沙箱程序之虚拟机篇

由上而下的描述。

• libvirt

最顶层是管理虚拟机的入口，linux开源套件 libvirt(官网：www.libvirt.org):
Introduction

The libvirt project:

is a toolkit to manage virtualization platforms
is accessible from C, Python, Perl, Java and more
is licensed under open source licenses
supports KVM, QEMU, Xen, Virtuozzo, VMWare ESX, LXC, BHyve and more
targets Linux, FreeBSD, Windows and OS-X
is used by many applications

Recent / forthcoming release changes

事实上我刚开始接触的时候只知道virsh用来管理虚拟机，感觉十分奇怪，而virsh其实就是virtual shell，CLI常用的有：list,dumpxml,edit,start,shutdown等，该套件还有一套GUI接口，virt-manager，到了图形界面就相当方便了，跟vmware差不多用法。坦白讲已经这个GUI早已大行其道的时代，我非常热衷于图形界面，因为我属于联想型，发散思维，懒得死记硬背，最好看到图形就知道怎么用，连手册都不用看，马云说“需要看长长说明书的产品就丢掉”，能用超级自动化工具，绝不手工作业，毕竟程序员就是用来发明超级自动化工具的，够懒，才能发明出更好的超级自动化工具。

还要补充一点，虚拟机配置通过xml管理，使用dumpxml命令查看，这个配置文件包含了虚拟机模拟器的路径，你可以在这里将其指向不同的虚拟机，比如x86,arm,mips,powerpc等等。这一点对于以后的安卓沙箱会用帮助。

• qemu

这一层就到了虚拟机层了，开源项目，但是可以模拟多种cpu，模拟外设，目前我主要修改和编译其中的部分代码来对抗反虚拟机病毒，细节不必透露，以后还会做一些类似ring -1的事情，以后做到了再写一篇更深入的文章。网上有大量资料，目前不多介绍了。centos6，对应的虚拟机版本为2.5，最新版本会有很多新库的依赖，比如libc，有很多坑要填，因此使用老旧的2.5，centos7之后，我们将采用最新版2.12的qemu。这一层所做的事其实和java vm以及.net vm有些类似，还有WebAssemblly。

还有一点，采用增量镜像的好处，第一层为操作系统层，第二层为应用软件层（安装office，wps等样本运行环境），第三层为空（目的是便于镜像还原，由于是空层使得这一层文件非常小，当样本运行过后，用这个很小的空层文件覆盖样本运行后的那个增量，即可将沙箱还原为运行样本之前的面貌）。

• kvm

hypervisor层，使用了x86 cpu的VT技术，硬件级虚拟化技术，需要开启cpu vt，安装后会在设备目录有一个/dev/kvm设备，运行在内核当中，与之对应的有windows下的hyper-V，还有苹果的什么我忘记了，不重要。这一层可以跟上一层集成在一起，也就是说cpu可以由这一层提供，而外设则由上一层提供。

越往底层写的越少，因为有些不必写，更底层的还没深入研究，我是由qemu切入，然后上下延申，下一篇是驱动篇，由驱动程序入手，窥探操作系统的设计。