Panoramica dell'antimalware di avvio anticipato
Questa sezione fornisce informazioni sullo sviluppo di driver Antimalware (ELAM) per i sistemi operativi Windows. Fornisce linee guida per gli sviluppatori antimalware per sviluppare driver inizializzati prima di altri driver di avvio e che garantiscono che i driver successivi non contengano malware. Si presuppone che il lettore abbia familiarità con lo sviluppo di driver in modalità kernel, in particolare driver di avvio.
Queste informazioni si applicano ai sistemi operativi seguenti:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Gli argomenti seguenti descrivono i requisiti dell'interfaccia per i driver Antimalware (ELAM) di avvio anticipato. Sono destinati a fornire informazioni sulle interfacce driver ELAM. La funzionalità ELAM fornisce un meccanismo supportato da Microsoft per il software antimalware (AM) da avviare prima di altri componenti di terze parti. I driver AM vengono inizializzati prima e consentono di controllare l'inizializzazione dei driver di avvio successivi, potenzialmente non inizializzando i driver di avvio sconosciuti. Dopo che il processo di avvio ha inizializzato i driver di avvio e l'accesso all'archiviazione persistente è disponibile in modo efficiente, il software AM esistente può continuare a bloccare l'esecuzione di malware.
Nota
Poiché un servizio ELAM viene eseguito come PPL (Protected Process Light), è necessario eseguire il debug usando un debugger del kernel.