内核态Rootkit是恶意代码中隐藏性最好,最难以检测的一类恶意代码。而随着云计算服务的快速发展,内核态Rootkit更成为了云计算中的一个重要威胁。如何保证在云计算环境下的数据安全,如何在虚拟化的环境下利用虚拟机技术进行恶意代码检测更成为研究的重点。本文就主要研究了基于虚拟机技术的内核态Rootkit检测问题。本文首先介绍了对rootkit的攻击原理及其检测技术进行了分析介绍。我们首先对内核态rootkit的攻击原理进行深入分析,并结合LKM的机制,发现内核态rootkit最主要的特征是对内核关键数据进行更改和隐藏自身和相关恶意软件的信息。然后针对这些特征介绍目前主要的检测技术:传统检测方法和基于虚拟机的检测方法。传统检测方法主要针对内核态rootkit篡改内核关键数据进行检测。基于虚拟机的检测方法主要针对内核态rootkit隐藏信息这一特性进行检测。传统针对Rootkit的检测方法主要是针对其特征码等静态特征进行检测,在针对用户态Rootkit的检测上效果较好,但是在对内核态Rootkit检测时效果却不理想。本课题针对内核态Rootkit隐藏模块信息的特点,提出一种基于系统虚拟化技术的内核态Rootkit检测方法。该方法利用硬件虚拟化VT-x技术和虚拟机内视技术,构建目标客户机的虚拟机视图,并通过截获客户机模块加载移除等系统调用对视图进行及时更新,通过对比在在模块加载前后的虚拟机视图及在目标客户机中构建的客户机视图,发现其中差异,以此找到可能隐藏的模块,也即rootkit的存在。最后我们将系统与原Xen系统性能进行对比,分析性能下降的原因。实验结果显示该交叉验证方法不仅实现了内核态Rootkit的高效检测,而且具备较低的资源消耗。本课题也为基于虚拟机的恶意代码动态行为检测提供了一定的借鉴意义。