Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) ve Microsoft Defender Virüsten Koruma
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender Planı 2
- İş için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 1
- Bireysel için Microsoft Defender
Platform:
- Windows 11, Windows 10, Windows 8.1 Windows 8
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Önyükleme döngüsünde erken başlayan kötü amaçlı yazılımları algılamak, Windows 8 önce bir zorluktu. Ağustos 2012'de, Windows 8 veya üzeri için Microsoft Defender Virüsten Koruma (MDAV) ve Windows Server 2012 ve daha sonra Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) sürücüsü adlı yeni bir özellik içeriyor. ELAM, diğer önyükleme başlatma sürücülerinden önce başlayan bir Wdboot.sys sürücüsü kullanarak erken önyükleme tehditleriyle (örneğin, algılamadan gizlenebilen rootkit'ler veya kötü amaçlı sürücüler) ile mücadele eder. ELAM, diğer sürücülerin değerlendirilmesini sağlar ve Windows çekirdeğinin bu sürücülerin başlatılıp başlatılmayacağı konusunda karar vermesine yardımcı olur.
ELAM algılamaları nerede günlüğe kaydedilir?
ELAM algılama, Olay Kimliği 1006 gibi diğer Microsoft Defender Virüsten Koruma tehditleriyle aynı konumda günlüğe kaydedilir.
MDAV ELAM sürücüsünün güncel kalmasını Nasıl yaparım??
MDAV ELAM sürücüsü aylık "Platform güncelleştirmesi" ile birlikte gelir.
Erken Başlatma Kötü Amaçlı Yazılımdan Koruma (ELAM) ilkesi değiştirilebilir mi?
ELAM burada değiştirilebilir:
Bilgisayar Yapılandırması>Yönetim Şablonları>Sistem>Erken Başlatma Kötü Amaçlı Yazılımdan Koruma
MDAV ELAM sürücüsünün yüklü olup olmadığını nasıl denetleyebilirim?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (dize) C:\Windows\ELAMBKUP\WdBoot.sys (değer)
MDAV ELAM sürücüsünü önceki bir sürüme geri Nasıl yaparım??
C:\ProgramData\Microsoft\Windows Defender\Platform<kötü amaçlı yazılımdan koruma platformu sürümü>\MpCmdRun.exe -RevertPlatform.
Örneğin:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform