虚拟化架构中良好的隔离性、相对于操作系统来说更高的抽象层次以及更小的可信计算基等特性为解决安全领域中的旧难题提供了新思路。但是虚拟化技术在为用户带来方便的同时,也为恶意程序提供了更多的攻击路径以及攻击面,虚拟化安全问题亟待解决。Rootkit攻击是虚拟化安全面临的主要威胁之一,恶意程序利用Rootkit技术隐藏自身来躲避安全工具的监测,并且利用系统的缺陷攻击系统。而内核级Rootkit运行于内核空间,具备更高的权限,它通过对虚拟机内核完整性的破坏试图控制整个系统运行,严重威胁着虚拟机内核的安全。针对虚拟机内核完整性保护问题,提出了一种被动保护的方式,利用硬件虚拟化扩展机制截获特权指令、敏感指令和中断。为了保护内核数据、代码以及关键寄存器,一方面为关键的内核数据与代码创建隔离的IEPT页表并设置页表的访问权限,使其运行在独立隔离的地址空间内。一方面利用硬件虚拟化的“陷入”机制使得关键寄存器一旦被篡改便下陷到VMM,阻止内核级Rootkit的恶意攻击,保障内核数据的完整性。在虚拟机内核完整性检测方面,提出了一种主动检测隐藏进程的方法,通过监控内核动态数据的内存分配与释放,构建内核对象的映射关系,通过截获系统调用,构建目标虚拟机的进程视图,通过交叉对比的方式发现隐藏进程。本文提出的虚拟机内核数据完整性保护与检测模块从被动监控与主动检测两方面保障了运行时的虚拟机内核数据的完整性。实验结果表明本文方法能够检测出常见的内核级Rootkit,并能阻止其对系统的恶意篡改,性能开销控制在6%以内,在提升安全性的同时,不会对性能产生明显的影响。