הפעלה מוקדמת נגד תוכנות זדוניות (ELAM) Microsoft Defender אנטי-וירוס
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender for Business
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender אישית
פלטפורמות:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
זיהוי תוכנות זדוניות שמתחילה בתחילת מחזור האתחול היה אתגר לפני Windows 8. באוגוסט 2012, תוכנת האנטי-וירוס של Microsoft Defender (MDAV) עבור Windows 8 ואילך, ו- Windows Server 2012 ואילך כלל תכונה חדשה שנקראת מנהל ההתקן 'מניעת תוכנות זדוניות להפעלה מוקדמת' (ELAM). ELAM לוחמת על איומי אתחול מוקדם (לדוגמה, rootkit או מנהלי התקנים זדוניים שעלולים להסתיר מפני זיהוי) באמצעות מנהל התקן Wdboot.sys המתחילה לפני מנהלי התקנים אחרים של אתחול. ELAM מאפשרת הערכה של מנהלי התקנים אחרים, והיא מסייעת בליבת Windows להחליט אם יש לאתחל מנהלי התקנים אלה.
זיהוי ה- ELAM נרשם באותו מיקום כמו שאר האיומים Microsoft Defender אנטי-וירוס, כגון מזהה אירוע 1006.
מנהל ההתקן של MDAV ELAM נשלח עם "עדכון הפלטפורמה" החודשי.
ניתן לשנות את ELAM כאן:
תצורת מחשב>תבניות ניהול>מערכת>הפעלה מוקדמת נגד תוכנות זדוניות
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (מחרוזת) C:\Windows\ELAMBKUP\WdBoot.sys (value)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.
לדוגמה:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform