Wczesna ochrona przed złośliwym kodem (ELAM) i program antywirusowy Microsoft Defender

Dotyczy:

Platformy:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Wykrywanie złośliwego oprogramowania, które rozpoczyna się na początku cyklu rozruchowego, było wyzwaniem przed Windows 8. W sierpniu 2012 r. program antywirusowy Microsoft Defender (MDAV) dla Windows 8 lub nowszych, a następnie Windows Server 2012 i później włączył nową funkcję o nazwie sterownik wczesnego oprogramowania chroniącego przed złośliwym kodem (ELAM). Usługa ELAM zwalcza wczesne zagrożenia rozruchowe (na przykład zestawy rootkit lub złośliwe sterowniki, które mogą ukrywać się przed wykryciem) przy użyciu sterownika Wdboot.sys uruchamianego przed innymi sterownikami rozruchu. Usługa ELAM umożliwia ocenę innych sterowników i pomaga jądrze systemu Windows zdecydować, czy te sterowniki powinny zostać zainicjowane.

Gdzie są rejestrowane wykrycia elam?

Wykrywanie elam jest rejestrowane w tej samej lokalizacji co inne Microsoft Defender zagrożenia antywirusowe, takie jak identyfikator zdarzenia 1006.

Jak mogę zachować aktualną dostępność sterownika MDAV ELAM?

Sterownik MDAV ELAM jest dostarczany z miesięczną "aktualizacją platformy".

Czy można zmodyfikować zasady wczesnego uruchamiania ochrony przed złośliwym kodem (ELAM)?

Elam można zmodyfikować tutaj:

Konfiguracja> komputeraSzablony> administracyjneSystem>Wczesna ochrona przed złośliwym kodem

Jak sprawdzić, czy sterownik MDAV ELAM jest załadowany?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (ciąg) C:\Windows\ELAMBKUP\WdBoot.sys (wartość)

Jak mogę przywrócić sterownik MDAV ELAM do poprzedniej wersji?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Przykład:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform