《网络安全技术》（徐照兴）489-7教案 第二章 计算机恶意代码（二）

第课计算机恶意代码（二）第课计算机恶意代码（二）PAGE2554计算机恶意代码（二）第课PAGE54计算机恶意代码（二）第课PAGE3

课题计算机恶意代码（二）课时2课时（90min）教学目标知识技能目标：（1）掌握特洛伊木马的概念、原理及防范措施。（2）掌握后门（陷阱）的概念、特征、分类及防范措施。（3）了解僵尸程序和僵尸网络的概念及原理。思政育人目标：通过对恶意代码的介绍，让学生懂得维护网络安全的必要性和复杂性，激发学生学习进取的决心，履行新时代的使命，承担起网络时代的责任。教学重难点教学重点：特洛伊木马的原理；后门的概念教学难点：特洛伊木马和后门的防范措施教学方法问答法、讨论法、讲授法、演示法教学用具电脑、投影仪、多媒体课件、教材教学设计第1节课：传授新知（20min）第2节课：传授新知（25min）

课堂讨论（10min）

课堂小结（3min）

作业布置（2min）教学过程主要教学内容及步骤设计意图第一节课课前任务【教师】和学生负责人取得联系，布置课前任务复习上节课所学知识，知道计算机代码分为哪几种（2）通过文旌课堂APP或者其他学习平台查找TCP/IP协议的有关知识并学习【学生】完成老师布置的任务通过课前任务，让学生使所学内容连贯起来，能够更好的接受新的知识点，激发学生的学习欲望。考勤

（2min）【教师】清点上课人数，记录好考勤【学生】班干部报请假人员及原因培养学生的组织纪律性，掌握学生的出勤情况案例导入

（15min）【教师】为学生播放古希腊故事“特洛伊木马”影片，并简单介绍故事内容特洛伊木马的故事是在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊十兵打开城门，特洛伊沦陷。后人常用"特洛伊木马"这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。另有特洛伊木马"Greekgift"一词意为"害人的礼物"。【学生】聆听，思考【教师】提出问题为什么用古希腊神话中的木马命名电脑恶意程序，它们之间有什么相似之处？【学生】思考，回答通过互动导入，引导学生思考，调动学生的主观能动性传授新知

（20min）【教师】根据学生的回答，引入新的知识点特洛伊木马（简称木马）是根据古希腊神话中的木马命名的。木马通常并不像计算机病毒那样感染文件。作为一种恶意代码，它一般是以寻找后门、窃取密码和重要文件为主，还可以对计算机系统进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。木马的概念和原理木马的概念木马是一种带有恶意性质的远程控制软件，通常悄悄地在寄宿主机上运行，在用户毫无察觉的情况下使攻击者获得远程访问和控制系统的权限。木马的安装和操作都是在隐蔽之中完成的。攻击者经常把木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站上下载和运行了带恶意代码的软件，或者不小心点击了带有恶意代码的邮件附件。木马的传播方式主要有以下3种。通过E-Mail传播。通过软件下载传播。通过即时通信工具传播。木马的原理（详见教材）木马程序一般包括客户端（Client）部分和服务器端（Server）部分，采用C/S工作模式，如图所示。木马的新类型（详见教材）随着数字货币交易价格持续走高，挖矿木马空前活跃，黑客大量利用受害机器挖掘数字货币。随着各类芯片的广泛使用，主要针对芯片攻击的硬件木马也开始出现，并对特定硬件进行破坏。网页木马挖矿木马硬件木马木马的预防和清除木马的预防措施不随意打开来历不明的邮件，阻塞可疑邮件。不随意下载来历不明的软件。及时修补漏洞和关闭可疑的端口。尽量少用共享文件夹。运行实时监控程序。经常升级系统和更新病毒库。限制使用不必要的具有传输能力的程序。木马的检测和清除【学生】聆听、思考、理解、记忆通过对木马的概念和原理等的讲解，让学生更加清楚的认识木马并知道如何有效的预防计算机不被木马感染演示教学（8min）【教师】通过多媒体为同学们演示如何检测和清除木马程序（1）查看开放端口。（2）查看和恢复win.ini和system.ini系统配置文件。（3）查看启动程序并删除可疑的启动程序。（4）查看系统进程并停止可疑的系统进程。（5）查看和还原注册表。【学生】观看，聆听，思考，理解通过演示教学，能够更加生动具体的让同学们明白如何检测和清除计算机中的木马病毒第二节课问题导入（5min）【教师】提出问题计算机恶意代码中，除了我们讲过的计算机病毒、网络蠕虫和木马之外，还有哪些？对后门和僵尸程序有没有了解？【学生】思考，举手回答通过对后门和僵尸程序的介绍，让学生对网络中的恶意代码有一个更加系统的认识传授新知

（25min）【教师】根据学生的回答，引出新的知识点后门也称陷阱，它是允许攻击者绕过系统常规安全控制机制而获得对程序或系统的控制权的程序，是能够根据攻击者的意图而提供的访问通道。一、后门的概念和特征后门是访问程序和在线服务的一种秘密方式。通过安装后门，攻击者可保持一条秘密通道，每次访问时不必通过正常的登录认证方式。它对系统安全的威胁是潜在的、不确定的。当某个程序或系统存在后门时，该后门程序会保存在计算机系统中，只有当攻击者需要时才通过某种特殊方式来控制计算机系统。一般来说，后门主要具有以下几个作用：①方便再次入侵；②隐藏操作痕迹；③绕过监控系统；④提供恶意代码植入手段。二、后门的分类和防范后门的分类网页后门。线程插入后门。扩展后门。C/S后门。账户后门。后门的防范后门的应用级检测和防御。后门的内核级检测和防御。【学生】聆听、思考、理解、记忆【教师】继续讲解僵尸程序的相关知识（详见教材）僵尸程序（Bot）是指实现恶意控制功能的程序代码。它和命令与控制服务器、控制者等共同组成的可通信、可控制的网络，被称为僵尸网络（Botnet）。攻击者通常利用僵尸网络发起各种恶意行为，如对任何指定主机发起分布式拒绝服务（DDoS）攻击、发送垃圾邮件、窃取敏感信息、滥用资源等。通过对后门和僵尸程序的介绍，让学生对网络中的恶意代码有一个更加系统的认识课堂讨论

（10min）【教师】将学生分成若干小组，讨论以下问题：什么是后门？它与木马、计算机病毒有何不同？当计算机感染木马时，应如何处理？【学生】思考，选出组长发言【教师】对学生的发言进行总结维护好网络安全刻不容缓，大家一点要做好防范措施通过提出问题课上讨论的方式让学生在轻松地氛围中巩固有所知识课堂小结

（3min）【教师】简要总结本节课的要点本节课对特洛伊木马、后门（陷阱）、僵尸程序等典型恶意代码进行了讲解，希望大家通过本节课的学习能够对网络中出现的各种恶意代码有一个全面而清楚的认识。【学生】总结回顾知识点总结知识