導語:“計算機病毒”課程是資訊安全系列課程的令業基礎課程之一,對十資訊安全人才的培養具有舉足輕重的作用。
計算機技術的飛速發展給我們的土作和生活帶來了極大的便利,然而伴隨而來的資訊安全問題也日益嚴峻,己經成爲影響資訊技術應用和進一步發展的瓶頸。其中計算機病毒就是威脅資訊安全的重要因素之一,如感染可執行檔案的PE病毒、感染Word文檔等數據檔案的宏病毒、以U盤爲寄生傳播對象的Auto病毒、利用郵件進行傳播的郵件型病毒、利用系統漏洞進行傳播破壞的蠕蟲、木馬等,無時一無刻不在威脅着資訊的安全。
然而,目前社會和企業都面臨着資訊安全人才配備嚴重不足的情況,因此,爲了維護資訊安全,培養具備分析與對抗紛繁複雜的計算機病毒能力的高素質的應用型、創新型資訊安全人才是目前國家和社會必須面臨的重要問題[‘一z7。資訊安全令業是一個新興的令業[f37,該令業的重要基礎課程“計算機病毒”也是一門隨着資訊技術發展而產生的全新課程,目前在教學環節和教學模式的設計等方面尚存在較多需要探索和改進的地方fa一5]。"
i1一算機病毒”是一門理論性和實踐性都很強的課程,傳統的“傳遞一接受式,、“重理論、輕實踐”的教學模式只適合培養知識型人才,距離培養面向土程應用的實用性、複合型的資訊安全反病毒令業人才還有很大的差距[f}]。因此,必須以“土程實踐創新”理念爲導向,研究一種將計算機病毒理論與實踐教學相融合的教學模式和教學方法,以最終達到培養高素質的應用型、創新型資訊安全令業人才的目標[U]對此,本文重點從‘V一算機病毒”課程的教學環節與實驗、實踐教學過程設計等方面進行探索,並以計算機病毒中破壞力最爲強大、技巧性極強的Win32PE病毒爲例展開教學研究,進而爲整個課程各個教學環節的改革提供良好的參考。
1課程實驗內容設定
計算機病毒”課程不僅具有很強的理論性,同時一具有很強的實踐性,許多病毒和反病毒技術必須在實踐過程中去認識、理解和掌握,因此,其教學過程必須注重原理和實踐的良好結合。目前,計算機病毒種類繁多,病毒特點與實現原理、執行機制各有不同,對此,本課程的實驗內容主要圍繞"DOS引導型病毒、Windows32PE病毒、Word宏病毒、Java腳本病毒、VB腳本病毒、Outlook郵件病毒、蠕蟲、木馬”等典型的.計算機病毒展開[A-9]。雖然透過案例式的課堂理論教學可以讓學生在一定程度上對計算機病毒保持興趣,但是,如果沒有實踐的環節讓學生“近距離”地接觸病毒、感受病毒,那麼學生的興趣就會漸漸地變淡[[10]。
因此,必須合理規劃和安排實驗時一間,在學生還保持着興趣的情況下儘快安排實驗,使學生從對原理似懂非懂的狀態下親自實踐,深入理解病毒原理,並能夠激發學生想盡快實現分析病毒的“衝動”。爲了更好地說明本課程各個實驗教學環節的教學內容安排、教學過程以及教學方法,本文以典型的Win32PE病毒爲例進行闡述。
2Win32PE病毒實驗教學過程探索
目前所存在的各種類型的病毒中,Win32的PE病毒最爲盛行,功能最強,分析難度也最大,因此,掌握Win32PE病毒的基本原理及其執行機制,並能進行合理的對抗與分析對十一名反病毒分析師非常重要。PE病毒原理複雜,如何既能使學生不會因爲原理的複雜而嚇退、放棄,又能使學生激發並保持學習的熱情和興趣,就必須合理設計其教學過程與教學方法,本文主要從以下幾個教學環節展開討論。
2.1理論教學
如果沒有紮實的理論知識的支撐,就不可能有良好的實驗效果。對此,本文從以下幾個角度開展PE病毒的理論教學。(1)病毒案例的演示與簡單功能說明。由十PE病毒原理非常複雜,如果一開始就進入複雜枯燥的原理講解,必定會使學生的學習興趣消失殆盡。因此,爲了保持學生的學習興趣,採用病毒案例演示和簡單講解的方式進行導課,從而激發學生學習的“衝動”。(2)詳解PE檔案格式。PE檔案格式是Win32環境自身所帶的執行體檔案格式(如圖1所示),是PE病毒感染的對象[[5]。
PE格式的講解比較枯燥,但是內容卻很重要,是學習、理解和掌握PE病毒土作原理的關鍵,爲了使學生能聽得進去,就不能僅僅講解PE的結構構成,而要邊講結構邊藉助PPT的動畫演示功能對照一個PE檔案的二進制資訊進行說明,這樣可以使學生對PE檔案有一個更加直觀的認識。此外,對十PE病毒所關心的PE檔案關鍵字段要結合病毒的執行機制和行爲特點進行講解,告訴學生這個字段的作用是什麼,病毒如何來利用它,這樣學生不會孤立地學習PE格式,也就不會覺得學得無趣。(3)講解PE病毒的一般行爲及其土作原理。這部分是理解PE病毒行爲特點、土作原理、執行機制的核心部分。重點介紹PE病毒的重定位技術、獲取API函數地址的多種方法、獲取感染目標檔案的方法、檔案的多種感染技術等等。
2.2驗證型實驗教學
本課程的病毒驗證型實驗的開展主要是藉助了資訊安全實驗教學平臺,該平臺針對實驗內容提供了詳細的指導,包括實驗基礎、實驗原理及其動畫演示、實驗步驟和思考問題等,並提供了針對性的實驗輔助土具,可以更好地幫助學生理解每類病毒的執行機制。PE病毒的驗證型實驗主要是利用PE檔案資訊檢視土具、二進制檔案檢視土具、動態調試土具等多種土具相結合,來驗證PE病毒的基本原理。具體的實驗過程和實驗內容包括:
(1)以一個簡單的PE檔案爲例,採用U1traEdit等土具,手動檢視PE檔案的詳細二進制資訊,以深入理解PE檔案格式。(2)在虛擬機中執行病毒,觀察病毒的感染機制、感染前後宿主檔案的變化等,對PE病毒有一個直觀的認識。(3)以案例病毒爲樣本進行分析。首先,使用LordPE等PE檔案資訊檢視土具,分別讀取病毒感染前後宿主檔案的PE頭資訊、數據目錄表、節表等資訊,記錄下病毒所關心字段的關鍵數值,並分析其不同的原因;然後,使用U1traEdit土具的檔案比較功能,開啟病毒感染前後的檔案,檢視其二進制資訊,並將U1traEdit視窗中用不同顏色標記的二進制字段進行詳細分析,思考病毒修改該字段的目的所在,進而理解病毒的土作原理和執行機制。最後,結合使用O11yDBG等動態調試土具將樣本病毒加載進內存,分析其在內存中的執行過程。
2.3設計型實驗教學
透過驗證型實驗環節使學生對PE病毒的基本原理、執行機制有了一定的理解,但是如果不親自動手實現一個病毒,那麼這種理解不會太深刻,也會有很多的細節無法解釋,對此,設計型實驗教學環節就變的更加重要,本課程需要學生獨立完成以下幾個土作。(1)簡單PE病毒的設計與實現。請學生從病毒編寫者一的角度出發,設計簡單PE病毒的執行過程(如圖2所示),並實現一些PE病毒的基本行爲和簡單功能,以使學生更深入地理解和掌握PE病毒的一些共性行爲特徵和個性的行爲特徵,以及這些行爲的實現方式。(2)搭建病毒分析實驗室,分析簡單病毒樣本。搭建病毒分析實驗室,即安裝病毒執行環境一虛擬機,並將要用到的病毒行爲監控土具、病毒分析土具等者i‘裝入其中,如Filemon,Regmon,ProcessExplorer,Tcpview,IceSword,O11DBG,IDA等,然後將最常用的土具執行起來,完成各種配置,最後在虛擬機中製作快照,以便病毒分析時一直接還原快照。在搭建好的病毒分析實驗室中,學生可以獨立分析自己編寫的病毒和教師提供的病毒樣本。病毒分析實驗室的搭建不僅可以督促學生掌握虛擬機、常用病毒行爲監控土具、分析土具等的使用方法,而且可以更方便地執行和分析病毒。
2.4課程拓展一創新型實踐教學
訓一算機病毒的分析與對抗能力是在大量的實踐過程中培養起來的,因此,在PE病毒課程結課之後,仍需利用國家、學校、學院、教師等創造的各種機會來培養和鍛鍊學生,即鼓勵學生積極參與國家和天津市的資訊安全竟賽、科技立項、教師科研項目、知名企業實習實訓平臺、畢業設計等實踐活動,圍繞“病毒的分析與對抗”,自主命題、自主設計解決方案和實驗步驟,以促進學生自主學習與自主科研,提高學生的創新研究能力。
3結語
“計算機病毒”課程是資訊安全系列課程的令業基礎課程之一,對十資訊安全人才的培養具有舉足輕重的作用。爲了培養具備分析與對抗紛繁複雜的計算機病毒能力的高素質的土程實踐型資訊安全人才,本文以“土程實踐創新”理念爲導向,重點探索了計算機病毒課程實驗教學方面的幾個主要環節,並以Win32PE病毒爲例,從理論教學、驗證型實驗教學、設計型實驗教學、創新型實踐教學幾個方面展開了探索,爲本課程的後續改革以及資訊安全令業同類課程的教學改革提供參考。