Google
Yardımcı program bir systemd hizmeti olarak çalışır ve izleme ve saldırı önleme modlarında çalışabilir. İzleme modunda, olası saldırılar belirlenir ve USB aygıtlarının giriş değiştirme amacıyla başka amaçlarla kullanılmasına yönelik girişimlerle ilgili etkinlikler günlüğe kaydedilir. Koruma modunda, potansiyel olarak kötü amaçlı bir aygıt algılandığında, sürücü düzeyinde sistemle bağlantısı kesilir.
Kötü niyetli etkinlik, girdinin doğasına ve tuş vuruşları arasındaki gecikmelere ilişkin sezgisel bir analize dayanarak belirlenir - saldırı genellikle kullanıcının huzurunda gerçekleştirilir ve tespit edilmemesi için simüle edilmiş tuş vuruşları minimum gecikmeyle gönderilir. normal klavye girişi için atipik. Saldırı tespit mantığını değiştirmek için iki ayar önerilmektedir: KEYSTROKE_WINDOW ve ABNORMAL_TYPING (birincisi analiz için tıklama sayısını, ikincisi ise tıklamalar arasındaki eşik aralığını belirler).
Saldırı, ürün yazılımı değiştirilmiş, şüphelenmeyen bir cihaz kullanılarak gerçekleştirilebilir; örneğin, bir klavyeyi simüle edebilirsiniz.
Kaynak: opennet.ru