提前启动反恶意软件的概述
本部分提供有关开发适用于 Windows 操作系统的早期启动反恶意软件 (ELAM) 驱动程序的信息。 它为反恶意软件开发人员提供了指南,用于开发在其他启动启动驱动程序之前初始化的驱动程序,并确保后续驱动程序不包含恶意软件。 它假定读者熟悉开发内核模式驱动程序,特别是启动驱动程序。
此信息适用于以下操作系统:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
以下主题介绍提前启动反恶意软件 (ELAM) 驱动程序的接口要求。 它们旨在提供有关 ELAM 驱动程序接口的信息。 ELAM 功能提供了 Microsoft 支持的反恶意软件机制, (AM) 软件在其他第三方组件之前启动。 AM 驱动程序首先初始化,并允许控制后续启动驱动程序的初始化,可能不会初始化未知的启动驱动程序。 启动过程初始化启动驱动程序并高效访问永久性存储后,现有 AM 软件可能会继续阻止恶意软件执行。
注意
由于 ELAM 服务作为 PPL (受保护的 Process Light) 运行,因此需要使用内核调试器进行调试。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈