1.一種未知病毒檢索方法，其特征在于，包括配置對比庫、行為提取、行為分析；所述行為分析包括木馬識別、可疑行為識別，所述配置對比庫將基本行為按照危險等級分為至少木馬行為、可疑行為、可校正行為三級，所述行為分析包括木馬識別和可疑行為識別，所述行為分析還包括：可疑行為校正步驟；

所述可疑行為校正為：從識別的可疑行為中根據(jù)預先設置的對比庫中的可校正對比文件，將可疑行為識別出并歸類為可校正行為。?

2.?如權(quán)利要求1所述的一種未知病毒檢索方法，其特征在于，所述配置對比庫將基本行為按照危險等級分為木馬行為、可疑行為、可校正行為、過濾行為四級，所述過濾行為包括本發(fā)明所述行為提取和/或行為分析步驟中產(chǎn)生的行為操作；所述行為分析還包括位于木馬識別、可疑行為識別之前的過濾步驟。

3.?如權(quán)利要求1所述的一種未知病毒檢索方法，其特征在于，所述行為分析中的行為識別步驟為：將待識別行為的全部操作與對比庫中對應危險等級的所有行為的全部操作進行對比，若與某一行為的全部操作吻合，則識別成功，否則失敗。

4.?如權(quán)利要求1所述的一種未知病毒檢索方法，其特征在于，所述行為分析還包括特征碼對比步驟和特征碼提取步驟，

所述特征碼提取步驟為：對已完成識別的行為提取特征碼，并存儲到對比庫的歷史文件子庫中；

所述特征碼對比步驟為：識別之前，將待識別行為的特征碼與歷史文件子庫中已存儲的特征碼對比，若對比成功則根據(jù)對比結(jié)果作出識別，否則繼續(xù)后續(xù)識別。

5.?如權(quán)利要求4所述的一種未知病毒檢索方法，其特征在于，所述特征碼由md5值和文件后綴名組成。

6.一種未知病毒檢索裝置，包括對比庫、行為提取模塊、行為分析模塊，所述對比庫與行為提取模塊、行為分析模塊連接，所述行為提取模塊和行為分析模塊連接，其特征在于，所述對比庫包括至少如下子庫：木馬行為庫、可疑行為庫和可校正行為庫，還包括與對比庫連接的用戶配置模塊。

7.?如權(quán)利要求6所述的一種未知病毒檢索裝置，其特征在于，所述行為分析模塊還包括特征碼對比模塊和特征碼提取模塊，所述對比庫還包括與所述特征碼對比模塊和特征碼提取模塊連接的歷史文件子庫。