Share via


Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) ve Microsoft Defender Virüsten Koruma

Şunlar için geçerlidir:

Platform:

  • Windows 11, Windows 10, Windows 8.1 Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Önyükleme döngüsünde erken başlayan kötü amaçlı yazılımları algılamak, Windows 8 önce bir zorluktu. Ağustos 2012'de, Windows 8 veya üzeri için Microsoft Defender Virüsten Koruma (MDAV) ve Windows Server 2012 ve daha sonra Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) sürücüsü adlı yeni bir özellik içeriyor. ELAM, diğer önyükleme başlatma sürücülerinden önce başlayan bir Wdboot.sys sürücüsü kullanarak erken önyükleme tehditleriyle (örneğin, algılamadan gizlenebilen rootkit'ler veya kötü amaçlı sürücüler) ile mücadele eder. ELAM, diğer sürücülerin değerlendirilmesini sağlar ve Windows çekirdeğinin bu sürücülerin başlatılıp başlatılmayacağı konusunda karar vermesine yardımcı olur.

ELAM algılamaları nerede günlüğe kaydedilir?

ELAM algılama, Olay Kimliği 1006 gibi diğer Microsoft Defender Virüsten Koruma tehditleriyle aynı konumda günlüğe kaydedilir.

MDAV ELAM sürücüsünün güncel kalmasını Nasıl yaparım??

MDAV ELAM sürücüsü aylık "Platform güncelleştirmesi" ile birlikte gelir.

Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) ilkesi değiştirilebilir mi?

ELAM burada değiştirilebilir:

Bilgisayar Yapılandırması>Yönetim Şablonları>Sistem>Erken Başlatma Kötü Amaçlı Yazılımdan Koruma

MDAV ELAM sürücüsünün yüklü olup olmadığını nasıl denetleyebilirim?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (dize) C:\Windows\ELAMBKUP\WdBoot.sys (değer)

MDAV ELAM sürücüsünü önceki bir sürüme geri Nasıl yaparım??

C:\ProgramData\Microsoft\Windows Defender\Platform<kötü amaçlı yazılımdan koruma platformu sürümü>\MpCmdRun.exe -RevertPlatform.

Örneğin:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform