Inicio anticipado de Antimalware (ELAM) y antivirus de Microsoft Defender
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para individuos
Plataformas:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
La detección de malware que comienza al principio del ciclo de arranque era un desafío antes de Windows 8. En agosto de 2012, Microsoft Defender Antivirus (MDAV) para Windows 8 o posterior, y Windows Server 2012 y versiones posteriores incorporaron una nueva característica denominada controlador Antimalware de inicio anticipado (ELAM). ELAM combate las amenazas de arranque anticipado (por ejemplo, rootkits o controladores malintencionados que pueden ocultarse de la detección) mediante un controlador de Wdboot.sys que se inicia antes que otros controladores de arranque. ELAM permite la evaluación de otros controladores y ayuda al kernel de Windows a decidir si esos controladores se deben inicializar.
La detección de ELAM se registra en la misma ubicación que las otras amenazas Microsoft Defender Antivirus, como el identificador de evento 1006.
El controlador MDAV ELAM se incluye con la actualización mensual de la plataforma.
ELAM se puede modificar aquí:
Configuración del> equipoPlantillas> administrativasSistema>Inicio anticipado de Antimalware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (cadena) C:\Windows\ELAMBKUP\WdBoot.sys (valor)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform platform version>\MpCmdRun.exe -RevertPlatform.
Por ejemplo:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform