Обзор раннего запуска антивредоносного ПО
В этом разделе содержатся сведения о разработке драйверов раннего запуска для защиты от вредоносных программ (ELAM) для операционных систем Windows. Он предоставляет рекомендации для разработчиков антивредоносных программ по разработке драйверов, которые инициализированы перед другими драйверами запуска загрузки и гарантируют, что последующие драйверы не содержат вредоносных программ. Предполагается, что читатель знаком с разработкой драйверов в режиме ядра, в частности драйверов для запуска загрузки.
Эти сведения относятся к следующим операционным системам:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
В следующих разделах описаны требования к интерфейсу для драйверов раннего запуска для защиты от вредоносных программ (ELAM). Они предназначены для предоставления сведений об интерфейсах драйверов ELAM. Функция ELAM предоставляет поддерживаемый корпорацией Майкрософт механизм запуска программного обеспечения для защиты от вредоносных программ (AM) до других сторонних компонентов. Драйверы AM сначала инициализируются и могут управлять инициализацией последующих загрузочных драйверов, потенциально не инициализируя неизвестные загрузочные драйверы. После инициализации загрузочных драйверов и эффективного доступа к постоянному хранилищу существующее программное обеспечение AM может по-прежнему блокировать выполнение вредоносных программ.
Предварительные требования для ELAM
Примечание
Так как служба ELAM выполняется как PPL (защищенный свет процессов), отладка должна выполняться с помощью отладчика ядра.
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по