病毒与木马的认知与防护—教案9.docx

《网络安全技术实践教程》

教案

授课单位：

授课时间：

授课班级：

授课教师：

年月日

PAGE1

教案9

（第9号/17号）

课程名称

网络安全

授课日期、节次

班级

课堂类型

理论+实践

地点

章节（任务）名称

任务4.3木马检测

教学目标

知识目标

1.了解木马程序的常见隐藏方式（进程、文件、注册表等）。

2.掌握木马的典型启动方式及其对应系统机制。

3.识别主流木马检测技术的原理与应用场景。

能力目标

1.能够使用火绒剑对可疑进程和未知文件进行监控与分析。

2.能够使用D盾和Webshell本地扫描器查杀Webshell并识别风险文件。

3.能够根据行为特征判断可疑程序是否为木马。

素质目标

1.培养严谨细致的安全排查习惯。

2.增强对系统安全威胁的敏感性与责任感。

3.树立主动防御和持续监控的信息安全意识。

学情分析

授课对象：计算机网络技术专业学生，包括中职与普高混合班。学生特点：计算机网络技术专业学生，基础知识存在差异，需针对性讲解与实践操作结合。

学习习惯：偏爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。

重难点

分析

教学重点

1.木马的典型隐藏方式与启动机制理解。

2.木马检测技术的原理与类型区分。

3.火绒剑、D盾、Webshell扫描器的实际使用方法。

教学难点

1.行为分析与虚拟机检测等动态检测技术的理解。

2.判断未知程序是否为木马的逻辑分析能力。

3.工具操作中对可疑文件判断的准确性与处理策略。

信息化应用方法

通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任务，学生自主学习并完成任务。

课程思政元素

1.网络安全事关国家安全，培养学生的家国情怀与责任感。

2.树立服务意识，塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。

3.锻炼学生实事求是的工作态度，培养学生严谨细致的工作作风、精益求精的工匠精神。

教学实施过程

课前：

平台发布病毒与木马的认知与防护任务3学习任务，学生预习。

课中：

导入新课

众智科技深知木马入侵可能对客户信息系统带来严重威胁。通过上次的系统入侵演示，客户深度了解到木马的危害。因此，客户要求为其提供几个简单的木马检测工具及操作方法，以便后续及时发现并规避潜在的安全风险。

任务一知识点讲解

一.木马的隐藏

为了能在目标系统中长时间存在而不被发现或清除，木马通过各种隐藏技术，如进程隐藏、文件隐藏、注册表隐藏等，躲避用户的直接观察和常规安全软件的检测。常见的木马隐藏方式有以下几种。

1．进程隐藏

通过修改操作系统的核心组件，木马可以隐藏其进程、线程或文件，使得常规工具（如任务管理器等）无法检测到它们。通过DLL（DynamicLinkedLibrary，动态连接库）注入，木马将自身注入其他合法进程之中，利用这些进程作为宿主，从而掩盖其存在。木马进程可使用与系统进程相似的名称，以混淆视听，实现隐藏。

2．文件隐藏

通过隐写，可以将木马代码嵌入看似无害的文件中，如图片、文档或音频文件。通过加密与压缩木马文件，可以使其看起来像普通数据文件。通过藏身于硬盘的空闲扇区，木马可避免直接文件系统检测。

3．注册表隐藏

木马可以通过修改注册表启动项或将自身添加到注册表系统服务中，利用系统自身的启动机制进行隐藏。

二、木马的启动

木马为了能够在目标计算机上持久运行并执行其恶意任务，采用了多种启动方式来确保每次系统启动时其都能自动加载。以下是木马的几种主要启动方式，这些方式涵盖从传统的Windows系统机制到更隐蔽的技术手段。

1．注册表启动

木马通过修改注册表中的特定键值来实现自启动。主要涉及的键值包括：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

这些键值决定了系统启动时自动运行的程序列表。

2．文件夹启动

在用户的“启动”文件夹中放置快捷方式或可执行文件，使得用户每次登录时木马都能自启动。

3．服务或驱动启动

木马将自己注册为系统服务或设备驱动，这些服务或驱动在系统启动时会自动加载。由于服务或驱动运行在较高的权限级别下，使得木马能够拥有更多系统权限。

4．任务计划程序启动

利用Windows的任务计划程序创建任务，设置木马在特定时间或系统事件触发