisht kryhet në prani të përdoruesit dhe, për të mbetur i pazbuluar, goditjet e simuluara të tastave dërgohen me vonesa minimale. jo tipike për hyrjen normale të tastierës. Për të ndryshuar logjikën e zbulimit të sulmit, propozohen dy cilësime: KEYSTROKE_WINDOW dhe ABNORMAL_TYPING (i pari përcakton numrin e klikimeve për analizë dhe i dyti intervalin e pragut midis klikimeve).
Sulmi mund të kryhet duke përdorur një pajisje të padyshimtë me firmware të modifikuar, për shembull, mund të simuloni një tastierë në
Burimi: opennet.ru