摘要：本文提出了在教學(xué)中結(jié)合計(jì)算機(jī)病毒樣本進(jìn)行基于windows操作系統(tǒng)的演示教學(xué)方法，給出了整個(gè)教學(xué)方法的設(shè)計(jì)與實(shí)施流程，以及相關(guān)的注意事項(xiàng)。實(shí)踐證明，結(jié)合病毒木馬樣本的教學(xué)能極大提高學(xué)生學(xué)習(xí)興趣，幫助學(xué)生深刻地理解操作系統(tǒng)基本原理和概念。

關(guān)鍵詞：演示教學(xué)；教學(xué)方法；計(jì)算機(jī)病毒；操作系統(tǒng)

中圖分類號：TP316 文獻(xiàn)標(biāo)識碼：B

1引言

“操作系統(tǒng)”是計(jì)算機(jī)相關(guān)專業(yè)的一門重要專業(yè)基礎(chǔ)課，傳統(tǒng)的課程教學(xué)一般是先講述理論部分的基本原理和概念，然后在實(shí)例部分則講解UNIX/Linux和Windows兩類的操作系統(tǒng)實(shí)例[1][2][3]。結(jié)合日常的教學(xué)工作以及與同行們的交流[4][5][6]，我們發(fā)現(xiàn)該課程的目前的教學(xué)模式中有這樣幾個(gè)問題是值得注意的：(1)教材內(nèi)容包含大量枯燥難懂的原理和概念，而且教材的內(nèi)容以及課堂的講解都很少與實(shí)際應(yīng)用相聯(lián)系，學(xué)生往往較難理解，由此對課程學(xué)習(xí)缺乏興趣，最后考試以死記硬背應(yīng)付了事；(2)課程的基本原理和概念內(nèi)容大多結(jié)合Unix或者Linux操作系統(tǒng)進(jìn)行講解，而學(xué)生缺乏專門的Unix或者Linux課程學(xué)習(xí)，并且日常使用的電腦大多都是Windows系列的操作系統(tǒng)，所以學(xué)生理解起來比較費(fèi)力；(3)在Windows操作系統(tǒng)實(shí)例講解的時(shí)候，大多也僅僅是采用從概念到概念的教學(xué)方法，學(xué)生學(xué)習(xí)完后對日常所用的操作系統(tǒng)還是非常陌生，碰到系統(tǒng)故障例如系統(tǒng)注冊表修復(fù)被簡單的網(wǎng)頁木馬修改束手無策，這對他們以后從事企業(yè)、政府和學(xué)校桌面計(jì)算機(jī)系統(tǒng)維護(hù)和管理工作是十分不利的。本文提出應(yīng)用計(jì)算機(jī)病毒木馬樣本的基于windows操作系統(tǒng)的演示教學(xué)方法，對以上教學(xué)模式的不足進(jìn)行了改進(jìn)。

2教學(xué)方法的設(shè)計(jì)與實(shí)施

2.1教學(xué)和實(shí)驗(yàn)內(nèi)容的安排

在教學(xué)內(nèi)容方面，我們對教學(xué)內(nèi)容的教學(xué)順序做了一點(diǎn)調(diào)整。常見操作系統(tǒng)教材內(nèi)容的安排是先講述基礎(chǔ)理論，然后講述操作系統(tǒng)實(shí)例。例如先講述操作系統(tǒng)發(fā)展歷史、進(jìn)程及其管理、調(diào)度與死鎖、存儲(chǔ)器管理、虛擬存儲(chǔ)器、設(shè)備管理、文件系統(tǒng)等基礎(chǔ)理論，然后再進(jìn)行UNIX和Linux實(shí)例分析、Windows系統(tǒng)實(shí)例分析[2]。為了吸引學(xué)生的學(xué)習(xí)興趣和考慮到學(xué)生的熟悉情況，我們對教學(xué)內(nèi)容的教學(xué)順序做了一點(diǎn)調(diào)整。我們是首先講述最后一部分，也就是學(xué)生相對熟悉的Windows操作系統(tǒng)實(shí)例開始進(jìn)行講述。學(xué)期的前六個(gè)課時(shí)，除了根據(jù)基礎(chǔ)理論分類，大致介紹windows的進(jìn)程、微內(nèi)核、NTFS文件系統(tǒng)等概念外，我們是引入計(jì)算機(jī)病毒木馬樣本進(jìn)行課堂教學(xué)演示，結(jié)合病毒樣本對操作系統(tǒng)的感染機(jī)制，讓學(xué)生在教師的演示過程中逐步深入地理解不同的概念，演示的詳細(xì)流程參見本文2.2節(jié)。

在實(shí)驗(yàn)實(shí)訓(xùn)部分，我們在傳統(tǒng)的操作系統(tǒng)實(shí)驗(yàn)基礎(chǔ)上，增加了兩個(gè)小實(shí)驗(yàn)：實(shí)驗(yàn)1名稱是“計(jì)算機(jī)病毒感染操作系統(tǒng)的過程分析”和實(shí)驗(yàn)2名稱是“服務(wù)器防病毒和木馬攻擊的配置”。其中實(shí)驗(yàn)1的實(shí)驗(yàn)時(shí)間安排在講完windows實(shí)例理論內(nèi)容之后，實(shí)驗(yàn)地點(diǎn)并不在學(xué)校機(jī)房，而要求學(xué)生尋找宿舍周圍或者其他專業(yè)學(xué)生中毒的計(jì)算機(jī)進(jìn)行。實(shí)驗(yàn)的要求是提交一個(gè)病毒木馬樣本，并提交包含描述該病毒感染的過程、感染后的駐留文件以及對應(yīng)的手工清理方法的實(shí)驗(yàn)報(bào)告。實(shí)驗(yàn)2的實(shí)驗(yàn)時(shí)間是安排在講完所有操作系統(tǒng)理論內(nèi)容之后進(jìn)行，是一個(gè)綜合性的實(shí)驗(yàn)。實(shí)驗(yàn)2安排在學(xué)校機(jī)房進(jìn)行，實(shí)驗(yàn)的操作系統(tǒng)選擇window2003。實(shí)驗(yàn)主要是要求學(xué)生收集各種病毒和木馬對操作系統(tǒng)攻擊的資料，從對操作系統(tǒng)攻擊的角度對操作系統(tǒng)進(jìn)行一些系列的配置，包括配置對應(yīng)的服務(wù)器。通過這2個(gè)小實(shí)驗(yàn)的引入，學(xué)生不僅僅停留在對操作系統(tǒng)基本概念的理解上，而且他們還為能夠?yàn)槠渌麑I(yè)學(xué)生清理病毒，將自己電腦的操作系統(tǒng)進(jìn)行一系列的配置減少中病毒木馬的機(jī)率而樂在其中。

2.2教學(xué)演示流程

在教學(xué)中我們使用計(jì)算機(jī)病毒木馬樣本按照如圖1所示的流程進(jìn)行演示。

(1) 系統(tǒng)感染演示。首先是從樣本庫中提取一個(gè)預(yù)先經(jīng)過認(rèn)真分析的病毒木馬樣本，并雙擊進(jìn)行感染操作系統(tǒng)的演示，然后講授病毒的感染途徑，包括軟盤、游戲光盤、移動(dòng)存儲(chǔ)設(shè)備(包括存儲(chǔ)卡)、網(wǎng)絡(luò)(網(wǎng)頁、QQ、郵件、一上網(wǎng)就中毒)、甚至通過無線通信設(shè)備(例如手機(jī))進(jìn)行傳播。

(2) 檢查病毒駐留。首先講授操作系統(tǒng)感染病毒后的常見癥狀，例如機(jī)器很慢、機(jī)器網(wǎng)絡(luò)流量異常、殺毒軟件不能運(yùn)行、一些軟件不能運(yùn)行、任務(wù)管理器中有莫名其妙的進(jìn)程。然后給學(xué)生講解操作系統(tǒng)被感染后，病毒木馬在硬盤中常見的駐留地方主要包括各盤根目錄和C盤的C:\\windows、C:\\windows\\system32、C:\\Program Files\\Common Files等目錄下，以及注冊表項(xiàng)目。根據(jù)操作系統(tǒng)感染前后的比較，引導(dǎo)學(xué)生發(fā)現(xiàn)病毒和木馬確實(shí)向這些常見的駐留地方寫入了一些可疑的文件。

(3) 病毒傳染演示。例如演示U盤感染途徑的方式。首先采用干凈的U盤插入已經(jīng)被感染的計(jì)算機(jī)USB接口，然后采用CMD、Dir/a等Dos下面的命令給學(xué)生查看病毒往U盤寫入的自動(dòng)運(yùn)行文件，最后在干凈的機(jī)器上插入被感染的U盤，完成整個(gè)感染過程。

(4) 病毒檢查演示。病毒感染操作系統(tǒng)后，一般在注冊表啟動(dòng)項(xiàng)中會(huì)有新增的可疑項(xiàng)、任務(wù)管理器中一般會(huì)有可以得進(jìn)程、病毒常見的駐留地方也會(huì)有可疑的文件出現(xiàn)。通過檢查以上三個(gè)主要方面一般都會(huì)發(fā)現(xiàn)病毒的痕跡。有些惡意病毒感染操作系統(tǒng)后，會(huì)禁止用戶查看注冊表、查看進(jìn)程表和隱藏自身的文件，這時(shí)候必須使用第三方工具軟件清除這些限制或者使用Dos下的命令進(jìn)行操作。

(5) 病毒清除演示。根據(jù)操作系統(tǒng)中毒后在任務(wù)管理器中一定至少存在一個(gè)莫名其妙的進(jìn)程的特點(diǎn)，強(qiáng)行終止這些進(jìn)程(如果在任務(wù)管理器界面不能終止，則必須采用Dos下的ntsd命令)，然后在硬盤刪除病毒對應(yīng)的exe、com、dll文件，或者將后綴名改名然后收集起來形成樣本。

2.3教學(xué)示例

結(jié)合一個(gè)具體的U盤pagefile.pif病毒，給出演示教學(xué)的過程如下：(1)系統(tǒng)感染演示。從樣本庫提取病毒樣本，雙擊病毒可執(zhí)行文件。根據(jù)以往經(jīng)驗(yàn)，學(xué)生一般從來沒有見過病毒樣本或者從來不敢接觸病毒可執(zhí)行文件，所以學(xué)生往往在此時(shí)刻都會(huì)集中精神屏住呼吸看老師的演示；(2)檢查病毒駐留。依據(jù)硬盤盤符順序檢查，最后是注冊表的

順序。最終檢查出如圖2所示的病毒駐留在硬盤的文件，同時(shí)注冊表啟動(dòng)項(xiàng)目被添加c:\\windows\\services.exe一項(xiàng)。通過這一步的演示，學(xué)生們能感覺到病毒并不神秘，而且對windows系統(tǒng)的系統(tǒng)目錄以及注冊表有了初步的認(rèn)識；(3)病毒傳染演示。插入干凈的U盤后，通過對圖3和圖4的比較，學(xué)生會(huì)發(fā)現(xiàn)pagefile病毒往U盤寫入的自動(dòng)運(yùn)行文件autorun.inf和病毒可執(zhí)行文件pagefile.pif。與此同時(shí)可以提示學(xué)生，通過對操作系統(tǒng)的安全配置，可以關(guān)閉各磁盤的自動(dòng)運(yùn)行功能，避免病毒利用系統(tǒng)的這一原本有利于用戶的功能。通過這一步的演示，學(xué)生能掌握操作系統(tǒng)組安全策略的編輯和修改，掌握根據(jù)病毒傳播路徑來防病毒這一思想；(4)病毒檢查演示。通過檢查任務(wù)管理器中的進(jìn)程，除了正常的系統(tǒng)進(jìn)程service.exe外，又多了一個(gè)services.exe進(jìn)程。通過這一步的演示，學(xué)生能理解進(jìn)程是程序的一次執(zhí)行，病毒處于激活狀態(tài)的時(shí)候必定有一個(gè)以上的進(jìn)程在運(yùn)行。(5)病毒的清理。由于該病毒名稱與系統(tǒng)進(jìn)程名稱相同，無法在任務(wù)管理器的界面中進(jìn)行清理，必須使用NTSD命令進(jìn)行手動(dòng)終止。另外在硬盤上駐留的病毒可執(zhí)行文件，因?yàn)槲募傩远紴镽HS，所以要先改掉屬性才能進(jìn)行刪除，同時(shí)在注冊表中清除serivce.exe自我啟動(dòng)項(xiàng)。最后由于病毒還篡改了可執(zhí)行文件的關(guān)聯(lián)，我們還必須通過assoc.exe=exefile進(jìn)行恢復(fù)。盡管這一步病毒清除可以使用殺毒軟件進(jìn)行清理，但是殺毒軟件隱藏了清理病毒的具體過程，操作界面傻瓜化，不利于專業(yè)的學(xué)習(xí)，所以這一步我們還是堅(jiān)持使用手工清理病毒的方式。通過這一步的演示，學(xué)生可以掌握進(jìn)程的終止，硬盤文件的隱藏、可讀寫、系統(tǒng)屬性。同時(shí)還可以掌握文件關(guān)聯(lián)的概念，深入理解常見的雙擊打開文件的執(zhí)行過程，以及文件關(guān)聯(lián)調(diào)用的機(jī)制

%systemroot%\\Debug\\DebugProgram.exe

%systemroot%\\system32\\command.pif

%systemroot%\\system32\\dxdiag.com

%systemroot%\\system32\\finder.com

%systemroot%\\system32\\MSCONFIG.COM

%systemroot%\\system32\\regedit.com

%systemroot%\\system32\\rundll32.com

%systemroot%\\1.com

%systemroot%\\ExERoute.exe

%systemroot%\\explorer.com

%systemroot%\\finder.com

%systemroot%\\SERVICES.EXE

D:\\autorun.inf

D:\\pagefile.pif

圖2病毒在硬盤中的文件

最后給學(xué)生總結(jié)，只有充分熟悉操作系統(tǒng)基本原理，才能根據(jù)病毒傳播路徑來防病毒，根據(jù)病毒駐留地址來查病毒，根據(jù)病毒中毒癥狀來殺病毒。并且引導(dǎo)學(xué)生深入了解操作系統(tǒng)如何啟動(dòng)、注冊表大概結(jié)構(gòu)、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)等原理，熟悉系統(tǒng)的核心進(jìn)程，以及用程序編寫系統(tǒng)的相關(guān)服務(wù)和調(diào)用。

3應(yīng)用病毒樣本進(jìn)行教學(xué)的注意事項(xiàng)

3.1注意收集各種病毒木馬的樣本

應(yīng)用計(jì)算機(jī)病毒木馬樣本進(jìn)行演示教學(xué)的前提是教師必須擁有病毒木馬樣本，這需要教師平時(shí)注意樣本的收集和整理。筆者收集病毒樣本的途徑主要是(1)自己工作的計(jì)算機(jī)感染病毒或者木馬后，及時(shí)清理并收集；(2)兼任學(xué)校辦公某一部門(例如人事處)的網(wǎng)絡(luò)維護(hù)工作。這些部門的計(jì)算機(jī)系統(tǒng)防護(hù)措施一般比較弱，更容易感染新的病毒木馬，這也有利于我們病毒木馬樣本的收集；(3)兼任企業(yè)的技術(shù)顧問。企業(yè)的日常網(wǎng)絡(luò)和系統(tǒng)維護(hù)一般有專人維護(hù)，但是碰到新流行、感染機(jī)制不明確、殺毒軟件病毒庫未能及時(shí)檢測出的病毒的時(shí)候，企業(yè)的網(wǎng)絡(luò)管理員往往束手無措并向技術(shù)顧問求援，這時(shí)候有助于我們收集市面上最新病毒木馬樣本。另外，病毒樣本收集的一個(gè)技巧是將病毒相關(guān)文件的后綴名統(tǒng)一加1，例如將virus.exe修改為virus.exe1，autorun.inf修改為autorun.inf1，這避免病毒木馬樣本在本機(jī)上的激活，而且統(tǒng)一的命名規(guī)則使得能通過文件檢索查出所有的樣本。

3.2注意對教學(xué)計(jì)算機(jī)的保護(hù)。

由于演示教學(xué)中涉及病毒木馬對操作系統(tǒng)感染，所以必須注意對教學(xué)計(jì)算機(jī)的保護(hù)。在多媒體教室進(jìn)行演示教學(xué)的時(shí)候，可以考慮給操作系統(tǒng)安裝還原精靈這類的第三方輔助軟件。這類的系統(tǒng)還原軟件安裝非常簡單，不需要借助硬件還原卡，非常適合在多媒體教室、演講廳等環(huán)境使用，安裝時(shí)候可以考慮選擇手工恢復(fù)模式，這樣可以確保系統(tǒng)萬一出現(xiàn)無法修復(fù)時(shí)候可以及時(shí)還原。在備課階段對病毒木馬進(jìn)行感染機(jī)制分析的時(shí)候，對自己的辦公計(jì)算機(jī)也可以考慮采用同樣的保護(hù)措施。

3.3注意對學(xué)生的教育

注意給學(xué)生說明計(jì)算機(jī)病毒木馬的危害，以及根據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》和我國刑法第二百八十六條規(guī)定故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的行為是必須負(fù)刑事責(zé)任的，引導(dǎo)學(xué)生清除并收集自己計(jì)算機(jī)上的病毒木馬樣本，引導(dǎo)學(xué)生樹立正義感，深入研究操作系統(tǒng)原理和內(nèi)核，堅(jiān)決與破壞操作系統(tǒng)的各種病毒木馬作對。在出現(xiàn)操作系統(tǒng)故障的時(shí)候要耐心分析，排除硬件故障的基礎(chǔ)上，區(qū)別病毒木馬引起的故障與其他軟件不兼容引起的故障，從而找出系統(tǒng)修復(fù)的方法，而不是動(dòng)不動(dòng)就重新安裝操作系統(tǒng)。

4教學(xué)效果與總結(jié)

在“操作系統(tǒng)”課程教學(xué)中，我們采用計(jì)算機(jī)病毒木馬樣本進(jìn)行系統(tǒng)感染、病毒駐留、病毒傳染、病毒檢測、病毒清除的一系列演示教學(xué)，使得學(xué)生能深刻理解windows操作系統(tǒng)的啟動(dòng)過程、注冊表和系統(tǒng)服務(wù)的工作原理，進(jìn)而也加深了對進(jìn)程、線程、文件目錄等操作系統(tǒng)基本原理和概念的理解。同時(shí)學(xué)生在課后時(shí)間能應(yīng)用所學(xué)知識進(jìn)行計(jì)算機(jī)操作系統(tǒng)恢復(fù)和修復(fù)，幫助校內(nèi)其他專業(yè)學(xué)生的電腦進(jìn)行常見的計(jì)算機(jī)病毒的清理和查殺。通過學(xué)生的課后反饋，不少人表示從操作系統(tǒng)課程學(xué)到了課本以外的知識，而且學(xué)習(xí)操作系統(tǒng)理論可以學(xué)以致用，極大提高了他們學(xué)習(xí)“操作系統(tǒng)”課程的興趣。通過查閱相關(guān)的文獻(xiàn)，發(fā)現(xiàn)國內(nèi)外很少有結(jié)合計(jì)算機(jī)病毒木馬樣本進(jìn)行操作系統(tǒng)課程的演示教學(xué)，這也算是我們從事“操作系統(tǒng)”課程教學(xué)的一點(diǎn)新的嘗試。

參考文獻(xiàn)

[1] Andrew.S.Tanenbaum. Modern Operating System[M]. Prentice Hall， 2005.

[2] 彭明德， 肖健宇. 計(jì)算機(jī)操作系統(tǒng)(第2版)[M]. 北京:清華大學(xué)出版社， 2007.

[3] 孟靜. 操作系統(tǒng)原理教(第2版)[M]. 北京:清華大學(xué)出版社， 2007.

[4] 葉春鳳. 操作系統(tǒng)課程課堂教學(xué)策略探究[J]. 計(jì)算機(jī)教育，2008，(6):87-88.

[5] 劉乃琦. 操作系統(tǒng)課程的教學(xué)研究[J]. 計(jì)算機(jī)教育，2007，(10):35-39.

[6] 李東，陸幼利，殷群.“操作系統(tǒng)”課程建設(shè)與實(shí)踐[J]. 計(jì)算機(jī)教育，2007，(8):22-24.