計算機病毒樣本在操作系統課程教學中的應用

摘要：本文提出了在教學中結合計算機病毒樣本進行基于windows操作系統的演示教學方法，給出了整個教學方法的設計與實施流程，以及相關的注意事項。實踐證明，結合病毒木馬樣本的教學能極大提高學生學習興趣，幫助學生深刻地理解操作系統基本原理和概念。

關鍵詞：演示教學；教學方法；計算機病毒；操作系統

中圖分類號：TP316 文獻標識碼：B

1引言

“操作系統”是計算機相關專業的一門重要專業基礎課，傳統的課程教學一般是先講述理論部分的基本原理和概念，然后在實例部分則講解UNIX/Linux和Windows兩類的操作系統實例[1][2][3]。結合日常的教學工作以及與同行們的交流[4][5][6]，我們發現該課程的目前的教學模式中有這樣幾個問題是值得注意的：(1)教材內容包含大量枯燥難懂的原理和概念，而且教材的內容以及課堂的講解都很少與實際應用相聯系，學生往往較難理解，由此對課程學習缺乏興趣，最后考試以死記硬背應付了事；(2)課程的基本原理和概念內容大多結合Unix或者Linux操作系統進行講解，而學生缺乏專門的Unix或者Linux課程學習，并且日常使用的電腦大多都是Windows系列的操作系統，所以學生理解起來比較費力；(3)在Windows操作系統實例講解的時候，大多也僅僅是采用從概念到概念的教學方法，學生學習完后對日常所用的操作系統還是非常陌生，碰到系統故障例如系統注冊表修復被簡單的網頁木馬修改束手無策，這對他們以后從事企業、政府和學校桌面計算機系統維護和管理工作是十分不利的。本文提出應用計算機病毒木馬樣本的基于windows操作系統的演示教學方法，對以上教學模式的不足進行了改進。

2教學方法的設計與實施

2.1教學和實驗內容的安排

在教學內容方面，我們對教學內容的教學順序做了一點調整。常見操作系統教材內容的安排是先講述基礎理論，然后講述操作系統實例。例如先講述操作系統發展歷史、進程及其管理、調度與死鎖、存儲器管理、虛擬存儲器、設備管理、文件系統等基礎理論，然后再進行UNIX和Linux實例分析、Windows系統實例分析[2]。為了吸引學生的學習興趣和考慮到學生的熟悉情況，我們對教學內容的教學順序做了一點調整。我們是首先講述最后一部分，也就是學生相對熟悉的Windows操作系統實例開始進行講述。學期的前六個課時，除了根據基礎理論分類，大致介紹windows的進程、微內核、NTFS文件系統等概念外，我們是引入計算機病毒木馬樣本進行課堂教學演示，結合病毒樣本對操作系統的感染機制，讓學生在教師的演示過程中逐步深入地理解不同的概念，演示的詳細流程參見本文2.2節。

在實驗實訓部分，我們在傳統的操作系統實驗基礎上，增加了兩個小實驗：實驗1名稱是“計算機病毒感染操作系統的過程分析”和實驗2名稱是“服務器防病毒和木馬攻擊的配置”。其中實驗1的實驗時間安排在講完windows實例理論內容之后，實驗地點并不在學校機房，而要求學生尋找宿舍周圍或者其他專業學生中毒的計算機進行。實驗的要求是提交一個病毒木馬樣本，并提交包含描述該病毒感染的過程、感染后的駐留文件以及對應的手工清理方法的實驗報告。實驗2的實驗時間是安排在講完所有操作系統理論內容之后進行，是一個綜合性的實驗。實驗2安排在學校機房進行，實驗的操作系統選擇window2003。實驗主要是要求學生收集各種病毒和木馬對操作系統攻擊的資料，從對操作系統攻擊的角度對操作系統進行一些系列的配置，包括配置對應的服務器。通過這2個小實驗的引入，學生不僅僅停留在對操作系統基本概念的理解上，而且他們還為能夠為其他專業學生清理病毒，將自己電腦的操作系統進行一系列的配置減少中病毒木馬的機率而樂在其中。

2.2教學演示流程

在教學中我們使用計算機病毒木馬樣本按照如圖1所示的流程進行演示。

(1) 系統感染演示。首先是從樣本庫中提取一個預先經過認真分析的病毒木馬樣本，并雙擊進行感染操作系統的演示，然后講授病毒的感染途徑，包括軟盤、游戲光盤、移動存儲設備(包括存儲卡)、網絡(網頁、QQ、郵件、一上網就中毒)、甚至通過無線通信設備(例如手機)進行傳播。

(2) 檢查病毒駐留。首先講授操作系統感染病毒后的常見癥狀，例如機器很慢、機器網絡流量異常、殺毒軟件不能運行、一些軟件不能運行、任務管理器中有莫名其妙的進程。然后給學生講解操作系統被感染后，病毒木馬在硬盤中常見的駐留地方主要包括各盤根目錄和C盤的C:\\windows、C:\\windows\\system32、C:\\Program Files\\Common Files等目錄下，以及注冊表項目。根據操作系統感染前后的比較，引導學生發現病毒和木馬確實向這些常見的駐留地方寫入了一些可疑的文件。

(3) 病毒傳染演示。例如演示U盤感染途徑的方式。首先采用干凈的U盤插入已經被感染的計算機USB接口，然后采用CMD、Dir/a等Dos下面的命令給學生查看病毒往U盤寫入的自動運行文件，最后在干凈的機器上插入被感染的U盤，完成整個感染過程。

(4) 病毒檢查演示。病毒感染操作系統后，一般在注冊表啟動項中會有新增的可疑項、任務管理器中一般會有可以得進程、病毒常見的駐留地方也會有可疑的文件出現。通過檢查以上三個主要方面一般都會發現病毒的痕跡。有些惡意病毒感染操作系統后，會禁止用戶查看注冊表、查看進程表和隱藏自身的文件，這時候必須使用第三方工具軟件清除這些限制或者使用Dos下的命令進行操作。

(5) 病毒清除演示。根據操作系統中毒后在任務管理器中一定至少存在一個莫名其妙的進程的特點，強行終止這些進程(如果在任務管理器界面不能終止，則必須采用Dos下的ntsd命令)，然后在硬盤刪除病毒對應的exe、com、dll文件，或者將后綴名改名然后收集起來形成樣本。

2.3教學示例

結合一個具體的U盤pagefile.pif病毒，給出演示教學的過程如下：(1)系統感染演示。從樣本庫提取病毒樣本，雙擊病毒可執行文件。根據以往經驗，學生一般從來沒有見過病毒樣本或者從來不敢接觸病毒可執行文件，所以學生往往在此時刻都會集中精神屏住呼吸看老師的演示；(2)檢查病毒駐留。依據硬盤盤符順序檢查，最后是注冊表的

順序。最終檢查出如圖2所示的病毒駐留在硬盤的文件，同時注冊表啟動項目被添加c:\\windows\\services.exe一項。通過這一步的演示，學生們能感覺到病毒并不神秘，而且對windows系統的系統目錄以及注冊表有了初步的認識；(3)病毒傳染演示。插入干凈的U盤后，通過對圖3和圖4的比較，學生會發現pagefile病毒往U盤寫入的自動運行文件autorun.inf和病毒可執行文件pagefile.pif。與此同時可以提示學生，通過對操作系統的安全配置，可以關閉各磁盤的自動運行功能，避免病毒利用系統的這一原本有利于用戶的功能。通過這一步的演示，學生能掌握操作系統組安全策略的編輯和修改，掌握根據病毒傳播路徑來防病毒這一思想；(4)病毒檢查演示。通過檢查任務管理器中的進程，除了正常的系統進程service.exe外，又多了一個services.exe進程。通過這一步的演示，學生能理解進程是程序的一次執行，病毒處于激活狀態的時候必定有一個以上的進程在運行。(5)病毒的清理。由于該病毒名稱與系統進程名稱相同，無法在任務管理器的界面中進行清理，必須使用NTSD命令進行手動終止。另外在硬盤上駐留的病毒可執行文件，因為文件屬性都為RHS，所以要先改掉屬性才能進行刪除，同時在注冊表中清除serivce.exe自我啟動項。最后由于病毒還篡改了可執行文件的關聯，我們還必須通過assoc.exe=exefile進行恢復。盡管這一步病毒清除可以使用殺毒軟件進行清理，但是殺毒軟件隱藏了清理病毒的具體過程，操作界面傻瓜化，不利于專業的學習，所以這一步我們還是堅持使用手工清理病毒的方式。通過這一步的演示，學生可以掌握進程的終止，硬盤文件的隱藏、可讀寫、系統屬性。同時還可以掌握文件關聯的概念，深入理解常見的雙擊打開文件的執行過程，以及文件關聯調用的機制

%systemroot%\\Debug\\DebugProgram.exe

%systemroot%\\system32\\command.pif

%systemroot%\\system32\\dxdiag.com

%systemroot%\\system32\\finder.com

%systemroot%\\system32\\MSCONFIG.COM

%systemroot%\\system32\\regedit.com

%systemroot%\\system32\\rundll32.com

%systemroot%\\1.com

%systemroot%\\ExERoute.exe

%systemroot%\\explorer.com

%systemroot%\\finder.com

%systemroot%\\SERVICES.EXE

D:\\autorun.inf

D:\\pagefile.pif

圖2病毒在硬盤中的文件

最后給學生總結，只有充分熟悉操作系統基本原理，才能根據病毒傳播路徑來防病毒，根據病毒駐留地址來查病毒，根據病毒中毒癥狀來殺病毒。并且引導學生深入了解操作系統如何啟動、注冊表大概結構、系統進程、系統服務等原理，熟悉系統的核心進程，以及用程序編寫系統的相關服務和調用。

3應用病毒樣本進行教學的注意事項

3.1注意收集各種病毒木馬的樣本

應用計算機病毒木馬樣本進行演示教學的前提是教師必須擁有病毒木馬樣本，這需要教師平時注意樣本的收集和整理。筆者收集病毒樣本的途徑主要是(1)自己工作的計算機感染病毒或者木馬后，及時清理并收集；(2)兼任學校辦公某一部門(例如人事處)的網絡維護工作。這些部門的計算機系統防護措施一般比較弱，更容易感染新的病毒木馬，這也有利于我們病毒木馬樣本的收集；(3)兼任企業的技術顧問。企業的日常網絡和系統維護一般有專人維護，但是碰到新流行、感染機制不明確、殺毒軟件病毒庫未能及時檢測出的病毒的時候，企業的網絡管理員往往束手無措并向技術顧問求援，這時候有助于我們收集市面上最新病毒木馬樣本。另外，病毒樣本收集的一個技巧是將病毒相關文件的后綴名統一加1，例如將virus.exe修改為virus.exe1，autorun.inf修改為autorun.inf1，這避免病毒木馬樣本在本機上的激活，而且統一的命名規則使得能通過文件檢索查出所有的樣本。

3.2注意對教學計算機的保護。

由于演示教學中涉及病毒木馬對操作系統感染，所以必須注意對教學計算機的保護。在多媒體教室進行演示教學的時候，可以考慮給操作系統安裝還原精靈這類的第三方輔助軟件。這類的系統還原軟件安裝非常簡單，不需要借助硬件還原卡，非常適合在多媒體教室、演講廳等環境使用，安裝時候可以考慮選擇手工恢復模式，這樣可以確保系統萬一出現無法修復時候可以及時還原。在備課階段對病毒木馬進行感染機制分析的時候，對自己的辦公計算機也可以考慮采用同樣的保護措施。

3.3注意對學生的教育

注意給學生說明計算機病毒木馬的危害，以及根據《計算機信息網絡國際聯網安全保護管理辦法》和我國刑法第二百八十六條規定故意制作、傳播計算機病毒等破壞性程序的行為是必須負刑事責任的，引導學生清除并收集自己計算機上的病毒木馬樣本，引導學生樹立正義感，深入研究操作系統原理和內核，堅決與破壞操作系統的各種病毒木馬作對。在出現操作系統故障的時候要耐心分析，排除硬件故障的基礎上，區別病毒木馬引起的故障與其他軟件不兼容引起的故障，從而找出系統修復的方法，而不是動不動就重新安裝操作系統。

4教學效果與總結

在“操作系統”課程教學中，我們采用計算機病毒木馬樣本進行系統感染、病毒駐留、病毒傳染、病毒檢測、病毒清除的一系列演示教學，使得學生能深刻理解windows操作系統的啟動過程、注冊表和系統服務的工作原理，進而也加深了對進程、線程、文件目錄等操作系統基本原理和概念的理解。同時學生在課后時間能應用所學知識進行計算機操作系統恢復和修復，幫助校內其他專業學生的電腦進行常見的計算機病毒的清理和查殺。通過學生的課后反饋，不少人表示從操作系統課程學到了課本以外的知識，而且學習操作系統理論可以學以致用，極大提高了他們學習“操作系統”課程的興趣。通過查閱相關的文獻，發現國內外很少有結合計算機病毒木馬樣本進行操作系統課程的演示教學，這也算是我們從事“操作系統”課程教學的一點新的嘗試。

參考文獻

[1] Andrew.S.Tanenbaum. Modern Operating System[M]. Prentice Hall， 2005.

[2] 彭明德， 肖健宇. 計算機操作系統(第2版)[M]. 北京:清華大學出版社， 2007.

[3] 孟靜. 操作系統原理教(第2版)[M]. 北京:清華大學出版社， 2007.

[4] 葉春鳳. 操作系統課程課堂教學策略探究[J]. 計算機教育，2008，(6):87-88.

[5] 劉乃琦. 操作系統課程的教學研究[J]. 計算機教育，2007，(10):35-39.

[6] 李東，陸幼利，殷群.“操作系統”課程建設與實踐[J]. 計算機教育，2007，(8):22-24.