1.一種Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，包括步驟：

S100：將注冊(cè)表操作函數(shù)的地址作為原始地址保存，使用Hook函數(shù)的地址替換所述注冊(cè)表操作函數(shù)的地址；

S200：當(dāng)任一程序進(jìn)行注冊(cè)表操作時(shí)，所述Hook函數(shù)獲取相應(yīng)的操作信息，并將所述操作信息發(fā)送給應(yīng)用層進(jìn)行判斷，如果判斷結(jié)果顯示所述注冊(cè)表操作被允許，根據(jù)所述原始地址調(diào)用所述注冊(cè)表操作函數(shù)完成所述注冊(cè)表操作，否則，禁止所述注冊(cè)表操作。

2.如權(quán)利要求1所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，所述步驟S100包括步驟：

S101：找到SSDT表基址，通過(guò)偏移量找到所述注冊(cè)表操作函數(shù)的地址，將所述地址作為所述原始地址保存；

S102：在所述SSDT表中，使用所述Hook函數(shù)的地址替換所述注冊(cè)表操作函數(shù)的地址。

3.如權(quán)利要求2所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，所述注冊(cè)表操作函數(shù)包括函數(shù)ZwQueryValueKey、ZwSetValueKey和ZwDeleteValueKey。

4.如權(quán)利要求1所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，所述注冊(cè)表操作包括對(duì)注冊(cè)表進(jìn)行查詢(xún)、修改或者刪除操作。

5.如權(quán)利要求1所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，所述操作信息包括所述注冊(cè)表操作的注冊(cè)表值路徑、進(jìn)程路徑和操作類(lèi)型。

6.如權(quán)利要求1所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，在所述步驟S200之后，還包括步驟S300：在SSDT表中，將所述注冊(cè)表操作函數(shù)的地址恢復(fù)為所述原始地址。

7.如權(quán)利要求1所述的Windows系統(tǒng)注冊(cè)表保護(hù)方法，其特征在于，在所述步驟S200中，將所述操作信息發(fā)送給應(yīng)用層后，應(yīng)用層根據(jù)操作策略表中包括的注冊(cè)表中各鍵值對(duì)不同程序的開(kāi)放權(quán)限或者根據(jù)用戶(hù)指令，判斷所述注冊(cè)表操作是否被允許。