可以更好地帮助学生理解每类病毒的运行机制

2019-03-10 04:06

(3)以案例病毒为样本进行分析。首先,使用lordpe等pe文件信息查看工具,分别读取病毒感染前后宿主文件的pe头信息、数据目录表、节表等信息,记录下病毒所关心字段的关键数值,并分析其不同的原因;然后,使用ultraedit工具的文件比较功能,打开病毒感染前后的文件,查看其二进制信息,并将ultraedit窗口中用不同颜色标记的二进制字段进行详细分析,思考病毒修改该字段的目的所在,进而理解病毒的工作原理和运行机制。最后,结合使用ollydbg等动态调试工具将样本病毒加载进内存,分析其在内存中的运行过程。

(2)在虚拟机中运行病毒,观察病毒的感染机制、感染前后宿主文件的变化等,对pe病毒有一个直观的认识。

(1)简单pe病毒的设计与实现。请学生从病毒编写者的角度出发,设计简单pe病毒的运行过程,并实现一些pe病毒的基本行为和简单功能,以使学生更深入地理解和掌握pe病毒的一些共性行为特征和个性的行为特征,以及这些行为的实现方式。

计算机病毒的分析与对抗能力是在大量的实践过程中培养起来的,因此,在pe病毒课程结课之后,仍需利用国家、学校、学院、教师等创造的各种机会来培养和锻炼学生,即鼓励学生积极参与国家和天津市的信息安全竞赛、科技立项、教师科研项目、知名企业实习实训平台、毕业设计等实践活动,围绕“病毒的分析与对抗”,自主命题、自主设计解决方案和实验步骤,以促进学生自主学习与自主科研,提高学生的创新研究能力。

“计算机病毒”课程是信息安全系列课程的专业基础课程之一,对于信息安全人才的培养具有举足轻重的作用。为了培养具备分析与对抗纷繁复杂的计算机病毒能力的高素质的工程实践型信息安全人才,本文以“工程实践创新”理念为导向,重点探索了计算机病毒课程实验教学方面的几个主要环节,并以win32pe病毒为例,从理论教学、验证型实验教学、设计型实验教学、创新型实践教学几个方面展开了探索,为本课程的后续改革以及信息安全专业同类课程的教学改革提供参考。

目前所存在的各种类型的病毒中,win32的pe病毒最为盛行,功能最强,分析难度也最大,因此,掌握win32pe病毒的基本原理及其运行机制,并能进行合理的对抗与分析对于一名反病毒分析师非常重要。pe病毒原理复杂,如何既能使学生不会因为原理的复杂而吓退、放弃,又能使学生激发并保持学习的热情和兴趣,就必须合理设计其教学过程与教学方法,本文主要从以下几个教学环节展开讨论。

通过验证型实验环节使学生对pe病毒的基本原理、运行机制有了一定的理解,但是如果不亲自动手实现一个病毒,那么这种理解不会太深刻,也会有很多的细节无法解释,对此,设计型实验教学环节就变的更加重要,本课程需要学生独立完成以下几个工作。

(2)搭建病毒分析实验室,分析简单病毒样本。搭建病毒分析实验室,即安装病毒运行环境-虚拟机,并将要用到的病毒行为监控工具、病毒分析工具等都装入其中,如filemon、regmon、processexplorer、tcpview、icesword、olldbg、ida等,然后将最常用的工具运行起来,完成各种配置,最后在虚拟机中制作快照,以便病毒分析时直接还原快照。在搭建好的病毒分析实验室中,学生可以独立分析自己编写的病毒和教师提供的病毒样本。病毒分析实验室的搭建不仅可以督促学生掌握虚拟机、常用病毒行为监控工具、分析工具等的使用方法,而且可以更方便地运行和分析病毒。

如果没有扎实的理论知识的支撑,就不可能有良好的实验效果。对此,本文从以下几个角度开展pe病毒的理论教学。

2.2验证型实验教学

(3)讲解pe病毒的一般行为及其工作原理。这部分是理解pe病毒行为特点、工作原理、运行机制的核心部分。重点介绍pe病毒的重定位技术、获取api函数地址的多种方法、获取感染目标文件的方法、文件的多种感染技术等等。

2.3设计型实验教学

(1)病毒案例的演示与简单功能说明。由于pe病毒原理非常复杂,如果一开始就进入复杂枯燥的原理讲解,必定会使学生的学习兴趣消失殆尽。因此,为了保持学生的学习兴趣,采用病毒案例演示和简单讲解的方式进行导课,从而激发学生学习的“冲动”。

1课程实验内容设置

“计算机病毒”课程不仅具有很强的理论性,同时具有很强的实践性,许多病毒和反病毒技术必须在实践过程中去认识、理解和掌握,因此,其教学过程必须注重原理和实践的良好结合。目前,计算机病毒种类繁多,病毒特点与实现原理、运行机制各有不同,对此,本课程的实验内容主要围绕“dos引导型病毒、windows32pe病毒、word宏病毒、java脚本病毒、vb脚本病毒、outlook邮件病毒、蠕虫、木马”等典型的计算机病毒展开。虽然通过案例式的课堂理论教学可以让学生在一定程度上对计算机病毒保持兴趣,但是,如果没有实践的环节让学生“近距离”地接触病毒、感受病毒,那么学生的兴趣就会渐渐地变淡。因此,必须合理规划和安排实验时间,在学生还保持着兴趣的情况下尽快安排实验,使学生从对原理似懂非懂的状态下亲自实践,深入理解病毒原理,并能够激发学生想尽快实现分析病毒的“冲动”。为了更好地说明本课程各个实验教学环节的教学内容安排、教学过程以及教学方法,本文以典型的win32pe病毒为例进行阐述。

(2)详解pe文件格式。pe文件格式是win32环境自身所带的执行体文件格式,是pe病毒感染的对象。pe格式的讲解比较枯燥,但是内容却很重要,是学习、理解和掌握pe病毒工作原理的关键,为了使学生能听得进去,就不能仅仅讲解pe的结构构成,而要边讲结构边借助ppt的动画演示功能对照一个pe文件的二进制信息进行说明,这样可以使学生对pe文件有一个更加直观的认识。此外,对于pe病毒所关心的pe文件关键字段要结合病毒的运行机制和行为特点进行讲解,告诉学生这个字段的作用是什么,病毒如何来利用它,这样学生不会孤立地学习pe格式,也就不会觉得学得无趣。

2win32pe病毒实验教学过程探索

本课程的病毒验证型实验的开展主要是借助了信息安全实验教学平台,该平台针对实验内容提供了详细的指导,包括实验基础、实验原理及其动画演示、实验步骤和思考问题等,并提供了针对性的实验辅助工具,可以更好地帮助学生理解每类病毒的运行机制。pe病毒的验证型实验主要是利用pe文件信息查看工具、二进制文件查看工具、动态调试工具等多种工具相结合,来验证pe病毒的基本原理。具体的实验过程和实验内容包括:

2.4课程拓展-创新型实践教学

计算机技术的飞速发展给我们的工作和生活带来了极大的便利,然而伴随而来的信息安全问题也日益严峻,已经成为影响信息技术应用和进一步发展的瓶颈。其中计算机病毒就是威胁信息安全的重要因素之一,如感染可执行文件的pe病毒、感染word文档等数据文件的宏病毒、以u盘为寄生传播对象的auto病毒、利用邮件进行传播的邮件型病毒、利用系统漏洞进行传播破坏的蠕虫、木马等,无时无刻不在威胁着信息的安全。然而,目前社会和企业都面临着信息安全人才配备严重不足的情况,因此,为了维护信息安全,培养具备分析与对抗纷繁复杂的计算机病毒能力的高素质的应用型、创新型信息安全人才是目前国家和社会必须面临的重要问题。信息安全专业是一个新兴的专业,该专业的重要基础课程“计算机病毒”也是一门随着信息技术发展而产生的全新课程,目前在教学环节和教学模式的设计等方面尚存在较多需要探索和改进的地方。“计算机病毒”是一门理论性和实践性都很强的课程,传统的“传递-接受式”、“重理论、轻实践”的教学模式只适合培养知识型人才,距离培养面向工程应用的实用性、复合型的信息安全反病毒专业人才还有很大的差距。因此,必须以“工程实践创新”理念为导向,研究一种将计算机病毒理论与实践教学相融合的教学模式和教学方法,以最终达到培养高素质的应用型、创新型信息安全专业人才的目标。对此,本文重点从“计算机病毒”课程的教学环节与实验、实践教学过程设计等方面进行探索,并以计算机病毒中破坏力最为强大、技巧性极强的win32pe病毒为例展开教学研究,进而为整个课程各个教学环节的改革提供良好的参考。

(1)以一个简单的pe文件为例,采用ultraedit等工具,手动查看pe文件的详细二进制信息,以深入理解pe文件格式。

2.1理论教学

作者:王静 熊育婷 钟安鸣 付宇 单位:中国民航大学

3结语