近几年来,随着黑客技术特别是Rootkit技术的发展,攻击者们已经把触角伸入到了操作系统的内核。操作系统的内核代码面临着严重的威胁。目前,保护操作系统安全的办法有防火墙、入侵检测系统、入侵恢复系统和安全操作系统等。这些系统规模较大,设计复杂,且不能很好地应对新的攻击技术给内核代码带来的威胁。另一方面,虚拟化技术的复兴给安全领域的研究带来了新的曙光。由于虚拟化技术本身具有天然的安全优势,它已经被广泛地运用于各个安全领域的研究中。而许多最新的研究成果都表明,利用虚拟化技术增强操作系统的安全性是一种行之有效的办法。本文对各种相关的虚拟化系统进行了调研,分析了这些虚拟化系统的优缺点,指出了它们在设计和实现中遇到的关键问题,并总结了它们在问题解决过程中的经验和教训。在此基础之上,本文设计并且实现了一种基于虚拟化技术的操作系统内核代码保护系统。本系统的特色在于:没有采用传统的防守策略,而是巧妙地利用了当前CPU的特性,用虚拟化的方法在操作系统层引入了哈佛内存体系结构的特征,采用将非法操作进行重定位的方法来保护内核代码、对抗内核级Rootkit一类攻击的威胁;由于没有引入新的软件层次,且系统的实现代码都经过了精心的设计和优化,充分地利用了底层硬件特性,因而完全不影响操作系统的正常功能,对系统的性能影响也很小;另外,本系统还能够将攻击行为记录下来,为入侵分析提供有用的信息。实验表明,与类似的系统相比,本文的虚拟化系统具有较好的安全性,能够抵御内核级Rootkit对内核代码的恶意篡改,且在性能表现上明显优于现有的一些保护机制。