適用於:
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender 方案 2
- 適用於企業的 Microsoft Defender
- 適用於端點的 Microsoft Defender 方案 1
- 個別 Microsoft Defender
平臺:
- Windows 11、Windows 10、Windows 8.1、Windows 8
- Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
偵測在開機週期初期啟動的惡意代碼,在 Windows 8 之前是一項挑戰。 在 2012 年 8 月,Microsoft Defender Windows 8 或更新版本的 MDAV (MDAV) ,Windows Server 2012 和更新版本納入名為「早期啟動反惡意代碼軟體」 (ELAM) 驅動程式的新功能。 ELAM 會對抗早期開機威脅 (例如,可以使用在其他開機啟動驅動程式之前啟動的 Wdboot.sys 驅動程式來隱藏偵測) 的根目錄或惡意驅動程式。 ELAM 可讓您評估其他驅動程式,並協助 Windows 核心決定是否要初始化這些驅動程式。
ELAM 偵測記錄在哪裡?
ELAM 偵測會記錄在與其他 Microsoft Defender 防病毒軟體威脅相同的位置,例如事件標識碼 1006。
如何? 將 MDAV ELAM 驅動程式保持在最新狀態?
MDAV ELAM 驅動程序隨附每月「平臺更新」。
是否可以修改早期啟動反惡意代碼 (ELAM) 原則?
您可以在這裡修改 ELAM:
計算機設定>系統管理範>本系統>早期啟動反惡意代碼軟體
如何檢查是否已載入 MDAV ELAM 驅動程式?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (字串) C:\Windows\ELAMBKUP\WdBoot.sys (值)
如何? 將 MDAV ELAM 驅動程式還原為舊版嗎?
C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform。
例如:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform