4.一種檢測偽裝起始地址的內核線程的裝置，其特征在于，所述裝置包括：

獲取第一棧特征模塊，用于創建多個內核線程，當前操作系統的每一個內核等待函數由至少一個所述內核線程調用；所述多個內核線程進入等待狀態時，獲取每個所述內核線程的第一棧特征組成第一棧特征集；

獲取第二棧特征模塊，用于遍歷當前系統的所有內核線程，獲取每個處于等待狀態的內核線程的第二棧特征；

匹配模塊，用于判斷所述第二棧特征與所述第一棧特征集中的第一棧特征是否匹配；

判定模塊，用于在所述匹配模塊判斷結果為匹配的情況下，比對所述處于等待狀態的內核線程調用所述等待函數時的返回地址與所述處于等待狀態的內核線程的線程起始地址是否在同一內核模塊內，如果比對結果為否，則判定所述處于等待狀態的內核線程為偽裝起始地址的內核線程；

所述第一棧特征是創建的內核線程進入到等待狀態時的棧指針指向的棧地址到調用等待函數時存放第一返回地址的棧地址之間的這一段內存的固定數據特征；

所述第二棧特征是處于等待狀態的內核線程的棧指針指向的棧地址到所述內核線程調用等待函數時存放第二返回地址的棧地址之間的這一段內存的固定數據特征。