Поделиться через

Ранний запуск антивредоносного ПО (ELAM) и антивирусной программы Microsoft Defender

Область применения:

Платформ:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Обнаружение вредоносных программ, запускающихся в начале цикла загрузки, было сложной задачей перед Windows 8. В августе 2012 года Microsoft Defender антивирусную программу (MDAV) для Windows 8 или более поздней версии, и Windows Server 2012, а затем включила новую функцию под названием Ранний запуск драйвера защиты от вредоносных программ (ELAM). ELAM борется с угрозами ранней загрузки (например, с rootkit или вредоносными драйверами, которые могут скрываться от обнаружения), используя драйвер Wdboot.sys, который запускается перед другими драйверами запуска загрузки. ELAM позволяет оценить другие драйверы и помогает ядру Windows решить, следует ли инициализировать эти драйверы.

Где регистрируются обнаружения ELAM?

Обнаружение ELAM регистрируется в том же расположении, что и другие Microsoft Defender антивирусных угроз, например событие с идентификатором 1006.

Разделы справки поддерживать драйвер MDAV ELAM в актуальном состоянии?

Драйвер MDAV ELAM поставляется с ежемесячным обновлением платформы.

Можно ли изменить политику раннего запуска защиты от вредоносных программ (ELAM)?

ELAM можно изменить здесь:

Конфигурация> компьютераАдминистративные шаблоны>Системы>Ранний запуск антивредоносного ПО

Как проверка, что драйвер MDAV ELAM загружен?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (строка) C:\Windows\ELAMBKUP\WdBoot.sys (значение)

Разделы справки отменить изменения драйвер MDAV ELAM в предыдущую версию?

C:\ProgramData\Microsoft\Защитник Windows\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Пример:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform