Google
Verktyget körs som en systemtjänst och kan fungera i övervaknings- och attackförebyggande lägen. I övervakningsläget identifieras möjliga attacker och aktivitet relaterad till försök att använda USB-enheter för andra ändamål för inmatningsersättning registreras i loggen. I skyddsläge, när en potentiellt skadlig enhet upptäcks, kopplas den från systemet på drivrutinsnivå.
Skadlig aktivitet bestäms baserat på en heuristisk analys av inmatningens karaktär och fördröjningarna mellan tangenttryckningar - attacken utförs vanligtvis i närvaro av användaren och, för att den ska gå oupptäckt, skickas simulerade tangenttryckningar med minimala förseningar otypiskt för normal tangentbordsinmatning. För att ändra logiken för attackdetektering föreslås två inställningar: KEYSTROKE_WINDOW och ABNORMAL_TYPING (den första bestämmer antalet klick för analys och den andra tröskelintervallet mellan klick).
Attacken kan utföras med en otänkbar enhet med modifierad firmware, till exempel kan du simulera ett tangentbord i
Källa: opennet.ru