Многие исследования по этому вопросу посвящены обнаружению так называемых «синих таблеток», то есть злонамеренного гипервизора, который активно пытается избежать обнаружения.
Классический трюк для обнаружения виртуальной машины - это заполнение ITLB, запуск команды, которая должна быть виртуализирована (которая обязательно очищает такое состояние процессора, когда она дает управление гипервизору), а затем запускает еще один код для определить, заполняется ли ITLB. Первая статья о ней находится здесь и довольно красочное объяснение из блога исследователя и альтернативного Wayback Machine ссылки на статью блога (изображения сломаны) .
В нижней части обсуждения этого вопроса всегда есть способ обнаружения вредоносного гипервизора, и гораздо проще обнаружить тот, который не пытается скрыть.