虚拟机自省技术(Virtual Machine Introspection)是一种通过外部监控虚拟机内部状态的技术,它能够在不依赖虚拟机内运行的软件的情况下,获取和分析虚拟机的内存、CPU 状态、磁盘活动、网络流量等数据。

以下是维基百科中对虚拟机自省技术的描述,我对其进行了中文翻译:

原文链接: Virtual machine introspection - Wikipedia

在计算机领域,虚拟机自省(Virtual Machine Introspection, VMI)是一种监控虚拟机运行状态的技术,这有助于调试和取证分析(forensic analysis)。

introspection 这个术语由 Garfinkel 和 Rosenblum 引入虚拟机领域。他们发明了一种“保护安全应用程序免受恶意软件攻击”的方法,并将其称为 VMI。如今 VMI 是不同的虚拟机取证和分析方法的通用术语。基于 VMI 的方法广泛用于安全应用程序、软件调试和系统管理。

VMI 工具可以位于虚拟机内部或外部,并通过跟踪事件(中断、内存写入等)或向虚拟机发送请求来工作。虚拟机监视器通常提供底层信息,如内存的原始字节。将这种底层视图转换为对用户有意义的内容也就是所谓的“语义鸿沟”问题。解决这个问题需要分析和理解被监视的系统。

虚拟机内的 VMI

运行在虚拟机内部的程序可以提供其他进程的信息。这些信息可以通过网络接口或一些虚拟设备(如串口)发送。虚拟机内自省程序比如 WinDbg 或者与远程调试器交互的 GDB 服务器。

这种方法的缺点是它需要在虚拟机内中运行一个正常的 OS。如果 OS 挂起或尚未加载,那么自省代理(agent)也无法工作。

虚拟机外的 VMI

VMI 工具可以在虚拟机监视器内实现,也可以作为从虚拟机监视器捕获信息(例如内存数据)的单独程序实现。然后,必须对这些数据进行解释,以了解系统实际执行的过程。解释工具中一个比较流行的是 Volatility framwork。该框架能够支持很多主流的操作系统,并从中提取不同的信息,比如进程树和内核对象列表。

主流的 VMI 工具如下:

  • LibVMI:开源库(支持主流的虚拟化方案:Xen/KVM/VMware),提供统一的 API 读取虚拟机内存、寄存器,并支持符号解析(如从内存中提取 Windows 的 EPROCESS 结构)。
  • Volatility:内存取证框架,可与 VMI 结合分析虚拟机内存快照(如检测恶意进程)。
  • DRAKVUF:动态分析工具,通过注入恶意代码并监控虚拟机行为,用于沙箱检测。
  • GRR(Google Rapid Response):结合 VMI 实现远程取证和响应。