1.一種系統(tǒng)惡意程序檢測(cè)方法，其特征在于，包括：

遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表；

從所述驅(qū)動(dòng)程序列表中取出驅(qū)動(dòng)程序，獲取驅(qū)動(dòng)程序信息；

基于所述驅(qū)動(dòng)程序信息將所述驅(qū)動(dòng)程序與預(yù)先建立的惡意代碼特征庫(kù)中的特征組合進(jìn)行特征匹配，以檢測(cè)所述驅(qū)動(dòng)程序是否為惡意程序。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述基于驅(qū)動(dòng)程序信息將所述驅(qū)動(dòng)程序與預(yù)先建立的惡意代碼特征庫(kù)中的特征組合進(jìn)行特征匹配，以檢測(cè)所述驅(qū)動(dòng)程序是否為惡意程序的步驟包括：

根據(jù)所述驅(qū)動(dòng)程序信息獲取所述驅(qū)動(dòng)程序的自身代碼特征，并進(jìn)行系統(tǒng)關(guān)鍵調(diào)用路徑的掃描檢測(cè)；

當(dāng)該驅(qū)動(dòng)程序篡改系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑時(shí)，獲取該驅(qū)動(dòng)程序篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑；

將所述驅(qū)動(dòng)程序的自身代碼特征和該驅(qū)動(dòng)程序篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑與預(yù)先建立的惡意代碼特征庫(kù)中的第一條特征組合進(jìn)行匹配；

若匹配成功，則檢測(cè)出所述驅(qū)動(dòng)程序?yàn)閻阂獬绦颍?/p>

否則，將所述驅(qū)動(dòng)程序的自身代碼特征和該驅(qū)動(dòng)篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑與預(yù)先建立的惡意代碼特征庫(kù)中的下一條特征組合進(jìn)行匹配；直至匹配成功；或者，當(dāng)所述驅(qū)動(dòng)程序與所述惡意代碼特征庫(kù)中所有特征組合均不匹配時(shí)，檢測(cè)出所述驅(qū)動(dòng)程序不是惡意程序。

3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，還包括：

當(dāng)檢測(cè)出所述驅(qū)動(dòng)程序?yàn)閻阂獬绦驎r(shí)，從預(yù)先建立的惡意修復(fù)方法庫(kù)中獲取對(duì)應(yīng)的清除修復(fù)策略，對(duì)所述驅(qū)動(dòng)程序進(jìn)行清除修復(fù)。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表的步驟之前還包括：

對(duì)采集的惡意類(lèi)樣本進(jìn)行特征組合提取，建立惡意代碼特征庫(kù)，并為每一特征組合分配對(duì)應(yīng)的規(guī)則ID。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表的步驟之前還包括：

建立惡意修復(fù)方法庫(kù)，為每一規(guī)則ID的特征組合對(duì)應(yīng)分配一清除修復(fù)策略。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述從預(yù)先建立的惡意修復(fù)方法庫(kù)中獲取對(duì)應(yīng)的清除修復(fù)策略，對(duì)所述驅(qū)動(dòng)程序進(jìn)行清除修復(fù)的步驟包括：

根據(jù)與所述驅(qū)動(dòng)程序匹配的特征組合的規(guī)則ID，從所述惡意修復(fù)方法庫(kù)中獲取對(duì)應(yīng)的清除修復(fù)策略；

采用所述對(duì)應(yīng)的清除修復(fù)策略，對(duì)所述驅(qū)動(dòng)程序進(jìn)行清除修復(fù)。

7.根據(jù)權(quán)利要求6所述的方法，其特征在于，對(duì)所述驅(qū)動(dòng)程序進(jìn)行清除修復(fù)的方式包括：

清除所述驅(qū)動(dòng)程序自身在系統(tǒng)內(nèi)存中的惡意指令；修復(fù)被所述驅(qū)動(dòng)程序篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑；刪除所述驅(qū)動(dòng)程序?qū)?yīng)的文件體；和/或刪除所述驅(qū)動(dòng)程序注冊(cè)的系統(tǒng)服務(wù)項(xiàng)。

8.一種系統(tǒng)惡意程序檢測(cè)裝置，其特征在于，包括：

驅(qū)動(dòng)程序列表獲取模塊，用于遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表；

驅(qū)動(dòng)程序信息獲取模塊，用于從所述驅(qū)動(dòng)程序列表中取出驅(qū)動(dòng)程序，獲取驅(qū)動(dòng)程序信息；

檢測(cè)模塊，用于將所述驅(qū)動(dòng)程序信息與預(yù)先建立的惡意代碼特征庫(kù)中的特征組合進(jìn)行特征匹配，以檢測(cè)所述驅(qū)動(dòng)程序是否為惡意程序。

9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述檢測(cè)模塊包括：

特征獲取單元，用于根據(jù)所述驅(qū)動(dòng)程序信息獲取所述驅(qū)動(dòng)程序的自身代碼特征，并進(jìn)行系統(tǒng)關(guān)鍵調(diào)用路徑的掃描檢測(cè)；當(dāng)該驅(qū)動(dòng)程序篡改系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑時(shí)，獲取該驅(qū)動(dòng)程序篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑；

匹配單元，用于將所述驅(qū)動(dòng)程序的自身代碼特征和該驅(qū)動(dòng)程序篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑與預(yù)先建立的惡意代碼特征庫(kù)中的第一條特征組合進(jìn)行匹配；

檢測(cè)單元，用于當(dāng)所述匹配單元匹配成功時(shí)，檢測(cè)出所述驅(qū)動(dòng)程序?yàn)閻阂獬绦?；否則，由所述匹配單元將所述驅(qū)動(dòng)程序的自身代碼特征和該驅(qū)動(dòng)篡改的系統(tǒng)內(nèi)核關(guān)鍵調(diào)用路徑與預(yù)先建立的惡意代碼特征庫(kù)中的下一條特征組合進(jìn)行匹配；直至匹配成功；或者，用于當(dāng)所述驅(qū)動(dòng)程序與所述惡意代碼特征庫(kù)中所有特征組合均不匹配時(shí)，檢測(cè)出所述驅(qū)動(dòng)程序不是惡意程序。

10.根據(jù)權(quán)利要求8所述的裝置，其特征在于，還包括：

修復(fù)模塊，用于當(dāng)檢測(cè)出所述驅(qū)動(dòng)程序?yàn)閻阂獬绦驎r(shí)，從預(yù)先建立的惡意修復(fù)方法庫(kù)中獲取對(duì)應(yīng)的清除修復(fù)策略，對(duì)所述驅(qū)動(dòng)程序進(jìn)行清除修復(fù)。