近年来Linux系统在服务器领域的占有率一路攀升，尤其是在云计算领域。但是由于源代码开放，Linux面临着日趋严峻的安全挑战。Linux环境下的内核级Rootkit类型木马拥有与操作系统内核相同的权限，能够修改系统中任何数据与代码，成为了隐藏性极高、检测难度极大的一类恶意木马软件，对Linux系统安全构成了非常严重的威胁，研究Linux环境下内核级Rootkit类型木马的检测技术具有非常重要的意义。QEMU虚拟化技术能够支持硬件虚拟化和具有高于客户机操作系统内核级别的权限以及对客户机系统的隔离性，为内核级Rootkit类型木马检测技术的实现提供了可信保证。因此，在理论上利用QEMU技术的Rootkit的检测技术能够有效的检测出内核级Rootkit类型木马。　　本研究主要内容包括：⑴对相关技术进行论述，包括 Linux内核结构与相关特性、Rootkit的特征与危害、Linux环境下Rootkit核心技术以及QEMU虚拟化技术和虚拟机检测技术。⑵从总体目标、需求和原则三个方面，再针对传统的检测模型和现有的虚拟机检测模型进行分析比较，提出了一种改进的虚拟机检测模型，并在此模型上设计出基于QEMU检测Rootkit工具的总体框架。最后在此框架下衍生拓展出两个检测插件：静态内存分析插件和动态识别进程插件。⑶分析QEMU内存虚拟化技术，从 dump虚拟机内存与分析内存信息两个方面，设计并实现了静态内存分析插件。⑷分析QEMU动态翻译技术，从动态捕获进程和提取进程信息两个方面，设计并实现了动态识别进程插件。⑸使用两个插件来对Linux环境下内核级Rootkit类型木马 suterusu进行检测测试，并得到相应的测试结果。