1.一種Windows操作系統(tǒng)下鉤子的檢測方法，包括下列用戶級檢測方法：

a)計算標(biāo)準(zhǔn)操作系統(tǒng)的一個或多個設(shè)定的系統(tǒng)文件的hash值并儲存，若某個系統(tǒng)文件存在多個版本，則分別計算各個版本文件的hash值并儲存；

b)計算待檢測操作系統(tǒng)的所述系統(tǒng)文件的hash值，若某個系統(tǒng)文件的hash值和對應(yīng)的步驟a所述一個或多個版本的hash值都不相同，則所述系統(tǒng)文件被設(shè)置了鉤子，則所述待檢測操作系統(tǒng)被設(shè)置了鉤子。

2.如權(quán)利要求1所述的檢測方法，其特征在于，所述用戶級檢測方法還包括：

c)用標(biāo)準(zhǔn)操作系統(tǒng)的相應(yīng)版本的系統(tǒng)文件替換步驟b所述被設(shè)置了鉤子的系統(tǒng)文件。

3.如權(quán)利要求1或2所述的檢測方法，其特征在于，所述設(shè)定的系統(tǒng)文件是系統(tǒng)目錄下System32和System目錄中的所有文件。

4.如權(quán)利要求1或2所述的檢測方法，其特征在于，所述hash值通過MD5、SHA-1、RIPEMD-160或HMAC法計算。

5.如權(quán)利要求1或2所述的檢測方法，其特征在于，步驟a所述hash值以XML的格式儲存。

6.如權(quán)利要求1或2所述的檢測方法，其特征在于，步驟a所述hash值儲存于本地，或通過http或ftp協(xié)議儲存于遠程服務(wù)器。

7.如權(quán)利要求2所述的檢測方法，其特征在于，將步驟b的檢測結(jié)果和步驟c的替換結(jié)果保存于日志。

8.如權(quán)利要求1或2所述的檢測方法，其特征在于，所述Windows操作系統(tǒng)是WindowsXP操作系統(tǒng)或Windows?Vista操作系統(tǒng)。

9.如權(quán)利要求1或2所述的檢測方法，其特征在于，還包括下列內(nèi)核級檢測方法：

i.對于待檢測操作系統(tǒng)，獲得系統(tǒng)內(nèi)核中已加載的所有模塊的信息，所述信息包括所述模塊加載到內(nèi)存中的起始地址和終止地址；

ii.獲得系統(tǒng)內(nèi)核中的跳轉(zhuǎn)表的基地址，從而獲得所述跳轉(zhuǎn)表；

iii.遍歷所述跳轉(zhuǎn)表中的各個表項，對于每個表項，獲得所述表項中的地址，并根據(jù)步驟i所述的起始地址和終止地址判斷所述地址所屬的內(nèi)核模塊；

iv.若所述內(nèi)核模塊不是合法的系統(tǒng)模塊，則所述地址不合法，則所述待檢測操作系統(tǒng)被設(shè)置了鉤子。

10.如權(quán)利要求9所述的檢測方法，其特征在于，所述內(nèi)核級檢測方法還包括：

v.通過系統(tǒng)調(diào)用號或中斷向量號，在提供系統(tǒng)調(diào)用或中斷處理函數(shù)的系統(tǒng)模塊中獲得正確的系統(tǒng)調(diào)用或中斷處理函數(shù)的入口地址，并用所述入口地址替換所述表項的不合法的地址。