Compartilhar via

Elam (Antimalware de Inicialização Antecipada) e antivírus Microsoft Defender

Aplica-se a:

Plataformas:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Detectar malware que começa no início do ciclo de inicialização foi um desafio antes de Windows 8. Em agosto de 2012, Microsoft Defender Antivírus (MDAV) para Windows 8 ou posterior, e Windows Server 2012 e posteriormente incorporou um novo recurso chamado driver ELAM (Early Launch Antimalware). O ELAM combate ameaças de inicialização precoces (por exemplo, rootkits ou drivers mal-intencionados que podem se esconder da detecção) usando um driver Wdboot.sys que começa antes de outros drivers de inicialização. O ELAM habilita a avaliação de outros drivers e ajuda o kernel do Windows a decidir se esses drivers devem ser inicializados.

Onde estão registradas as detecções de ELAM?

A detecção de ELAM é registrada no mesmo local que as outras ameaças antivírus Microsoft Defender, como a ID de Evento 1006.

Como fazer manter o driver MDAV ELAM atualizado?

O driver MDAV ELAM é enviado com a "atualização de plataforma" mensal.

A política ELAM (Early Launch Antimalware) pode ser modificada?

O ELAM pode ser modificado aqui:

Configuração> do computadorModelos administrativos>Sistema>Antimalware de Inicialização Antecipada

Como posso marcar que o driver MDAV ELAM está carregado?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (cadeia de caracteres) C:\Windows\ELAMBKUP\WdBoot.sys (valor)

Como fazer reverter o driver MDAV ELAM para uma versão anterior?

C:\ProgramData\Microsoft\Windows Defender\Plataforma<versão da plataforma> antimalware\MpCmdRun.exe -RevertPlatform.

Por exemplo:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform