Early Launch Antimalware (ELAM) e Microsoft Defender Antivirus

Si applica a:

Piattaforme:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Il rilevamento di malware che inizia all'inizio del ciclo di avvio è stata una sfida prima Windows 8. Nell'agosto 2012 Microsoft Defender Antivirus (MDAV) per Windows 8 o versioni successive e Windows Server 2012 e successivamente ha incorporato una nuova funzionalità denominata driver Antimalware (ELAM) di avvio anticipato. ELAM combatte le minacce di avvio anticipato (ad esempio, rootkit o driver dannosi che possono nascondersi dal rilevamento) usando un driver Wdboot.sys che inizia prima di altri driver di avvio. ELAM abilita la valutazione di altri driver e consente al kernel di Windows di decidere se tali driver devono essere inizializzati.

Dove vengono registrati i rilevamenti ELAM?

Il rilevamento ELAM viene registrato nella stessa posizione delle altre minacce antivirus Microsoft Defender, ad esempio l'ID evento 1006.

Ricerca per categorie mantenere aggiornato il driver MDAV ELAM?

Il driver MDAV ELAM viene fornito con l'aggiornamento mensile della piattaforma.

È possibile modificare i criteri Antimalware (ELAM) di avvio anticipato?

ELAM può essere modificato qui:

Configurazione> computerModelli> amministrativiSistema>Antimalware di avvio anticipato

Come è possibile verificare che il driver MDAV ELAM sia caricato?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (stringa) C:\Windows\ELAMBKUP\WdBoot.sys (valore)

Ricerca per categorie ripristinare una versione precedente del driver MDAV ELAM?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Ad esempio:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform