Early Launch Antimalware (ELAM) en Microsoft Defender Antivirus
Van toepassing op:
- Microsoft Defender XDR
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor individueel
Platforms:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Het detecteren van malware die vroeg in de opstartcyclus begint, was een uitdaging voordat Windows 8. In augustus 2012 Microsoft Defender Antivirus (MDAV) voor Windows 8 of hoger en Windows Server 2012 en later een nieuwe functie opgenomen met de naam Early Launch Antimalware (ELAM) stuurprogramma. ELAM bestrijdt vroege opstartbedreigingen (bijvoorbeeld rootkits of schadelijke stuurprogramma's die zich kunnen verbergen voor detectie) met behulp van een Wdboot.sys stuurprogramma dat wordt gestart vóór andere opstartstuurprogramma's. ELAM maakt de evaluatie van andere stuurprogramma's mogelijk en helpt de Windows-kernel te bepalen of deze stuurprogramma's moeten worden geïnitialiseerd.
De ELAM-detectie wordt geregistreerd op dezelfde locatie als de andere Microsoft Defender Antivirus-bedreigingen, zoals gebeurtenis-id 1006.
Het MDAV ELAM-stuurprogramma wordt geleverd met de maandelijkse 'Platformupdate'.
ELAM kan hier worden gewijzigd:
Computerconfiguratie>Beheersjablonen>Systeem>Early Launch Antimalware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (tekenreeks) C:\Windows\ELAMBKUP\WdBoot.sys (waarde)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platformversie>\MpCmdRun.exe -RevertPlatform.
Bijvoorbeeld:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform