Logiciel anti-programme malveillant à lancement anticipé (ELAM) et antivirus Microsoft Defender
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour l’individu
Plates-formes:
- Windows 11, Windows 10, Windows 8.1 Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
La détection des programmes malveillants qui démarrent au début du cycle de démarrage était un défi avant Windows 8. En août 2012, Microsoft Defender Antivirus (MDAV) pour Windows 8 ou version ultérieure, et Windows Server 2012 et ultérieurement incorporé une nouvelle fonctionnalité appelée pilote ELAM (Early Launch Antimalware). ELAM lutte contre les menaces de démarrage précoces (par exemple, les rootkits ou les pilotes malveillants qui peuvent masquer la détection) à l’aide d’un pilote Wdboot.sys qui démarre avant d’autres pilotes de démarrage. ELAM permet l’évaluation d’autres pilotes et aide le noyau Windows à décider si ces pilotes doivent être initialisés.
Où sont consignées les détections ELAM ?
La détection ELAM est enregistrée au même emplacement que les autres menaces antivirus Microsoft Defender, telles que l’ID d’événement 1006.
Comment faire tenir à jour le pilote MDAV ELAM ?
Le pilote MDAV ELAM est fourni avec la « mise à jour de la plateforme » mensuelle.
La stratégie ELAM (Early Launch Antimalware) peut-elle être modifiée ?
ELAM peut être modifié ici :
Configuration de l’ordinateur>Modèles d’administration>Système>Logiciel anti-programme malveillant à lancement anticipé
Comment puis-je case activée que le pilote MDAV ELAM est chargé ?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (chaîne) C :\Windows\ELAMBKUP\WdBoot.sys (valeur)
Comment faire rétablir le pilote MDAV ELAM à une version précédente ?
Version de la plateforme> anti-programme malveillant C :\ProgramData\Microsoft\Windows Defender\Platform<\MpCmdRun.exe -RevertPlatform.
Par exemple :
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform