1.一種針對工控設備的惡意代碼發現方法，是對系統中所有線程或操作系統的執行單元的CPU的PC寄存器定時進行檢查，通過對線程或操作系統的執行單元的PC寄存器位置所屬的可執行模塊進行比對，根據執行位置來判斷是否屬于系統自身可執行文件，還是可讀寫內存區域(非代碼區域)，還是位于臨時位置的可執行文件，從而發現針對工控設備的惡意代碼；所述發現方法包括如下步驟：

1)工控終端操作系統啟動；

2)工控終端保護應用啟動；

3)工控終端保護應用開始對操作系統內核，已經運行的所有進程依次進行快照；所述快照內容包含：

3.1)進程內存鏡像；

3.2)進程執行單元鏡像；

3.3)進程執行者身份標識及開啟的特權狀態快照；

3.4)工控操作系統所帶有的特有屬性的狀態快照；

4)工控終端保護應用開始步驟3獲得的信息進行惡意代碼可疑度分析；

5)在步驟3.4過程中，工控終端保護應用周期性檢測自身CPU資源占用量，適當約束CPU使用量；

6)當檢測出可疑代碼時，根據如果可疑代碼位置位于可執行文件映射區域，則計算出可執行文件名；當所屬可執行代碼位置位于動態鏈接庫映射區域，則可以計算出動態鏈接庫名；當所屬可執行代碼位置位于進程堆或棧區域，則可判斷為遠程惡意代碼已注入正常進程；

所述的工控終端保護應用，是單獨的可執行程序、或集成至操作系統內核的內核模塊、或可執行程序的部分或以庫的形式存在；

所述的快照，為給定時間下的靜態視圖；獲取快照，是指獲取運行中的程序在某時間點下的靜態視圖。