Wczesna ochrona przed złośliwym kodem (ELAM) i program antywirusowy Microsoft Defender
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Microsoft Defender dla poszczególnych użytkowników
Platformy:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Wykrywanie złośliwego oprogramowania, które rozpoczyna się na początku cyklu rozruchowego, było wyzwaniem przed Windows 8. W sierpniu 2012 r. program antywirusowy Microsoft Defender (MDAV) dla Windows 8 lub nowszych, a następnie Windows Server 2012 i później włączył nową funkcję o nazwie sterownik wczesnego oprogramowania chroniącego przed złośliwym kodem (ELAM). Usługa ELAM zwalcza wczesne zagrożenia rozruchowe (na przykład zestawy rootkit lub złośliwe sterowniki, które mogą ukrywać się przed wykryciem) przy użyciu sterownika Wdboot.sys uruchamianego przed innymi sterownikami rozruchu. Usługa ELAM umożliwia ocenę innych sterowników i pomaga jądrze systemu Windows zdecydować, czy te sterowniki powinny zostać zainicjowane.
Wykrywanie elam jest rejestrowane w tej samej lokalizacji co inne Microsoft Defender zagrożenia antywirusowe, takie jak identyfikator zdarzenia 1006.
Sterownik MDAV ELAM jest dostarczany z miesięczną "aktualizacją platformy".
Elam można zmodyfikować tutaj:
Konfiguracja> komputeraSzablony> administracyjneSystem>Wczesna ochrona przed złośliwym kodem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (ciąg) C:\Windows\ELAMBKUP\WdBoot.sys (wartość)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.
Przykład:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform