Compartir a través de

Inicio anticipado de Antimalware (ELAM) y antivirus de Microsoft Defender

  • Artículo

Se aplica a:

Plataformas:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La detección de malware que comienza al principio del ciclo de arranque era un desafío antes de Windows 8. En agosto de 2012, Microsoft Defender Antivirus (MDAV) para Windows 8 o posterior, y Windows Server 2012 y versiones posteriores incorporaron una nueva característica denominada controlador Antimalware de inicio anticipado (ELAM). ELAM combate las amenazas de arranque anticipado (por ejemplo, rootkits o controladores malintencionados que pueden ocultarse de la detección) mediante un controlador de Wdboot.sys que se inicia antes que otros controladores de arranque. ELAM permite la evaluación de otros controladores y ayuda al kernel de Windows a decidir si esos controladores se deben inicializar.

¿Dónde se registran las detecciones de ELAM?

La detección de ELAM se registra en la misma ubicación que las otras amenazas Microsoft Defender Antivirus, como el identificador de evento 1006.

Cómo mantener actualizado el controlador MDAV ELAM?

El controlador MDAV ELAM se incluye con la actualización mensual de la plataforma.

¿Se puede modificar la directiva Antimalware de inicio anticipado (ELAM)?

ELAM se puede modificar aquí:

Configuración del> equipoPlantillas> administrativasSistema>Inicio anticipado de Antimalware

¿Cómo puedo comprobar que el controlador MDAV ELAM está cargado?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (cadena) C:\Windows\ELAMBKUP\WdBoot.sys (valor)

Cómo revertir el controlador MDAV ELAM a una versión anterior?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform platform version>\MpCmdRun.exe -RevertPlatform.

Por ejemplo:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform