虚拟化技术可以使得一台物理计算机上同时运行多个操作系统,并且在多个操作系统之间进行有效的资源隔离和数据隔离,能够充分利用硬件资源,节省IT成本,同时虚拟化技术也是云计算的核心技术之一。随着虚拟化技术的广泛应用,虚拟化技术的安全问题也暴露出来了。由于虚拟化技术的特殊性,虚拟化一旦出现安全问题,后果比传统的安全问题更为严重。保证安全的一个重要措施就是及时安装软件厂商或开源社区提供的漏洞补丁。如何抢在恶意攻击者前面发现虚拟化软件中存在的安全漏洞并且及时发布更新补丁是一个很重要的问题。本文对虚拟化环境中的安全问题进行了系统的分析,并且建立了虚拟化环境下的安全威胁模型。针对虚拟化软件安全漏洞的特点,提出了用模糊测试进行安全漏洞挖掘的方法。在此基础上对漏洞发掘工具进行了需求分析,设计和实现,并且进行了全面的测试。该工具主要针对虚拟化软件的虚拟机指令解析子系统,虚拟I/0子系统以及某些特定的虚拟化软件的组件进行模糊测试并寻找潜在的漏洞。在使用漏洞发掘工具对Xen,QEMU和VMware Workstation进行测试的过程中发生了多次异常现象。在对这些异常现象进行分析的时候,发现了一个与Xen的PyGrub组件相关的安全漏洞,已提交至美国国家安全漏洞库(National Vulnerability Database, NVD),证明此工具确实能对虚拟机的安全漏洞进行发掘,从而提早发现漏洞并发布更新补丁。