与虚拟机透明的安全监控技术实验 1。实验目的与意义 (1)掌握 Linux 操作系统的安装、使用开发环境搭建.(2)学习 KVM 或 Xen Hypervisor 的安装、使用,以及操作系统.(3)学习使用 Libvmi 工具对虚拟机的行为(进程、 内存、网络、I/O、以及特定进程的行为)进行安全监控和分析。2。基本原理和方法 通过在开源 HypervisorKVM 或 Xen 之上搭建虚拟机,并使用与之兼容的虚拟机内省工具 libvmi 对虚拟机的行为进行监控。LibVMI 是美国 Sandia 国家实验室的 Brian D.Payne 等人开发的提供虚拟机内省(VMI)功能的程序库。使用 LibVMI,可以方便地在宿主机上透明读写虚拟机的内存。libvmi 的运行原理如图 1 所示。图 1 LibVMI 的运行原理和系统结构3。实验环境物理服务器操作系统: LinuxHypervisor: KVM 或 Xen虚拟机操作系统: Windows 7VMI 监控工具: libvmi 4。 实验内容及步骤(1)搭建虚拟机环境I.安装并配置 Linux 操作系统,安装好 Linux 后安装 openssh—server 以便 ssh 登录进行实验.II.安装 Xen之后重启,使用 sudo xm list 查看信息:完成 Xen 的安装。III.配置网络在/etc/network/interfaces 中配置好物理端口信息后,加入以下文本以配置虚拟机网络使之桥接于物理端口:之后重启网络:IV。创建虚拟机重启计算机,引导选择 Xen 进入系统。首先为虚拟机生成 30G 镜像空间:之后创建虚拟机的配置文件,配置为内存 2G,一个 CPU:使用 xm create 命令启动虚拟机:这样就成功运行了虚拟机。然后使用 VNC 软件通过 SSH 隧道与虚拟机连接,并安装 Windows 7 系统。最后关闭系统,将虚拟机配置文件中的启动配置修改为硬盘启动:(2)安装并使用 libvmiI.安装 libvmi由于 libvmi 官方示例代码将使用 python 版本,故此需要安装 PyVMI:II.配置 libvmi将以下虚拟机信息写入 etc/libvmi。conf:III.运行示例程序在 libvmi 的。/tools/pyvmi/examples 文件夹下执行 process—list。py 示例程序:(3)对进程的某一行为进行监控以下步骤说明如何配合使用内存监控软件(Cheat Engine)监视虚拟机内的记事本程序(notepad.exe)当前打开的文件名。I.首先在虚拟机内用记事本打开一个文本文件*。txt;II.用 Cheat Engine 打开 notepad.exe 进程,在内存浏览器中查找字符串[*。txt],记录下找到的多个内存地址;III.再用打开的记事本程序打开另一个文件,...
