1.一種用于發現虛擬機自省系統中是否存在漏洞的方法，其特征在于，包括如下步驟：

步驟(1)：編寫用于更改系統調用執行流和隱藏實際系統調用的Linux虛擬機內核模塊；

步驟(2)：啟動Linux虛擬機；

步驟(3)：在Linux虛擬機命令行執行make命令，將步驟(1)編寫的內核模塊編譯后生成格式為.ko的文件；

步驟(4)：在Linux虛擬機命令行執行插入步驟(3)生成的格式為.ko的文件的命令，插入格式為.ko的文件后，Linux虛擬機通過自動調用格式為.ko的文件，在/proc文件夾下生成虛擬文件；

步驟(5)：在步驟(4)生成的虛擬文件中寫入目標系統調用號和實際執行的系統調用號，以調用創建虛擬文件函數中虛擬文件的操作函數，找到虛擬文件的操作函數指向的file_operations結構體，觸發file_operations結構體中的觸發操作函數，實施更改操作；若更改成功，則表示虛擬機自省系統存在漏洞；

所述步驟(1)中，內核模塊包括一個數據結構體和七個函數，七個函數為：插入模塊函數，刪除模塊函數，觸發操作函數，獲取系統調用表函數，操作函數，暫停操作函數，刪除操作函數；

獲取系統調用表函數的實現過程為：

步驟4a，定義一個雙重指針**entry，雙重指針**entry指向內核內存空間起始地址；

步驟4b，令entry作為系統調用表的起始地址；

步驟4c，從內核內存的起始地址開始搜索，將內核內存的起始地址作為系統調用表地址，用其中一個系統調用的編號訪問數組中的成員，如果訪問得到的值恰好是這個系統調用號所對應的系統調用的地址，則再進行后續判斷；

步驟4d，再從內存頭部一直搜索到內存尾部，統計所有訪問得到的值恰好是系統調用號所對應的系統調用的地址的entry，如果在內存中搜索到一個導出函數，導出函數對應的entry即為系統調用表地址；如果搜索到至少兩個導出函數，則羅列出所有導出函數所對應entry附近的內存塊，如果其中間隔存在多處0xffffffff這四個字節，說明這些內存塊是導出函數的地址；

步驟4e，返回系統調用表地址。