Early Launch Antimalware (ELAM) och Microsoft Defender Antivirus

Gäller för:

• Microsoft Defender XDR
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för enskilda

Plattformar:

• Windows 11, Windows 10, Windows 8.1, Windows 8
• Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Att identifiera skadlig kod som startar tidigt i startcykeln var en utmaning innan Windows 8. I augusti 2012 Microsoft Defender Antivirus (MDAV) för Windows 8 eller senare, och Windows Server 2012 och senare införlivade en ny funktion som kallas ELAM-drivrutinen (Early Launch Antimalware). ELAM bekämpar tidiga starthot (till exempel rootkits eller skadliga drivrutiner som kan döljas från identifiering) med hjälp av en Wdboot.sys drivrutin som startar före andra startdrivrutiner. ELAM möjliggör utvärdering av andra drivrutiner och hjälper Windows-kerneln att avgöra om dessa drivrutiner ska initieras.

Var loggas ELAM-identifieringarna?

ELAM-identifieringen loggas på samma plats som de andra Microsoft Defender Antivirus-hot, till exempel händelse-ID 1006.

Hur gör jag för att hålla MDAV ELAM-drivrutinen uppdaterad?

MDAV ELAM-drivrutinen levereras med den månatliga "plattformsuppdateringen".

Kan elam-principen (Early Launch Antimalware) ändras?

ELAM kan ändras här:

Datorkonfiguration>Administrativa mallar>System>Tidig start av program mot skadlig kod

Hur kontrollerar jag att MDAV ELAM-drivrutinen har lästs in?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (sträng) C:\Windows\ELAMBKUP\WdBoot.sys (värde)

Hur gör jag för att återställa MDAV ELAM-drivrutinen till en tidigare version?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Till exempel:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform