Share via


Antimalware de Início Antecipado (ELAM) e Antivírus Microsoft Defender

Aplica-se a:

Plataformas:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Windows Server 2012

A deteção de software maligno que começa no início do ciclo de arranque foi um desafio antes de Windows 8. Em agosto de 2012, Microsoft Defender Antivírus (MDAV) para Windows 8 ou posterior, e Windows Server 2012 e, posteriormente, incorporaram uma nova funcionalidade denominada controlador Antimalware de Lançamento Antecipado (ELAM). O ELAM combate ameaças de arranque precoce (por exemplo, rootkits ou controladores maliciosos que podem ocultar-se da deteção) através de um controlador de Wdboot.sys que é iniciado antes de outros controladores de arranque. O ELAM ativa a avaliação de outros controladores e ajuda o kernel do Windows a decidir se esses controladores devem ser inicializados.

Onde são registadas as deteções de ELAM?

A deteção de ELAM é registada na mesma localização que a outra Microsoft Defender ameaças antivírus, como o ID do Evento 1006.

Como devo proceder para manter o controlador ELAM MDAV atualizado?

O controlador ELAM MDAV é fornecido com a "Atualização da plataforma" mensal.

A política Antimalware de Início Antecipado (ELAM) pode ser modificada?

O ELAM pode ser modificado aqui:

Configuração do> ComputadorModelos Administrativos>Sistema>Início Antecipado do Antimalware

Como posso verificar se o controlador ELAM MDAV está carregado?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (cadeia) C:\Windows\ELAMBKUP\WdBoot.sys (valor)

Como devo proceder para reverter o controlador ELAM MDAV para uma versão anterior?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Por exemplo:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform