要有 ipt_string.o 才可以. 用 iptables 中的 make patch-o-matic 做一個出來, 然後重新做一個 kernel. # Code Red iptables -A FORWARD -p tcp --dport 80 -m string --string "/default.ida" -m state --state ESTABLISHED -j REJECT --reject-with tcp-reset 改用 -j DROP 也可以. 如果要留 log, 也可以用 -j LOG. 其它的 cmd.exe, root.exe 也都可以如此處理.