Early Launch Antimalware (ELAM) e Microsoft Defender Antivirus
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender for Business
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per singoli
Piattaforme:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Il rilevamento di malware che inizia all'inizio del ciclo di avvio è stata una sfida prima Windows 8. Nell'agosto 2012 Microsoft Defender Antivirus (MDAV) per Windows 8 o versioni successive e Windows Server 2012 e successivamente ha incorporato una nuova funzionalità denominata driver Antimalware (ELAM) di avvio anticipato. ELAM combatte le minacce di avvio anticipato (ad esempio, rootkit o driver dannosi che possono nascondersi dal rilevamento) usando un driver Wdboot.sys che inizia prima di altri driver di avvio. ELAM abilita la valutazione di altri driver e consente al kernel di Windows di decidere se tali driver devono essere inizializzati.
Il rilevamento ELAM viene registrato nella stessa posizione delle altre minacce antivirus Microsoft Defender, ad esempio l'ID evento 1006.
Il driver MDAV ELAM viene fornito con l'aggiornamento mensile della piattaforma.
ELAM può essere modificato qui:
Configurazione> computerModelli> amministrativiSistema>Antimalware di avvio anticipato
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (stringa) C:\Windows\ELAMBKUP\WdBoot.sys (valore)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.
Ad esempio:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform