التشغيل المبكر لمكافحة البرامج الضارة (ELAM) وبرنامج الحماية من الفيروسات Microsoft Defender

ينطبق على:

• Microsoft Defender XDR
• Defender for Endpoint الخطة 2
• Microsoft Defender for Business
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Microsoft Defender للفرد

منصات:

• Windows 11، Windows 10، Windows 8.1، Windows 8
• Windows Server 2019، Windows Server 2016، Windows Server 2012 R2، Windows Server 2012

كان الكشف عن البرامج الضارة التي تبدأ في وقت مبكر من دورة التمهيد تحديا قبل Windows 8. في أغسطس 2012، Microsoft Defender مكافحة الفيروسات (MDAV) Windows 8 أو أحدث، وWindows Server 2012 وأدرجت لاحقا ميزة جديدة تسمى برنامج التشغيل المبكر لمكافحة البرامج الضارة (ELAM). تحارب ELAM تهديدات التمهيد المبكر (على سبيل المثال، rootkits أو برامج التشغيل الضارة التي يمكنها الاختباء من الكشف) باستخدام برنامج تشغيل Wdboot.sys يبدأ قبل برامج تشغيل التمهيد الأخرى. تمكن ELAM تقييم برامج التشغيل الأخرى، وتساعد نواة Windows على تحديد ما إذا كان يجب تهيئة برامج التشغيل هذه.

أين يتم تسجيل اكتشافات ELAM؟

يتم تسجيل الكشف عن ELAM في نفس الموقع مثل تهديدات مكافحة الفيروسات Microsoft Defender الأخرى، مثل معرف الحدث 1006.

كيف أعمل إبقاء برنامج تشغيل MDAV ELAM محدثا؟

يشحن برنامج تشغيل MDAV ELAM مع "تحديث النظام الأساسي" الشهري.

هل يمكن تعديل نهج التشغيل المبكر لمكافحة البرامج الضارة (ELAM)؟

يمكن تعديل ELAM هنا:

تكوين> الكمبيوترالقوالب الإدارية>نظام>التشغيل المبكر لمكافحة البرامج الضارة

كيف يمكنني التحقق من تحميل برنامج تشغيل MDAV ELAM؟

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (سلسلة) C:\Windows\ELAMBKUP\WdBoot.sys (قيمة)

كيف أعمل إعادة برنامج تشغيل MDAV ELAM إلى إصدار سابق؟

C:\ProgramData\Microsoft\Windows Defender\Platform<إصدار> النظام الأساسي لمكافحة البرامج الضارة\MpCmdRun.exe -RevertPlatform.

على سبيل المثال:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform