是否有办法在管理程序级别上保护客户内核？

Question

假设我在xen中运行了一个linux客户机，我希望xen检查来宾内核的完整性，这样我就知道没有任何rootkits，或者类似的active。

是否有办法在xen或其他管理程序中完成这一任务？

Answer 1

很容易就存在了？我不知道。但是，在VM分配的内存空间中，内核处于可预测的位置。我们可以编写代码，读取内存，并将结构与预期的结构进行比较。

如果我正在实现这样一个生物，我会专注于遵循系统API并确保它们是适当的。一个可能的挑战是不同的内核版本将在不同的领域发生变化。您可能需要在内核的基础上进行映射。

您可以通过导出文件系统将chrootkit外部运行到VM。我从来没有试过这样的事情，但我敢打赌这将是一个很好的研究项目。

编辑:或读取您的磁盘映像，直接活动，并使用已知的良好哈希比较，从外部的vM。然后您的VM继续运行，但是您有"LiveCD“信心的好处。在那里，现在我得到了从最深奥到容易得到的答案。

Answer 2

xm转储-核心-> xen内存转储

http://www.segmentationfault.fr/projets/volatilitux-physical-memory-analysis-linux-systems/

搜索活动进程和打开的文件。

最重要的是搜索文件

Answer 3

Hypervisor内省允许来自主机的客人访问内存。

以下是两个老化的例子：

1) XenAccess 2) 乌克瓦兹