谷歌
该实用程序作为 systemd 服务运行,并且可以在监控和攻击预防模式下运行。 在监控模式下,可能的攻击被识别,并且与尝试将 USB 设备用于其他目的进行输入替换相关的活动记录在日志中。 在保护模式下,当检测到潜在的恶意设备时,它会在驱动程序级别与系统断开连接。
恶意活动是根据输入性质和击键之间的延迟进行启发式分析来确定的 - 攻击通常在用户在场的情况下进行,为了不被发现,模拟击键会以最小的延迟发送对于正常键盘输入来说是非典型的。 为了改变攻击检测逻辑,提出了两个设置:KEYSTROKE_WINDOW和ABNORMAL_TYPING(第一个确定用于分析的点击次数,第二个确定点击之间的阈值间隔)。
可以使用具有修改固件的可疑设备来进行攻击,例如,您可以模拟键盘
来源: opennet.ru