I. Introduction to VM Introspection

Basic concepts

What is VM Introspection?

一种不需要在 Guest VM 中运行工具，就可以获得 Guest VM 状态信息的方法

• 正在运行的操作系统类型？
• 正在运行哪些用户应用程序 ？
• 应用执行了哪些代码？

Why VM Introspection?

• 不依赖于 Guest 操作系统的特性和功能
• 最小化程度对 Guest VM 系统干扰
• 适用于无法越狱的系统，特别是一些 VPN 设备

Use cases

• System-level Debugging
• Process Monitor
• Malware Analysis
• Fuzzing

VM Introspection Internals

实现这样的 VMI 功能，从技术层面来说需要两种能力支持：

• Hypervisor-level support

  从虚拟机监视器层面，提供对 guest VM 的访问，以及各种事件回调的能力。这些功能的实现通常是和监视器如何模拟硬件强相关的，硬件架构的不同（x86 / mips），和模拟方式的不同（TCG 软件模拟 / KVM 硬件模拟）可能都需要不同的实现方式。

  • Memory access (read / write), address translation
  • Breakpoint
  • Events callback

• OS-level introspection

  从操作系统层面，VMI 工具需要提供关于 guest VM 上运行的操作系统级别的语义信息，这部分的实现根据操作系统的不同（Linux / Windows）存在显著差别。

  • Process state
  • Syscall interception

Hard Problem

VMI 在 Guest VM 外部获取的底层状态为二进制数据，其代表的操作系统级语义是无法直接知晓的，这种语义差异被称为 VMI 的语义鸿沟 (sematic gap)。

实际上解决这个问题就是需要一些关于 Guest Kernel 的符号和结构体信息，例如实现 task_struct 链表的遍历需要 init_task 的地址和 next_task 等字段的偏移地址。

Existing Tools (x86 / Linux)

因为我们主要关注于 Linux 上的 VMI 工具，所以按照 Hypervisor-level support 层面的实现对已有工具做区分。

• TCG-based

  基于 TCG 的工具在底层对 qemu 的修改上都是大同小异，这些工具的区别主要在于上层应用的侧重点不同。

  • [2011-now] PANDA: Record / Replay
  • [2014-2021] DECAF: DroidScope
  • [2017-2019] PyREBox: Python binding
  • [2024-now] libAFL-qemu: Fuzzing

• KVM-based

  基于 KVM 的工具主要都是同一个团队持续性的工作。

  • [2011-2013] Nitro
  • [2017-now] KVM-VMI / libVMI

II. Hypervisor-level support - TCG

以 LibAFL QEMU 为例

Qemu TCG basics

qemu 对 CPU 指令的模拟属于动态二进制翻译的范畴，底层实现名为 Tiny Code Generator（TCG），总共会做两层翻译。

• 前端将 source binary code 翻译为统一的中间表示 QEMU IR
• 后端将 IR 翻译为可以在 Host 机器上执行的 binary code

qemu 的翻译是基于一个基本块（basic block）的，翻译后的基本块叫做 TB（Translation Block ）。一个最简单的执行流程就是在 qemu TCG engine 代码中翻译一个基本块，跳转过去执行，执行完一个基本块后又回到 TCG engine 的代码翻译下一个基本块。