1、虛擬機(jī)技術(shù)在信息安全領(lǐng)域已經(jīng)獲得了廣泛的應(yīng)用。為了監(jiān)控和分析各種入侵行為，研究人員通常會(huì)利用虛擬機(jī)搭建監(jiān)控環(huán)境以將收集到的各種入侵封閉于虛擬環(huán)境之中，從而避免這些入侵攻擊物理主機(jī)。而且，被入侵的虛擬系統(tǒng)也可以較為容易地恢復(fù)到其初始時(shí)的健康狀態(tài)。然而，為了避免陷入對(duì)手搭建的虛擬監(jiān)控環(huán)境，一些入侵者已經(jīng)實(shí)現(xiàn)了檢測(cè)虛擬環(huán)境的能力。此外，基于虛擬機(jī)的攻擊技術(shù)也已經(jīng)出現(xiàn)。為了幫助理解和應(yīng)對(duì)這些新興的攻擊，本文在研究虛擬系統(tǒng)在指令執(zhí)行、內(nèi)存管理和I

2、/O 操作等方面表現(xiàn)出的虛擬痕跡的基礎(chǔ)上，提出和實(shí)現(xiàn)了三種虛擬環(huán)境檢測(cè)方法。這三種方法分別是：基于指令的本地檢測(cè)、基于TLB的本地檢測(cè)和基于TCP時(shí)間戳的遠(yuǎn)程檢測(cè)?；谥噶畹臋z測(cè)通過構(gòu)造檢測(cè)指令序列來發(fā)現(xiàn)虛擬機(jī)監(jiān)視器因處理特殊指令而引入的性能開銷；基于TLB的檢測(cè)通過觀測(cè)目標(biāo)數(shù)據(jù)的內(nèi)容和訪問其所需時(shí)間是否前后一致來發(fā)現(xiàn)虛擬系統(tǒng)中的TLB 刷新行為；基于TCP時(shí)間戳的檢測(cè)通過設(shè)計(jì)TCP時(shí)間戳增長(zhǎng)模式檢測(cè)算法來判斷遠(yuǎn)程目標(biāo)系統(tǒng)的TCP時(shí)間戳