Visão geral do AntiMalware de Início Antecipado
Esta seção fornece informações sobre como desenvolver drivers ELAM (Antimalware de Início Antecipado) para Windows operacionais. Ele fornece diretrizes para desenvolvedores de antimalware desenvolverem drivers que são inicializados antes de outros drivers de inicialização e que garantem que os drivers subsequentes não contenham malware. Ele pressuém que o leitor está familiarizado com o desenvolvimento de drivers de modo kernel, especificamente drivers de inicialização.
Essas informações se aplica aos seguintes sistemas operacionais:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Os tópicos a seguir descrevem os requisitos de interface para drivers ELAM (Antimalware de Início Antecipado). Eles se destinam a fornecer informações sobre interfaces de driver ELAM. O recurso ELAM fornece um mecanismo com suporte da Microsoft para software antimalware (AM) para iniciar antes de outros componentes de terceiros. Os drivers AM são inicializados primeiro e têm permissão para controlar a inicialização de drivers de inicialização subsequentes, potencialmente não inicializando drivers de inicialização desconhecidos. Depois que o processo de inicialização tiver inicializado drivers de inicialização e o acesso ao armazenamento persistente estiver disponível de maneira eficiente, o software AM existente poderá continuar a bloquear a execução de malware.
Observação
Como um serviço ELAM é executado como um PPL (Luz de Processo Protegido), você precisa depurar usando um depurador de kernel.