虚拟机作为云“环境”的基础设施，随着云“计算”的发展得到了广泛的部署，其安全性也越来越受到业内研究人员和应用开发商的关注。在众多的虚拟机安全问题中，内核rootkit的攻击危害最大，严重的影响了云“环境”的安全性。内核rootkit运行在操作系统的最高级别，具有强大的破坏性和较高的隐藏性，主要通过修改内核的程序执行流程来进行攻击。基于虚拟机监控器的安全特性，提出了一个在虚拟机中的检测框架，将检测工具部署在特权虚拟域，利用其隔离性对安装在节点中的各个虚拟机进行检测，检测的方法采用改进后的完整性检测方法。基于上述框架思想，实现了虚拟化平台下的安全检测系统。将检测系统部署在特权虚拟域，提高了系统的安全性。在该系统中特权虚拟机可以同时检测多台客户虚拟机，通过虚拟机监控器获取的客户虚拟机信息和底层的CPU、内存信息还原高层语义，较好的解决了语义鸿沟。该系统无需在客户虚拟机下安装任何钩子程序，对客户虚拟机具有很好的透明性。该系统在虚拟化平台XEN和KVM中都能成功运行，具有良好的通用性。最后，对该系统进行了测试，功能测试的结果表明该系统对系统调用方面的内核rootkits具有较高的检测成功率。该检测方案能有效地提高了虚拟机的安全性。