網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)（人郵） 教案-第 5 章 計(jì)算機(jī)病毒與木馬2（5.3-5.4）

1、一、復(fù)習(xí)（5）1 一、復(fù)習(xí)（5）1 .復(fù)習(xí)二、講授新課（1）章節(jié)標(biāo)題第5章計(jì)算機(jī)病毒與木馬2單元標(biāo)題5. 3計(jì)算機(jī)病毒的檢測(cè)與防范5. 4木馬攻擊與分析授課時(shí)長2學(xué)時(shí)教學(xué)目標(biāo)知識(shí)目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)（含思政目標(biāo)）了解文件型病毒、引導(dǎo)型病 毒、宏病毒和文件加密勒索 病毒的特征及相關(guān)防范。重 點(diǎn)掌握蠕蟲病毒和勒索病毒 的特征及防范。了解木馬和 分類。能掌握4種病毒的感染特 征，并能夠進(jìn)行防范；能夠 掌握木馬的概念和分類。通過講授4種病毒的特征， 針對(duì)4種病毒進(jìn)行相關(guān)防范； 通過講授木馬的概念和分 類，具備對(duì)木馬的認(rèn)知，進(jìn)而 進(jìn)行相關(guān)防范。教學(xué)過程：（主要教學(xué)環(huán)節(jié)、時(shí)間分配）2.導(dǎo)入（80，）(2)

2、(3)(4)(2)(3)(4)(5)(6)(7)(8)三、小結(jié)(4 )蠕蟲病毒文件加密勒索病毒木馬背景介紹木馬概述木馬的分類木馬的開展四、布置作業(yè)（1 ）重點(diǎn)難點(diǎn):文件型病毒、引導(dǎo)型病毒、宏病毒和文件加密勒索病毒的特征及相關(guān)防范。教學(xué)方法、手段：多媒體教學(xué)；案例法；雨課堂推送拓展學(xué)習(xí)資料飛課后作業(yè)：課后題 1、2、5、8、10、12教學(xué)后記：.教學(xué)環(huán)境要求：需要授課教師使用WinlO主機(jī)進(jìn)行授課，并安裝VMWARE按照一個(gè)Win7 虛擬機(jī)內(nèi)置勒索病毒。需要將相關(guān)工具復(fù)制安裝到虛擬主機(jī)中。.教學(xué)組織方式：采取理實(shí)一體的教學(xué)組織模式，教學(xué)做一體化，個(gè)人完成相關(guān)的操作。.學(xué)生知識(shí)儲(chǔ)藏：學(xué)生應(yīng)具備虛擬

3、機(jī)使用經(jīng)驗(yàn)。一、 創(chuàng)設(shè)情境，引出本節(jié)內(nèi)容導(dǎo)入：國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)平安態(tài)勢(shì)綜述報(bào)告指出：勒 索病毒持續(xù)活躍，全年捕獲勒索病毒軟件78.1萬余個(gè)，較2019年同比增長6. 8%。另外，“有 組織、有目的的網(wǎng)絡(luò)攻擊形勢(shì)愈加明顯，為網(wǎng)絡(luò)平安防護(hù)工作帶來更多挑戰(zhàn)”。思政內(nèi)容融入點(diǎn)：國家互聯(lián)網(wǎng)信息辦公室等12個(gè)部門聯(lián)合制定和發(fā)布網(wǎng)絡(luò)平安審查辦 法，自2022年2月15日起施行，以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈平安，維護(hù)國家平安。二、進(jìn)入重點(diǎn)知識(shí)的講解.國家出臺(tái)多個(gè)網(wǎng)絡(luò)平安保障措施文件。中共中央關(guān)于制定國民經(jīng)濟(jì)和社會(huì)開展第十四個(gè)五年規(guī)劃和二。三五年遠(yuǎn)景目標(biāo)的建 議正式發(fā)布，提出保障

4、國家數(shù)據(jù)平安，加強(qiáng)個(gè)人信息保護(hù)，全面加強(qiáng)網(wǎng)絡(luò)平安保障體系和能 力建設(shè)，維護(hù)水利、電力、供水、油氣、交通、通信、網(wǎng)絡(luò)、金融等重要基礎(chǔ)設(shè)施平安。中共中央印發(fā)法治社會(huì)建設(shè)實(shí)施綱要（2020 2025年）,要求依法治理網(wǎng)絡(luò)空間， 推動(dòng)社會(huì)治理從現(xiàn)實(shí)社會(huì)向網(wǎng)絡(luò)空間覆蓋，建立健全網(wǎng)絡(luò)綜合治理體系，加強(qiáng)依法管網(wǎng)、依法 辦網(wǎng)、依法上網(wǎng)，全面推進(jìn)網(wǎng)絡(luò)空間法治化，營造清朗的網(wǎng)絡(luò)空間。.計(jì)算機(jī)病毒的檢測(cè)與防范不同類型的病毒有相應(yīng)的防范措施，以實(shí)現(xiàn)數(shù)據(jù)的平安保護(hù)。文件型病毒文件型病毒是指能夠寄生在文件中的，以文件為主要感染對(duì)象的病毒。這類病毒主耍感染 可執(zhí)行文件或數(shù)據(jù)文件，是種類和數(shù)量最為龐大的一種病毒。隨著網(wǎng)絡(luò)的開

5、展，網(wǎng)絡(luò)和蠕蟲型 的文件型病毒肆虐，一些帶病毒的數(shù)據(jù)包和郵件越來越多，一不小心翻開這些帶毒文件，系統(tǒng) 就會(huì)中毒甚至崩潰。（1）文件型病毒的載入當(dāng)一個(gè)被感染的應(yīng)用程序運(yùn)行之后，病毒開始控制系統(tǒng)后臺(tái)和后續(xù)操作；如果這個(gè)病毒是 常駐內(nèi)存型的，那么病毒將自己裝入內(nèi)存，監(jiān)視文件系統(tǒng)的運(yùn)行狀況并翻開服務(wù)的調(diào)用，系統(tǒng)調(diào) 用該服務(wù)時(shí)，病毒將感染其他文件；如果該文件不是常駐內(nèi)存型的，那么病毒會(huì)立即找到一個(gè)感 染對(duì)象，然后取得這個(gè)原始文件的控制權(quán)。（2）文件型病毒的防范安裝最新版本、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時(shí)更新病毒引擎，一般每個(gè)月至少更新一次，最好每周更新一次，并在有病毒突發(fā)事件時(shí)立即更新。經(jīng)常使

6、用防毒軟件對(duì)系統(tǒng)進(jìn)行病毒檢查。（4）對(duì)關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下經(jīng)常備份。在不影響系統(tǒng)正常工作的情況下，對(duì)系統(tǒng)文件設(shè)置最低的訪問權(quán)限。宏病毒1） 1.觀察計(jì)算機(jī)是否有宏病毒的表現(xiàn)嘗試保存文檔時(shí)，Word只允許保存為文檔模板。Word文檔圖標(biāo)的外形類似于文檔模板圖標(biāo)而不是文檔圖標(biāo)。在工具菜單上選擇“宏”并單擊“宏”后，程序沒有反響。宏列表中出現(xiàn)新宏。翻開Word文檔或模板時(shí)顯示異常消息。 如果翻開一個(gè)文檔后沒有進(jìn)行修改，立即就有存盤操作。（2）對(duì)宏病毒的防范 提高宏的平安級(jí)別。目前，高版本的Word軟件可以設(shè)置宏的平安級(jí)別，在不影響正 常使用的情況下，應(yīng)該選擇較高的平安級(jí)別。

7、刪除不知來路的宏定義。 將Normal, dot模板進(jìn)行備份，當(dāng)被病毒感染后，使用備份模板進(jìn)行覆蓋。（3）實(shí)作演練：宏病毒2.3蠕蟲病毒蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡意病毒。（1）主要傳播方式蠕蟲病毒利用微軟的系統(tǒng)漏洞攻擊計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)中的客戶端感染了這種病毒，會(huì)不 斷地?fù)芴?hào)上網(wǎng)，利用文件中的地址或者網(wǎng)絡(luò)的共享進(jìn)行傳播，導(dǎo)致網(wǎng)絡(luò)服務(wù)遭到拒絕，最終導(dǎo) 致用戶的大局部重要數(shù)據(jù)被破壞。蠕蟲病毒利用電子郵件進(jìn)行傳播，如“求職信”病毒和“愛蟲”病毒等，它們會(huì)盜取被 感染計(jì)算機(jī)中的郵件地址，并利用這些郵件地址進(jìn)行傳播，對(duì)接收到郵件的計(jì)算機(jī)進(jìn)行破壞, 甚至最終造成整個(gè)網(wǎng)絡(luò)的癱瘓。（2）蠕蟲病毒防范措施用戶

8、在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀，對(duì)重要的文件夾設(shè)置訪問賬號(hào) 和密碼。要定期檢查自己的系統(tǒng)內(nèi)是否具有可寫權(quán)限的共享文件夾，一旦發(fā)現(xiàn)這種文件夾，需 要及時(shí)關(guān)閉該共享權(quán)限。要定期檢查計(jì)算機(jī)中的賬戶，看看是否存在不明賬戶信息。一旦發(fā)現(xiàn)，應(yīng)該立即刪除 該賬戶，并且禁用Guest賬號(hào)，防止被病毒利用。給計(jì)算機(jī)的賬戶設(shè)置比擬復(fù)雜的密碼，防止被蠕蟲病毒破譯。購買主流的網(wǎng)絡(luò)平安產(chǎn)品，并隨時(shí)更新。提高防殺病毒的意識(shí)，不要輕易登錄陌生的站點(diǎn)。不要隨意查看陌生郵件，尤其是帶有附件的郵件。2.4文件加密勒索病毒(1)勒索病毒概述勒索病毒(Ransomware)是伴隨數(shù)字貨幣興起的一種新型木馬病毒，通常以垃圾

9、郵件、服 務(wù)器入侵、網(wǎng)頁掛馬、捆綁軟件等多種形式進(jìn)行傳播。機(jī)器一旦遭受勒索病毒攻擊，將會(huì)使絕 大多數(shù)文件被加密算法修改，并添加一個(gè)特殊的擴(kuò)展名，且用戶無法讀取原本正常的文件，對(duì) 用戶造成無法估量的損失。(2)判斷勒索病毒可通過以下方式判斷是否中了勒索病毒。計(jì)算機(jī)中的文件變?yōu)椴豢煞_形式，或者文件擴(kuò)展名被篡改，需要支付贖金才能恢復(fù)文 件。業(yè)務(wù)系統(tǒng)無法訪問，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時(shí)，登錄服務(wù)器桌面， 桌面通常會(huì)出現(xiàn)新的文本或者網(wǎng)頁文件，內(nèi)容是說明如何解密和聯(lián)系方式。(3)中勒索病毒的處理方式正確的處理方式確認(rèn)服務(wù)器已經(jīng)感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)。隔離主要包括物理隔離和訪

10、問 控制兩種手段。物理隔離主要為斷網(wǎng)或斷電；訪問控制主要是指對(duì)訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和 控制。錯(cuò)誤的處理方式使用移動(dòng)存儲(chǔ)設(shè)備和自行恢復(fù)磁盤文件。(4)實(shí)作演練：勒索病毒。3木馬攻擊與分析木馬是指以盜取用戶個(gè)人信息，甚至以遠(yuǎn)程控制用戶計(jì)算機(jī)為主要目的的惡意程序。木馬常被用作入侵網(wǎng)絡(luò)系統(tǒng)的重要工具，一旦感染木馬，計(jì)算機(jī)將面臨數(shù)據(jù)喪失、系統(tǒng)被操控的威 脅。木馬背景介紹(1)古希臘故事中的“特洛伊木馬”。(2)網(wǎng)絡(luò)中的“特洛伊木馬” o木馬概述古希臘故事中的“特洛伊木馬”和網(wǎng)絡(luò)中的“特洛伊木馬”。特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它具備破壞和刪 除文件、發(fā)送密碼

11、、記錄鍵盤和用戶操作、破壞用戶系統(tǒng)，甚至使系統(tǒng)癱瘓的功能。木馬可以被分成良性木馬和惡性木馬兩種。(1)特洛伊木馬與其他病毒的區(qū)別病毒能進(jìn)行復(fù)制和傳播，特洛伊木馬不能自行傳播。(2)特洛伊木馬的種植木馬靠偽裝植入目標(biāo)機(jī)器，偽裝有兩種手段：將自己偽裝成一般的軟件或者把木馬綁定在 正常的程序上面。(3)特洛伊木馬的行為瀏覽文件系統(tǒng)，修改、刪除、獲取目標(biāo)機(jī)器上的文件；查看系統(tǒng)的進(jìn)程信息，對(duì)該系統(tǒng)的進(jìn)程進(jìn)行控制；查看系統(tǒng)注冊(cè)表，修改系統(tǒng)的配置信息；截取計(jì)算機(jī)的屏幕顯示，發(fā)送給“客戶端”；記錄被攻擊系統(tǒng)的輸入、輸出操作，盜取密碼等個(gè)人信息；控制計(jì)算機(jī)的鍵盤、鼠標(biāo)或其他硬件設(shè)備的動(dòng)作；以被攻擊者的計(jì)算機(jī)為跳板，攻擊網(wǎng)絡(luò)中的其他計(jì)算機(jī)；通過網(wǎng)絡(luò)下載新的病毒文件。木馬的分類(1)遠(yuǎn)程控制木馬(2)密碼發(fā)送木馬(3)鍵盤記錄木馬(4)破壞性質(zhì)的木馬5) DoS攻擊木馬(6)代理木馬(7) FTP木馬.4木馬的開展第一代木馬功能非常簡(jiǎn)單，主要針對(duì)UNIX系統(tǒng)，有BO、Netspy等。第二代木馬功能大大地加強(qiáng)，幾乎能夠進(jìn)行所有的操作，國外具有代表性的有B02000和 Sub7,而國內(nèi)幾乎就是冰河的天下。第三代木馬繼續(xù)完善了連接與文件傳輸技術(shù)，增加了木馬穿透防火墻的功能，并出現(xiàn)了“反 彈端口”技術(shù)，如國內(nèi)常見的“灰鴿子”等。第四代木馬除了完善之前幾代木馬的所有技術(shù)外，還增加了進(jìn)程