提前启动反恶意软件 (ELAM) 和Microsoft Defender防病毒
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 商业版
- Microsoft Defender for Endpoint 计划 1
- 个人Microsoft Defender
平台:
- Windows 11、Windows 10、Windows 8.1、Windows 8
- Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在Windows 8之前,检测启动周期早期启动的恶意软件是一项挑战。 2012 年 8 月,Microsoft Defender防病毒 (MDAV) Windows 8或更高版本,Windows Server 2012 及更高版本合并了一项名为“提前启动反恶意软件 (ELAM) 驱动程序的新功能。 ELAM 可应对早期启动威胁, (例如,使用在其他启动启动驱动程序之前启动的 Wdboot.sys 驱动程序来隐藏检测) 的 rootkit 或恶意驱动程序。 ELAM 允许评估其他驱动程序,并帮助 Windows 内核确定是否应初始化这些驱动程序。
ELAM 检测记录在哪里?
ELAM 检测与其他Microsoft Defender防病毒威胁(例如事件 ID 1006)记录在同一位置。
如何实现使 MDAV ELAM 驱动程序保持最新状态?
MDAV ELAM 驱动程序附带每月的“平台更新”。
是否可以修改提前启动反恶意软件 (ELAM) 策略?
可以在此处修改 ELAM:
计算机配置>管理模板>系统>提前启动反恶意软件
如何检查 MDAV ELAM 驱动程序已加载?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (字符串) C:\Windows\ELAMBKUP\WdBoot.sys (值)
如何实现 还原 MDAV ELAM 驱动程序到以前的版本?
C:\ProgramData\Microsoft\Windows Defender\Platform<反恶意软件平台版本>\MpCmdRun.exe -RevertPlatform。
例如:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈