百度安全论文入选IEEE TIFS，让攻击者再逃不出“楚门的世界”

导读：近日百度安全发表的论文《Detecting Hardware-assisted Virtualization with Inconspicuous Features》入选国际TOP期刊IEEE TIFS，论文深度剖析了虚拟化检测技术，并创新性提出一种最新硬件虚拟化检测技术，无须提权就能实现对硬件虚拟化环境的检测，本文将对这篇论文进行详细的解读。

虚拟化作为云计算系统中的一种基础技术，近年来，虚拟化技术不仅广泛应用于云服务器，也广泛应用于个人桌面。那么究竟虚拟化技术是什么，又为什么起到这么重要的作用呢？

想象两个场景：

空旷的厂房，整个楼层没有固定的墙壁，从事各式工种的工人和机器设备扎堆聚集，无法形成流水化的高效作业。

开放的冷藏库里，面包、龙虾和榴莲裸露的存储在一起，没有任何封装和隔离，长久下去面包有了龙虾味儿，龙虾有了榴莲味。

从这两个例子里，我们不难看出，在空间资源一定的条件下，需要根据不同的需求进行重新规划，已充分发挥最大的利用效率。在计算机领域，就存在一种技术可以解决上面的问题，那就是"虚拟化技术"。

虚拟化（Virtualization）技术最早出现在 20 世纪 60 年代的 IBM 大型机系统，在 70 年代的System 370 系列中逐渐流行起来，这些机器通过一种叫虚拟机监控器（Virtual Machine Monitor，VMM）的程序在物理硬件之上生成许多可以运行独立操作系统软件的虚拟机（Virtual Machine），再通俗点就是“把一台电脑虚拟成N台电脑”。

同样的，虚拟化在云计算的应用也是如此，云计算本身就是把一个巨大无比的服务资源划分成很多小空间来使用，所以这也就解释了，为什么虚拟化是云计算最基础的软件设施。

虚拟化环境下的恶意程序分析

在计算机安全方面，虚拟化技术也有很广泛的应用，比如安全人员能够利用虚拟化环境进行安全分析测试。虚拟化技术的出现弥补了安全动态分析测试服务器资源不足，系统不纯净以及环境搭建周期长等问题，同时又不会“中伤”到本地操作系统，起到隔离作用，还能够严格控制运行在其中的程序行为，可谓一举多得。

有了虚拟化技术，安全人员便能够在一个孤立的环境中进行不同类型的安全动态分析。通常可以在虚拟环境中运行样本, 利用监控模块提取样本的进程、内存、文件、注册表、网络等行为数据, 通过对这些行为数据的汇总分析来推断样本的功能和恶意性。

这种测试听起来合乎常理，没有什么大问题，然而有没有可能上演这样的一幕：

在电影《楚门的世界》里，楚门从一出生，他的生活就被全球24小时直播，身边所有的人都是演员，生活的城市就是一个巨大的摄影棚，连太阳月亮甚至大海都是人造机器所操控的。