提前启动反恶意软件 (ELAM) 和Microsoft Defender防病毒

适用于：

• Microsoft Defender XDR
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 商业版
• Microsoft Defender for Endpoint 计划 1
• 个人Microsoft Defender

平台：

• Windows 11、Windows 10、Windows 8.1、Windows 8
• Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

在Windows 8之前，检测启动周期早期启动的恶意软件是一项挑战。 2012 年 8 月，Microsoft Defender防病毒 (MDAV) Windows 8或更高版本，Windows Server 2012 及更高版本合并了一项名为“提前启动反恶意软件 (ELAM) 驱动程序的新功能。 ELAM 可应对早期启动威胁， (例如，使用在其他启动启动驱动程序之前启动的 Wdboot.sys 驱动程序来隐藏检测) 的 rootkit 或恶意驱动程序。 ELAM 允许评估其他驱动程序，并帮助 Windows 内核确定是否应初始化这些驱动程序。

ELAM 检测记录在哪里？

ELAM 检测与其他Microsoft Defender防病毒威胁（例如事件 ID 1006）记录在同一位置。

如何实现使 MDAV ELAM 驱动程序保持最新状态？

MDAV ELAM 驱动程序附带每月的“平台更新”。

是否可以修改提前启动反恶意软件 (ELAM) 策略？

可以在此处修改 ELAM：

计算机配置>管理模板>系统>提前启动反恶意软件

如何检查 MDAV ELAM 驱动程序已加载？

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (字符串) C：\Windows\ELAMBKUP\WdBoot.sys (值)

如何实现 还原 MDAV ELAM 驱动程序到以前的版本？

C：\ProgramData\Microsoft\Windows Defender\Platform<反恶意软件平台版本>\MpCmdRun.exe -RevertPlatform。

例如：

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform