Early Launch Antimalware (ELAM) a Microsoft Defender Antivirus
Platí pro:
- Microsoft Defender XDR
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Plán 1 pro Microsoft Defender for Endpoint
- Microsoft Defender pro jednotlivce
Platformy:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Detekce malwaru, který se spouští na začátku spouštěcího cyklu, byla před Windows 8 problémem. V srpnu 2012 Microsoft Defender Antivirová ochrana (MDAV) pro Windows 8 nebo novější a Windows Server 2012 a později začlenila novou funkci označovanou jako ovladač ELAM (Early Launch Antimalware). ELAM bojuje proti raným spouštěcím hrozbám (například rootkitům nebo škodlivým ovladačům, které se můžou skrýt před detekcí) pomocí ovladače Wdboot.sys, který se spustí před jinými ovladači spuštění. ELAM umožňuje vyhodnocení dalších ovladačů a pomáhá jádru Systému Windows rozhodnout, jestli se mají tyto ovladače inicializovat.
Detekce ELAM je zaznamenána ve stejném umístění jako ostatní Microsoft Defender antivirové hrozby, například ID události 1006.
Ovladač MDAV ELAM se dodává s měsíční aktualizací platformy.
ELAM je možné upravit tady:
Konfigurace> počítačeŠablony pro správu>Systému>Včasné spuštění antimalwaru
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (řetězec) C:\Windows\ELAMBKUP\WdBoot.sys (hodnota)
C:\ProgramData\Microsoft\Windows Defender\Platform<verze antimalwarové platformy>\MpCmdRun.exe -RevertPlatform.
Například:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform