Elam (Early Launch Antimalware) og Microsoft Defender Antivirus

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for enkeltperson

Plattformer:

• Windows 11, Windows 10, Windows 8.1, Windows 8
• Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Det var en utfordring å oppdage skadelig programvare som starter tidlig i oppstartssyklusen før Windows 8. I august 2012, Microsoft Defender Antivirus (MDAV) for Windows 8 eller nyere, og Windows Server 2012 og senere innlemmet en ny funksjon kalt Early Launch Antimalware (ELAM) driver. ELAM bekjemper tidlig oppstart trusler (for eksempel rootkits eller ondsinnede drivere som kan skjule fra gjenkjenning) ved hjelp av en Wdboot.sys driver som starter før andre oppstart-start drivere. ELAM muliggjør evaluering av andre drivere, og hjelper Windows-kjernen med å avgjøre om disse driverne skal initialiseres.

Hvor logges ELAM-gjenkjenningene?

ELAM-gjenkjenningen er logget på samme sted som den andre Microsoft Defender antivirustrusler, for eksempel hendelses-ID 1006.

Hvordan holde MDAV ELAM-driveren oppdatert?

MDAV ELAM-driveren leveres med den månedlige «plattformoppdateringen».

Kan policyen for beskyttelse mot skadelig programvare (ELAM) for tidlig oppstart endres?

ELAM kan endres her:

Datamaskinkonfigurasjon>Administrative maler>System>Beskyttelse mot skadelig programvare tidlig

Hvordan kan jeg kontrollere at MDAV ELAM-driveren er lastet inn?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (streng) C:\Windows\ELAMBKUP\WdBoot.sys (verdi)

Hvordan tilbakestille MDAV ELAM-driveren til en tidligere versjon?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Eksempel:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform