Antimalware de Início Antecipado (ELAM) e Antivírus Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender individual
Plataformas:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Windows Server 2012
A deteção de software maligno que começa no início do ciclo de arranque foi um desafio antes de Windows 8. Em agosto de 2012, Microsoft Defender Antivírus (MDAV) para Windows 8 ou posterior, e Windows Server 2012 e, posteriormente, incorporaram uma nova funcionalidade denominada controlador Antimalware de Lançamento Antecipado (ELAM). O ELAM combate ameaças de arranque precoce (por exemplo, rootkits ou controladores maliciosos que podem ocultar-se da deteção) através de um controlador de Wdboot.sys que é iniciado antes de outros controladores de arranque. O ELAM ativa a avaliação de outros controladores e ajuda o kernel do Windows a decidir se esses controladores devem ser inicializados.
A deteção de ELAM é registada na mesma localização que a outra Microsoft Defender ameaças antivírus, como o ID do Evento 1006.
O controlador ELAM MDAV é fornecido com a "Atualização da plataforma" mensal.
O ELAM pode ser modificado aqui:
Configuração do> ComputadorModelos Administrativos>Sistema>Início Antecipado do Antimalware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (cadeia) C:\Windows\ELAMBKUP\WdBoot.sys (valor)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.
Por exemplo:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform