小樱 发表于 2021/7/13 04:30

kangle内容过滤(内附如何过滤病毒)content标记模块

      对于互联网信息的监控过滤不可能用人力去管理、控制,工作量太大,太费时并且不能及时发现。Kangle内容过滤功能实现人性化、自动化的管理。

如何进行过滤内容操作,举例说明(过滤病毒):
先介绍两个功能模块:
content_length
说明:配置内容大小
作用域:回应控制

content
说明:支持使用正则表达式过滤内容
作用域:回应控制

病毒的运行原理简介
      木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……

      由于病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。

      G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了服务端,有些会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。

      同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

      Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;

   kangle 的内容过滤功能,就是阻止实现后门通信。

具体操作:
进入管理后台回应控制,选择“ 插入 ”


点击“ 插入 ”进入,选择匹配模块中的“content_length”


选择标记模块中的 “content”


出现如下界面:

目标设为:“拒绝”
内容大小为:“1--100字节”
内容:
^[^\r\n]{0,}{1,}\.{1,3}\.{1,3}\.{1,3}[^\r\n]{0,}[\r\n]{0,}$

不可名 发表于 2021/7/19 08:07

{:3029:}{:3016:}{:3017:}
页: [1]
查看完整版本: kangle内容过滤(内附如何过滤病毒)content标记模块