虚拟机技术在信息安全领域已经获得了广泛的应用。为了监控和分析各种入侵行为,研究人员通常会利用虚拟机搭建监控环境以将收集到的各种入侵封闭于虚拟环境之中,从而避免这些入侵攻击物理主机。而且,被入侵的虚拟系统也可以较为容易地恢复到其初始时的健康状态。然而,为了避免陷入对手搭建的虚拟监控环境,一些入侵者已经实现了检测虚拟环境的能力。此外,基于虚拟机的攻击技术也已经出现。为了帮助理解和应对这些新兴的攻击,本文在研究虚拟系统在指令执行、内存管理和I/O操作等方面表现出的虚拟痕迹的基础上,提出和实现了三种虚拟环境检测方法。这三种方法分别是:基于指令的本地检测、基于TLB的本地检测和基于TCP时间戳的远程检测。基于指令的检测通过构造检测指令序列来发现虚拟机监视器因处理特殊指令而引入的性能开销;基于TLB的检测通过观测目标数据的内容和访问其所需时间是否前后一致来发现虚拟系统中的TLB刷新行为;基于TCP时间戳的检测通过设计TCP时间戳增长模式检测算法来判断远程目标系统的TCP时间戳是否能随真实时间稳定增长。在以VMware和Xen虚拟系统为检测目标的实验中,本文实现的三种检测方法都能够发现较为明显的虚拟系统与非虚拟系统之间的差异,从而达到虚拟环境检测目的。在此基础上,本文还提出并分析了针对这些检测方法的反检测措施。