《網(wǎng)絡(luò)安全技術(shù)與實訓(xùn)（微課版）（第6版）》教案人民郵電出版社教師授課教案章節(jié)標(biāo)題第5章計算機(jī)病毒與木馬3單元標(biāo)題5.5木馬的攻擊防護(hù)技術(shù)5.6移動互聯(lián)網(wǎng)惡意程序的防護(hù)授課時長2學(xué)時教學(xué)目標(biāo)知識目標(biāo)能力目標(biāo)素質(zhì)目標(biāo)（含思政目標(biāo)）了解常見木馬，熟悉木馬的捆綁技術(shù)和加殼技術(shù)，掌握木馬的安全解決方案。初步了解移動端APP的攻擊和防護(hù)。能夠熟知木馬的捆綁技術(shù)和加殼技術(shù)，并能夠進(jìn)行防范；能夠合理使用木馬的安全解決方案。通過講授木馬相關(guān)知識進(jìn)行相關(guān)防范；通過講授木馬和移動APP的攻擊和防護(hù)，增強數(shù)據(jù)安全意識。教學(xué)過程：（主要教學(xué)環(huán)節(jié)、時間分配）一、復(fù)習(xí)(5’)1.復(fù)習(xí)2.導(dǎo)入二、講授新課（80’）（1）常見木馬（2）木馬的偽裝手段（3）安全解決方案（4）常見移動互聯(lián)網(wǎng)惡意程序（5）安全解決方案文件型病毒三、小結(jié)(4’)四、布置作業(yè)(1’)重點難點：木馬的捆綁技術(shù)和加殼技術(shù)，木馬的安全解決方案。教學(xué)方法、手段：多媒體教學(xué)；案例法；雨課堂推送拓展學(xué)習(xí)資料。課后作業(yè)：課后題13、14教學(xué)后記：1.教學(xué)環(huán)境要求：需要授課教師使用Win7主機(jī)進(jìn)行授課，并安裝VMWARE按照一個Win7虛擬機(jī)內(nèi)置捆綁程序。需要將相關(guān)工具復(fù)制安裝到虛擬主機(jī)中2.教學(xué)組織方式：采取理實一體的教學(xué)組織模式，教學(xué)做一體化，個人完成相關(guān)的操作。3.學(xué)生知識儲備：學(xué)生應(yīng)具備虛擬機(jī)使用經(jīng)驗。

創(chuàng)設(shè)情境，引出本節(jié)內(nèi)容導(dǎo)入：國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告指出：部分APT組織通過控制VPN服務(wù)器，將木馬文件偽裝成VPN客戶端升級包，下發(fā)給使用這些VPN服務(wù)器的重要單位。經(jīng)監(jiān)測發(fā)現(xiàn)，東亞區(qū)域APT組織以及“海蓮花”組織等多個境外APT組織通過這一方式對我國黨政機(jī)關(guān)、科研院所等多個重要行業(yè)單位發(fā)起攻擊，造成較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。另《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中指出2020年CNCERT/CC監(jiān)測發(fā)現(xiàn)，38,779個境內(nèi)云主機(jī)IP地址受木馬或僵尸網(wǎng)絡(luò)程序控制。思政內(nèi)容融入點：國家互聯(lián)網(wǎng)信息辦公室等12個部門聯(lián)合制定和發(fā)布《網(wǎng)絡(luò)安全審查辦法》，自2022年2月15日起施行，以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國家安全。進(jìn)入重點知識的講解1.國家出臺多個網(wǎng)絡(luò)安全保障措施文件?！吨泄仓醒腙P(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》正式發(fā)布，提出保障國家數(shù)據(jù)安全，加強個人信息保護(hù)，全面加強網(wǎng)絡(luò)安全保障體系和能力建設(shè)，維護(hù)水利、電力、供水、油氣、交通、通信、網(wǎng)絡(luò)、金融等重要基礎(chǔ)設(shè)施安全。中共中央印發(fā)《法治社會建設(shè)實施綱要（2020－2025年）》，要求依法治理網(wǎng)絡(luò)空間，推動社會治理從現(xiàn)實社會向網(wǎng)絡(luò)空間覆蓋，建立健全網(wǎng)絡(luò)綜合治理體系，加強依法管網(wǎng)、依法辦網(wǎng)、依法上網(wǎng)，全面推進(jìn)網(wǎng)絡(luò)空間法治化，營造清朗的網(wǎng)絡(luò)空間。2.木馬的攻擊防護(hù)技術(shù)2.1常見木馬1．第三代木馬“灰鴿子”是國內(nèi)一個著名的后門程序，，灰鴿子變種木馬運行后，會自我復(fù)制到Windows目錄下，并自行將安裝程序刪除；修改注冊表，將病毒文件注冊為服務(wù)項，實現(xiàn)開機(jī)自啟；木馬程序還會注入所有的進(jìn)程中，隱藏自我，防止被殺毒軟件查殺；自動開啟IE瀏覽器，以便與外界進(jìn)行通信，監(jiān)聽黑客指令，在用戶不知情的情況下連接黑客指定站點，盜取用戶信息、下載其他特定程序。2．第四代木馬第四代木馬“廣外幽靈”，它是一個短小精悍的記錄工具，可以截取到Windows窗體中的星號、黑點密碼，可以記錄鍵盤、輸入法輸入的英文和漢字。3．第五代和第六代木馬第五代木馬是驅(qū)動級木馬。驅(qū)動級木馬多數(shù)使用大量的Rookit技術(shù)來達(dá)到深度隱藏的效果。它深入內(nèi)核空間，針對殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去功能。有的驅(qū)動級木馬可駐留BIOS，并且很難查殺。隨著身份認(rèn)證USBKey和殺毒軟件主動防御的興起，第六代木馬黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主。PassCopy和“暗黑蜘蛛俠”是這類木馬的代表。木馬的偽裝手段1．木馬捆綁技術(shù)網(wǎng)絡(luò)游戲中，一些游戲外掛、游戲插件和游戲客戶端軟件容易被捆綁盜號木馬。2．木馬加殼和脫殼加殼：木馬通過加殼后可以避免被殺毒軟件查殺脫殼：把加殼后的程序恢復(fù)成毫無包裝的可執(zhí)行代碼，達(dá)到對未授權(quán)者便可以對程序進(jìn)行修改。3.實作演練：捆綁木馬。安全解決方案1.使用專業(yè)廠商的正版防火墻，使用正版的殺毒軟件，并能夠正確地對防火墻和殺毒軟件進(jìn)行配置。2.使用軟件工具隱藏自身的實際地址。3.注意自己電子郵箱的安全：不要打開陌生人的郵件，更不要在沒有防護(hù)措施的情況下打開或下載郵件中的附件。4.不要輕易運行別人通過聊天工具發(fā)來的東西，對于從網(wǎng)上下載的資料或工具應(yīng)該使用殺毒軟件查殺，確認(rèn)安全后再使用。5.不要隱藏文件的擴(kuò)展名，以便及時地發(fā)現(xiàn)木馬文件。6．定期檢查系統(tǒng)的服務(wù)和系統(tǒng)的進(jìn)程，查看是否有可疑服務(wù)或者可疑進(jìn)程。7.根據(jù)文件的創(chuàng)建日期觀察系統(tǒng)目錄下是否有近期新建的可執(zhí)行文件，如果有，則可能存在病毒文件。3移動互聯(lián)網(wǎng)惡意程序的防護(hù)移動互聯(lián)網(wǎng)惡意程序是指在用戶不知情或未授權(quán)的情況下，在移動終端系統(tǒng)中安裝、運行有不正當(dāng)目的，或具有違反國家相關(guān)法律法規(guī)行為的可執(zhí)行文件、程序模塊或程序片段。移動互聯(lián)網(wǎng)惡意程序一般存在以下一種或多種惡意行為，包括惡意扣費、信息竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐和流氓行為。3.1常見移動互聯(lián)網(wǎng)惡意程序1．移動端惡意程序分類按照傳統(tǒng)分類方法，移動端惡意程序可分為木馬類、病毒類、后門類、僵尸類、間諜類、勒索類、廣告類、跟蹤類。根據(jù)Android惡意程序的特征來進(jìn)行分類，可分為惡意軟件安裝、重打包、更新攻擊、誘惑下載、惡意軟件運行、惡意載荷、提權(quán)攻擊、遠(yuǎn)程控制、付費、信息收集、權(quán)限使用。2．個人信息竊取惡意程序分類個人信息竊取惡意程序可分為兩大類：Trackers和成熟的跟蹤應(yīng)用程序。3.2安全解決方案1.選擇官方網(wǎng)站下載Android應(yīng)用，同時確認(rèn)網(wǎng)址是否正確。確保應(yīng)用上傳者是官方開發(fā)者，而非個人，個人開發(fā)的應(yīng)用安全隱患較高。2.下載前閱讀用戶評價，即便是官方網(wǎng)站上的應(yīng)用也會包含廣告信息或其他惡意負(fù)載，因此通過其他用戶的評價可以幫助我們完成初步篩選。3.不要下載論壇或博客中的破解軟件，這樣的應(yīng)用被植入惡意組件或者惡意指令的可能性較大。4.正確配置應(yīng)用權(quán)限開啟狀態(tài)，這將有效避免絕大多數(shù)手機(jī)的安全問題。雖然涉及手機(jī)安全的因素還有很多，但對于大部分用戶來說，控制好權(quán)限狀