1.一種Windows操作系統(tǒng)下鉤子的防御方法，所述方法包括：

a)獲得Windows系統(tǒng)提供的系統(tǒng)服務(wù)名稱；

b)通過(guò)調(diào)試工具查看所述系統(tǒng)的win32子系統(tǒng)映像文件，獲取所述系統(tǒng)服務(wù)對(duì)應(yīng)的 服務(wù)號(hào)；

c)利用數(shù)據(jù)結(jié)構(gòu)KeServiceDescriptorTable或KeServieDescriptorTableShadow獲得系統(tǒng) 服務(wù)描述符表的基地址，根據(jù)所述系統(tǒng)服務(wù)號(hào)，在系統(tǒng)服務(wù)描述符表中找到所述 系統(tǒng)服務(wù)的函數(shù)入口地址，并將所述函數(shù)入口地址保存至內(nèi)存；

d)重新編寫系統(tǒng)服務(wù)函數(shù)，以所述新的系統(tǒng)服務(wù)函數(shù)的入口地址替換步驟c所述函數(shù) 入口地址，主動(dòng)運(yùn)行新的服務(wù)函數(shù)，監(jiān)控防御及卸載惡意軟件；

①對(duì)于操作文件的系統(tǒng)服務(wù)而言，新的系統(tǒng)服務(wù)函數(shù)的運(yùn)行流程為：

i.判斷所述系統(tǒng)服務(wù)所操作的文件是否是需要保護(hù)的系統(tǒng)文件；

ii.如果是，則禁止修改；如果否，則使用步驟c所保存的函數(shù)入口地址調(diào)用系統(tǒng) 服務(wù)函數(shù)，執(zhí)行所述系統(tǒng)服務(wù)的文件操作。

②對(duì)于內(nèi)核級(jí)的系統(tǒng)服務(wù)而言，新的系統(tǒng)服務(wù)函數(shù)的運(yùn)行流程為：

i.使用步驟c所保存的函數(shù)入口地址調(diào)用系統(tǒng)服務(wù)函數(shù)，加載內(nèi)核模塊；

ii.內(nèi)核模塊加載后，若所述內(nèi)核模塊第一次運(yùn)行，則掃描所述系統(tǒng)服務(wù)描述表是 否被所述內(nèi)核模塊修改；

iii.如果是，則卸載所述內(nèi)核模塊，并復(fù)原步驟ii所述系統(tǒng)服務(wù)描述表被內(nèi)核模塊 進(jìn)行的修改；如果否，則繼續(xù)運(yùn)行。

2.如權(quán)利要求1所述的Windows操作系統(tǒng)下鉤子的防御方法，其特征在于，步驟a所述 系統(tǒng)服務(wù)是操作文件的系統(tǒng)服務(wù)。

3.如權(quán)利要求2所述的Windows操作系統(tǒng)下鉤子的防御方法，其特征在于，所述系統(tǒng)服 務(wù)包括：NtCreateFile，NtDeleteFile，NtOpenFile和NtWriteFile。

4.如權(quán)利要求1所述的Windows操作系統(tǒng)下鉤子的防御方法，其特征在于，步驟b所述 調(diào)試工具是windbg或IDA調(diào)試工具。

5.如權(quán)利要求1所述的Windows操作系統(tǒng)下鉤子的防御方法，其特征在于，步驟a所述 系統(tǒng)服務(wù)是操作內(nèi)核模塊的系統(tǒng)服務(wù)。

6.如權(quán)利要求5所述的Windows操作系統(tǒng)下鉤子的防御方法，其特征在于，所述系統(tǒng)服 務(wù)包括：NtLoadDriver和NtSetSystemInformation。