3.根據權利要求2所述的基于操作系統驅動的進程防護方法，其特征在于：

所述的影子內核數據鏡像的校驗步驟如下：

(1)將內核鏡像以PE文件格式進行內存映射，加載內核鏡像文件中的代碼及數據，形成影子內核代碼初始態；

(2)影子內核數據未經歷系統開機啟動時刻的內核初始化，需重定位到原內核數據，影子內核進行正常執行；依據影子內核代碼及數據與原內核代碼及數據相對位置不變這一原理，有：

D_actual-D_{actual_imageBase}＝D_default-D_{default_imageBase}

(Ⅰ)

式中，D_{actual_imageBase}是原內核加載基地址；D_actual是原內核中數據的正確值地址，也是影子內核重定向數據指向的數據位置；D_{default_imageBase}是影子內核加載基地址；D_default是重定向表給出的需要修復的重定向數據地址；

(3)修復影子內核系統調用表中系統調用的地址，使其指向影子內核純凈的可執行代碼；根據影子內核加載基地址與原內核加載基地址之間的偏移，可依據式(2)確定每一個系統調用函數地址：

NewSSDTFuncAddr＝OrigSSDTFuncAddr+Δ (Ⅱ)

式中，NewSSDTFuncAddr是影子內核SSDT表中的某個系統調用函數地址；OrigSSDTFuncAddr是原內核SSDT表中對應的系統調用函數地址；Δ是影子內核加載基地址與原內核加載基地址之間的偏移量。