Early Launch Antimalware (ELAM) och Microsoft Defender Antivirus
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för enskilda
Plattformar:
- Windows 11, Windows 10, Windows 8.1, Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Att identifiera skadlig kod som startar tidigt i startcykeln var en utmaning innan Windows 8. I augusti 2012 Microsoft Defender Antivirus (MDAV) för Windows 8 eller senare, och Windows Server 2012 och senare införlivade en ny funktion som kallas ELAM-drivrutinen (Early Launch Antimalware). ELAM bekämpar tidiga starthot (till exempel rootkits eller skadliga drivrutiner som kan döljas från identifiering) med hjälp av en Wdboot.sys drivrutin som startar före andra startdrivrutiner. ELAM möjliggör utvärdering av andra drivrutiner och hjälper Windows-kerneln att avgöra om dessa drivrutiner ska initieras.
ELAM-identifieringen loggas på samma plats som de andra Microsoft Defender Antivirus-hot, till exempel händelse-ID 1006.
MDAV ELAM-drivrutinen levereras med den månatliga "plattformsuppdateringen".
ELAM kan ändras här:
Datorkonfiguration>Administrativa mallar>System>Tidig start av program mot skadlig kod
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (sträng) C:\Windows\ELAMBKUP\WdBoot.sys (värde)
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.
Till exempel:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform