Eso existe fácilmente? No estoy al corriente. Sin embargo, dentro del espacio de memoria que la máquina virtual asigna, el núcleo está en una ubicación predecible. Uno podría escribir código que lea la memoria y compare la estructura con lo que se espera.
Si estuviera implementando una criatura así, me concentraría en seguir las API del sistema y asegurarme de que fueran apropiadas. Un desafío probable es que las diferentes versiones del kernel tendrán cambios en diferentes áreas. Puede que tenga que hacer la asignación en una base de kernel por kernel.
Es posible que pueda ejecutar chrootkit externamente a la máquina virtual al exportar sus sistemas de archivos. Nunca he intentado tal cosa, pero apuesto a que sería un excelente proyecto de investigación.
EDITAR: o lea las imágenes de su disco directamente en vivo y use buenas comparaciones de hash conocidas desde fuera de la vM. Entonces su máquina virtual continúa funcionando, pero tiene la ventaja de la confianza de "LiveCD". Allí, ahora tengo respuestas ordenadas de lo más esotérico a lo más fácilmente disponible.