Share via


הפעלה מוקדמת נגד תוכנות זדוניות (ELAM) Microsoft Defender אנטי-וירוס

חל על:

פלטפורמות:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

זיהוי תוכנות זדוניות שמתחילה בתחילת מחזור האתחול היה אתגר לפני Windows 8. באוגוסט 2012, תוכנת האנטי-וירוס של Microsoft Defender (MDAV) עבור Windows 8 ואילך, ו- Windows Server 2012 ואילך כלל תכונה חדשה שנקראת מנהל ההתקן 'מניעת תוכנות זדוניות להפעלה מוקדמת' (ELAM). ELAM לוחמת על איומי אתחול מוקדם (לדוגמה, rootkit או מנהלי התקנים זדוניים שעלולים להסתיר מפני זיהוי) באמצעות מנהל התקן Wdboot.sys המתחילה לפני מנהלי התקנים אחרים של אתחול. ELAM מאפשרת הערכה של מנהלי התקנים אחרים, והיא מסייעת בליבת Windows להחליט אם יש לאתחל מנהלי התקנים אלה.

היכן נרשמים הזיהויים של ה- ELAM?

זיהוי ה- ELAM נרשם באותו מיקום כמו שאר האיומים Microsoft Defender אנטי-וירוס, כגון מזהה אירוע 1006.

כיצד ניתן לבצע לעדכן את מנהל ההתקן של MDAV ELAM?

מנהל ההתקן של MDAV ELAM נשלח עם "עדכון הפלטפורמה" החודשי.

האם ניתן לשנות את מדיניות ההפעלה המוקדמת נגד תוכנות זדוניות (ELAM)?

ניתן לשנות את ELAM כאן:

תצורת מחשב>תבניות ניהול>מערכת>הפעלה מוקדמת נגד תוכנות זדוניות

כיצד אוכל לבדוק שמנהל ההתקן של MDAV ELAM נטען?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (מחרוזת) C:\Windows\ELAMBKUP\WdBoot.sys (value)

כיצד ניתן לבצע להחזיר את מנהל ההתקן של MDAV ELAM לגירסה קודמת?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

לדוגמה:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform