以Intel Processor Trace (PT)为代表的片上动态跟踪技术有着低开销、低感知的优良特性,在程序行为记录和监控领域得到了越来越广泛的应用。然而,由于片上动态跟踪技术依赖CPU特性实现,对于操作系统内核监控、恶意代码分析等需要在虚拟化平台上运行程序的场景支持还存在一些困难。本文通过对Intel PT片上动态跟踪技术的研究,提出了一套基于虚拟机内省的Intel-PT多进程监控技术,通过将Intel-PT嵌入到硬件虚拟化平台上,实现了对硬件辅助虚拟化客户机中的多个进程并行进行监控。实验结果表明,该技术可以有效监控硬件虚拟机中并行多个进程。

• 单位
  信息工程大学; 清华大学