http://w-it.jp/pirlo21/2008/11/ethermalware_analysis_via_hard.html にて紹介されている論文「 Ether:Malware Analysis via Hardware Virtualization Extensions」が気になったので読んでいます。具体的な機能については割愛しまして、論文を読んで個人的に気になった点、勉強になったところを列挙してみます。
　まずはEtherから。Etherは Xen 3.1.0 を改造するパッチとそれを制御するコントローラという構成で実装されており、ゲストOS(domU)でWindows XPを動かすためにIntel-VTを利用しているようです（Xenは完全仮想化でゲストOSを動作させるにはハードウェア支援が必要であるため、VTを使ってLinux上でWindowsが動作するようにしている*1）。また、現時点でXenは2008年8月リリースの3.3が最新版。「via Hardware Virtualization Extensions」というのがIntel-VTを指すわけですね。この論文で示されている実装の「Ether」は次のサイトよりソースコードがダウンロード可能です。
　Ether: Malware Analysis via Hardware Virtualization Extensions

　続いて、p.2 2.RELATED WORKで示された解析ツール、アンパック関連の論文をピックアップしてみます。各名前と、括弧内は論文/プロジェクトの名前を書いています。
VAMPiRE (Stealth Breakpoint)
http://w-it.jp/pirlo21/2008/07/stealth_breakpoints.html
http://www.acsac.org/2005/papers/72.pdf

BitBlaze(BitBlaze Binary Analysis Platform)
BitBlaze Binary Analysis for COTS Protection and Malicious Code Defense

Cobra(Cobra:Fine-grained Malware Analysis using Stealth Localized-executions)
http://w-it.jp/pirlo21/2008/11/cobrafinegrained_malware_analy.html
http://www2.computer.org/portal/web/csdl/doi/10.1109/SP.2006.9*2