Visão geral do AntiMalware de Início Antecipado
Esta seção fornece informações sobre como desenvolver drivers ELAM (Early Launch Antimalware) para sistemas operacionais Windows. Ele fornece diretrizes para que os desenvolvedores de antimalware desenvolvam drivers inicializados antes de outros drivers de inicialização e que garantam que os drivers subsequentes não contenham malware. Ele pressupõe que o leitor esteja familiarizado com o desenvolvimento de drivers no modo kernel, especificamente drivers de inicialização.
Essas informações se aplicam aos seguintes sistemas operacionais:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Os tópicos a seguir descrevem os requisitos de interface para drivers ELAM (Early Launch Antimalware). Elas destinam-se a fornecer informações sobre interfaces de driver ELAM. O recurso ELAM fornece um mecanismo com suporte da Microsoft para que o software antimalware (AM) seja iniciado antes de outros componentes de terceiros. Os drivers AM são inicializados primeiro e têm permissão para controlar a inicialização de drivers de inicialização subsequentes, potencialmente não inicializando drivers de inicialização desconhecidos. Depois que o processo de inicialização tiver inicializado drivers de inicialização e o acesso ao armazenamento persistente estiver disponível de maneira eficiente, o software AM existente poderá continuar a bloquear a execução de malware.
Observação
Como um serviço ELAM é executado como um PPL (Protected Process Light), você precisa depurar usando um depurador de kernel.