Auf Englisch lesen

Freigeben über


Early Launch Antimalware (ELAM) und Microsoft Defender Antivirus

Gilt für:

Plattformen:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Die Erkennung von Schadsoftware, die früh im Startzyklus beginnt, war eine Herausforderung, bevor Windows 8. Im August 2012 Microsoft Defender Antivirus (MDAV) für Windows 8 oder höher und Windows Server 2012 und später ein neues Feature namens Early Launch Antimalware (ELAM)-Treiber integriert. ELAM bekämpft Frühstartbedrohungen (z. B. Rootkits oder böswillige Treiber, die sich vor der Erkennung verbergen können), indem ein Wdboot.sys Treiber verwendet wird, der vor anderen Starttreibern gestartet wird. ELAM ermöglicht die Auswertung anderer Treiber und hilft dem Windows-Kernel bei der Entscheidung, ob diese Treiber initialisiert werden sollen.

Wo werden die ELAM-Erkennungen protokolliert?

Die ELAM-Erkennung wird am gleichen Ort wie die anderen Microsoft Defender Antivirus-Bedrohungen protokolliert, z. B. Ereignis-ID 1006.

Gewusst wie den MDAV ELAM-Treiber auf dem neuesten Stand halten?

Der MDAV ELAM-Treiber wird mit dem monatlichen "Plattformupdate" ausgeliefert.

Kann die ELAM-Richtlinie (Early Launch Antimalware) geändert werden?

ELAM kann hier geändert werden:

Computerkonfiguration>Administrative Vorlagen>System>Antischadsoftware früh starten

Wie kann ich überprüfen, ob der MDAV ELAM-Treiber geladen ist?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (Zeichenfolge) C:\Windows\ELAMBKUP\WdBoot.sys (Wert)

Gewusst wie rückgängig machen den MDAV ELAM-Treiber auf eine frühere Version?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Beispiel:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform