1.一種計算機安全防護方法，包括啟動對計算機系統的安全檢測；其特征在于還包括以下步驟：

對于未檢測到惡意程序的情況，進行計算機系統狀態保存；對于檢測到惡意程序的情況，還原已保存的系統狀態。

2.根據權利要求1所述的計算機安全防護方法，其特征在于對計算機系統進行安全檢測之前，還包括：

實時監控并暫停對計算機系統磁盤分區的任一修改；

提取所述磁盤分區被修改地址的原有數據并寫入當前磁盤數據保護區，并在與當前磁盤數據保護區對應的磁盤狀態修改日志中記錄磁盤分區修改信息；

對所述磁盤分區執行所述修改。

3.根據權利要求2所述的計算機安全防護方法，其特征在于進行計算機系統狀態保存具體為：

停止實時監控；

清空當前磁盤數據保護區中的數據和對應的磁盤狀態修改日志的記錄；

啟動實時監控。

4.根據權利要求2所述的計算機安全防護方法，其特征在于進行計算機系統狀態保存具體為：

停止實時監控；

新建空的磁盤狀態修改日志和磁盤數據保護區，并設置為當前磁盤數據保護區和對應的磁盤狀態修改日志；

啟動實時監控。

5.根據權利要求2所述的計算機安全防護方法，其特征在于還原已保存的系統狀態具體為：

停止實時監控；

根據磁盤狀態修改日志，將當前磁盤數據保護區中的數據逐一覆蓋到磁盤分區的對應地址；

啟動實時監控。

6.根據權利要求2所述的計算機安全防護方法，其特征在于還原已保存的系統狀態具體為：

停止實時監控；

進行磁盤數據保護區的選擇；

根據對應的磁盤狀態修改日志，將所選擇的磁盤數據保護區中的數據逐一覆蓋到磁盤分區的對應地址；

啟動實時監控。

7.根據權利要求1-6任一所述的計算機安全防護方法，其特征在于實時、達到預設時刻和/或手動觸發時，對計算機系統進行安全檢測。

8.根據權利要求1-6任一所述的計算機安全防護方法，其特征在于對計算機系統進行安全檢測具體為：

掃描任一檢測對象的特征碼和特征行為序列，并將掃描結果與規則庫中預存的惡意程序規則進行匹配。

9.一種計算機安全防護工具，包括安全檢測模塊，其特征在于還包括：

保存/還原模塊，與所述安全檢測模塊連接，用于在未檢測到惡意程序的情況下進行計算機系統狀態保存；以及在檢測到惡意程序的情況下，還原已保存的系統狀態。

10.根據權利要求9所述的計算機安全防護工具，其特征在于所述安全檢測模塊包括：

特征碼單元，用于保存、更新已知惡意程序的特征碼；

特征行為序列單元，用于保存、更新未知惡意程序的特征行為序列；

掃描匹配單元，分別與所述特征碼單元和所述特征行為序列單元連接，用于對計算機系統進行掃描，并將每一被掃描對象與所述特征碼單元和所述特征行為序列單元中數據的匹配或者不匹配結果發送給所述保存/還原模塊。

11.根據權利要求9或10所述的計算機安全防護工具，其特征在于所述保存/還原模塊與磁盤數據保護區連接，用于寫入磁盤分區被修改地址的原有數據；所述磁盤數據保護區獨立于計算機系統磁盤分區，包括一個或者多個區域，其中一個為當前磁盤數據保護區。

12.根據權利要求11所述的計算機安全防護工具，其特征在于所述保存/還原模塊包括：

系統狀態監控單元，與所述磁盤數據保護區連接，用于實時監控對計算機系統磁盤分區的任一修改，提取所述磁盤分區被修改地址的原有數據寫入當前磁盤數據保護區，并在當前磁盤狀態修改日志中記錄磁盤分區修改信息；

磁盤狀態修改日志單元，與所述系統狀態監控單元連接，用于保存與所述磁盤數據保護區對應的磁盤狀態修改日志；并在與當前磁盤數據保護區對應的磁盤狀態修改日志中記錄磁盤分區修改信息，作為還原所保存的系統狀態的根據；

狀態保存單元，分別與安全檢測模塊、系統狀態監控單元、磁盤狀態修改日志單元、磁盤數據保護區連接，用于根據所述安全檢測模塊發送的不匹配結果，停止和啟動所述系統狀態監控單元的實時監控，并設置或者清空當前磁盤數據保護區和對應的磁盤狀態修改日志，實現計算機系統狀態保存；

狀態還原單元，分別與安全檢測模塊、系統狀態監控單元、磁盤狀態修改日志單元、磁盤數據保護區連接，用于根據安全檢測模塊發送的匹配結果，停止和啟動所述系統狀態監控單元的實時監控，并根據對應的磁盤狀態修改日志，將當前或者所選擇磁盤數據保護區中的數據逐一覆蓋到磁盤分區的對應地址，實現計算機系統狀態的還原。