计算机病毒原理的课程教学

当今世界，计算机系统的安全正在受到严重挑战，计算机病毒是计算机安全的主要威胁之一。为此，各高校纷纷开设《计算机病毒》这门课程。本课程涉及理论知识较多较复杂，学生学起来容易感到枯燥乏味。下面以大学本科《计算机病毒》课程中“DOS病毒分析”这一章中的“文件型病毒原理”这一节内容的教学设计为例，进行阐述。

一、教学分析

1.教学内容及目标

本节课要求学生了解COM文件和EXE文件结构及其加载机制等，以此为基础掌握DOS病毒中的文件型病毒的含义及工作原理。其中文件型病毒的原理是本节课的教学重点；针对典型病毒的分析，包括大麻病毒分析，黑色星期五病毒分析等是教学的难点。

2.教学对象分析

计算机病毒这门课程的教学对象为信息安全专业本科三年级的学生,学生已经学习了包括汇编语言、操作系统、信息安全理论与技术等前导课程，对计算机的基本操作和常用软件的使用较为熟练，但对于计算机病毒常用的分析工具还较为陌生，因此还要进行针对性训练。本节课将以课本知识为依托,通过多媒体手段和启发式教学来激发学生的学习兴趣，提高其分析问题和解决问题的能力。

二、教学设计

1.教学环境设计

提供一人一机的实验环境：运行Win2000操作系统的PC机，具有宏汇编masm5语言编译环境，关闭杀毒软件。教师准备视频剪辑，视频内容为典型文件型病毒入侵计算机系统并造成破坏的全过程；自制PPT幻灯片，展示计算机病毒原理及相关知识；准备课堂讨论问题和对学生考察的小测验题目；准备课后习题。

2.课时安排

课堂讲授4学时，实验4学时。

3.教学过程设计

（1）导入：生动有趣、激发求知欲课程导入从给学生播放一段网上下载的视频开始。该视频内容为一台计算机系统感染、爆发CIH病毒，至使系统软、硬资源遭受严重破坏，最终导致无法启动的全过程的录像。视频播放完毕，向学生们提出了一个简单的问题：“你们在平时使用计算机时，有没有中过病毒？症状是什么样的？计算机病毒是怎样控制我们机器的？”以此来吸引学生的注意力，使学生们回忆自己的计算机遭到病毒攻击的经历，激发学生强烈的求知欲。由此引入本堂课要讲授的内容———文件型病毒原理。（2）讲解原理：启发式教学，深入浅出从文件型病毒的定义讲起，告诉学生，各个系统下文件型病毒都占有重要地位，课堂开始时所播放的视频中的病毒，就是一个非常著名的文件型病毒。因此认真学好这堂课，对于深刻掌握计算机病毒原理和反病毒技术具有重要意义。引导学生复习COM文件和EXE文件的基本格式，结合本堂课所要讲授的内容，在复习可执行文件格式的同时，针对文件格式中的各个细节，给出病毒在哪些位置有可乘之机，引导学生进一步思考：“在这样的文件格式下，你会选择哪些部位修改源文件，怎样进行感染”等问题。下面以COM病毒为例，介绍教学的过程。首先给出COM文件的基本格式，然后讲解COM文件的调入执行过程。在讲解过程中强调COM文件的调入执行过程是非常独特的，也是病毒用来进行侵入的最基本依据。经过以上讲解，学生已对COM文件有了比较全面的认识。抓住时机，引导学生思考：“对一个COM文件进行感染可以有哪些方法？有什么依据？”组织学生展开讨论，在充分听取学生发言的基础上，对刚才的讨论内容进行总结，充分肯定学生的创造性思维，同时补充学生发言中存在的不足。至此，学生已经对COM文件型病毒感染和传播原理有了一个基本的认识，教师再将文件型病毒的原理全面讲授给学生，帮助学生使知识系统化。然而，光有理论知识还不够，还要再将理论运用到实际的病毒代码分析中。最后，为学生提供一个典型的文件型病毒———“黑色星期五”代码，带领学生利用所学过的汇编语言知识和刚刚学习的COM文件型病毒知识，对病毒源代码进行分析。学生亲身体验动手解决实际问题的过程，达到举一反三的教学效果。（3）实验：尝试动手，体验成功实验准备：为学生提供一个供参考的COM病毒程序（程序1）和一个测试用的COM程序（程序2，即待感染的正常COM可执行文件）。具体代码略。实验原理：程序1首先解决自身在被感染COM程序中的重定位问题。在病毒运行时，它必须知道自身代码的起始地址，该地址即为病毒的基地址，病毒代码中的其他变量都可以利用该基地址和变量相对该基地址的偏移之和来进行重定位。在感染过程中，病毒代码覆盖待感染程序的前4个字节，为此必须保存原来的4字节，同时，还要修改待感染程序开头的新4个字节，然后复制到待感染程序的开头。实验步骤：仔细分析病毒程序代码，画出病毒程序的流程图，并找出病毒程序是如何得到自己的基地址的代码；利用Masm5.0分别编译、链接病毒程序1和待感染程序2，然后利用exe2bin把程序1和程序2的执行文件转换为COM文件，分别为virus.com和test.com。观察下述动作后的程序的执行结果①执行virus.com②执行test.com③再次执行test.com分析为什么会出现那样的结果。如果多次执行virus.com是否重复感染？（4）试着手工清除test.com中的病毒，然后再执行test.com，测试是否清除成功，给出清除病毒所依据的原理和具体的操作方法。（5）试着自己编写一个COM病毒测试，以test.com为感染目标文件，并测试该病毒的执行效果。Masm5.0的使用学生们在《汇编语言程序设计》课程的学习中已经掌握，而exe2bin命令的使用需要给出相关提示。在实验过程中，教师应鼓励学生在实验过程中把所遇到的问题讲出来，带领全体学生对所提出的问题进行讨论，给出一个合适的解决方法，并对能够深入思考的同学和给出独特见解的同学及时给予表扬，同时提示学生，不要停留在枯燥的理论学习上，要勤于动手、乐于动手，让所学知识在行动中得到巩固。

4.思考练习：深入研究、及时总结

课堂讲授的时间和实验的时间是有限的，学生在认真听课和积极动手做实验之后，会对文件型病毒的原理有了全面而生动的认识。然而仅仅能熟练的对书本上和教师所给出的实例进行分析研究仍然是不够的，要成为一名优秀的病毒分析师，还需要让自己的视野更加宽阔，勇于追踪信息安全领域的最新热点，掌握最先进的病毒信息。因此，要乘胜追击，给学生布置课外作业和思考练习题，要求学生利用课余时间上网搜集与文件型病毒相关的知识，并进行总结。鼓励学生将所学到的最新知识和技术写成书面小报告，在课下与同学和老师进行交流。

5.考察

考察方法不应仅局限于书面考试或课堂作业，应将考察放到课堂中和实验过程中，注意每个学生参与课堂讨论的情况，了解学生对知识点的掌握情况。同时，在学生实验过程中观察学生的动手操作情况，适时对学生提出问题，考察学生对概念的理解，根据学生回答问题的情况给出合适的评价。以上可以帮助教师对学生的学习做出更加全面和客观的评价，也可以激励学生更主动地投入到本门课程的学习中来。

三、教学体会“文件型病毒原理”的教学过程始终贯穿了教师

积极引导、学生主动探索、师生互动合作的活动。学生在学习中了解了事物，学会了思考，学会了理解运用,品尝了成功的喜悦。在整个过程中，教师的精心准备和细致引导是学生自主学习成功的保证。实验部分的设计充分培养了学生的动手能力和合作精神，也体现了计算机病毒课程教学重视实践的特点，大大提高了课堂的效益。在整个教学过程中教师起到了抛砖引玉的作用。学生在学习课本知识的同时,充分发挥了主观能动性，学到了更多课本以外的知识。注：本文为天津市教委教改（重点）项目“立足天津及周边地区经济建设和发展，打造天津信息安全市级品牌专业的卓越人才培养体系（C03-0809）”成果。

作者:赵春蕾 杨宏 刘萍 单位:天津理工大学计算机与通信工程学院