那是随手可得的吗？我不知道。但是，在 VM 分配的内存空间内，内核处于可预测的位置。可以编写代码来读取内存并将结构与预期的结构进行比较。

如果我正在实现这样一个生物，我会专注于遵循系统 API 并确保它们是合适的。一个可能的挑战是不同的内核版本会在不同的领域发生变化。您可能必须逐个内核进行映射。

您可以通过导出文件系统在虚拟机外部运行 chrootkit。我从未尝试过这样的事情，但我敢打赌它会成为一个出色的研究项目。

编辑：或直接实时读取您的磁盘映像并使用来自虚拟机外部的已知良好哈希比较。然后您的 VM 继续运行，但您将受益于“LiveCD”信心。在那里，现在我得到了从最深奥到现成的答案。

xm 转储核心 --> xen 内存转储

http://www.segmentationfault.fr/projets/volatilitux-physical-memory-analysis-linux-systems/
搜索活动进程和打开文件。

最重要的是搜索文件

管理程序自省允许从主机访问来宾的内存。

以下是两个老化示例：

1) XenAccess 2) Ukwazi-Xen

BlockWatch通过检查内存快照监控来宾操作系统。

它使用快照，因为它们通常可以转换为通用格式 (MINIDUMP)，Hyper-V 和 VMWare 就是这种情况。

BlockWatch 还具有 python 脚本来自动执行快照/导出/内存扫描/清理。内存验证是使用加密安全哈希 (Tiger192) 完成的。目前它验证 Windows 32 和 64 位操作系统。