Freigeben über


ELAM-Treiberübermittlungsprozess

Die folgenden Schritte können verwendet werden, um einen ELAM-Treiber (Early Launch Antimalware) zu übermitteln:

  1. Stellen Sie sicher, dass Ihr Treiber die dokumentierten Anforderungen für ELAM-Treiber erfüllt. Weitere Informationen finden Sie unter ELAM-Treiberanforderungen und INF SignatureAttributes.

  2. Überprüfen Sie Ihren Treiber mit dem Hardware Logo Kit (HLK) und dem Hardware Certification Kit (HCK). Wenn Ihr Treiber sowohl in Windows 8 als auch in Windows 10 verwendet wird, müssen Sie beide Versionen des Kits ausführen. Fügen Sie die Ergebnisse in Ihre Übermittlung ein. Weitere Informationen finden Sie in der technischen Referenz zu HLK-Tools . Informationen zu den erforderlichen HCK-Tests finden Sie unten.

  3. Befolgen Sie die Signaturrichtlinie für Kernelmodustreiber, wie im Thema Treibersignierrichtlinie angegeben.

  4. Übermitteln des Treiberpakets zur Auswertung im Windows Hardware Dev Center

Jeder Treiber .sys Datei muss von Microsoft signierter Code sein, wobei ein spezielles Zertifikat verwendet wird, das angibt, dass es sich um einen Frühstart-AM-Treiber handelt.

Der AM-Treiber muss eine einzelne Binärdatei sein (keine anderen DLLs importieren).

Tests des Hardwarezertifizierungskits

Jeder Treiber, der auf ein vorab Windows 10 Betriebssystem abzielt, muss die folgenden HCK-Tests bestehen, die vom ISV verwaltet werden:

LEISTUNGSTEST

  • RÜCKRUFLATENZ: Jeder FRÜHstart-AM-Treiber ist erforderlich, um die Rückrufe der Treiberüberprüfung aus dem Kernel innerhalb von 0,5 ms zurückzugeben. Diese Zeit wird gemessen, ab dem Zeitpunkt, zu dem der Kernel den Rückruf an den Treiber ausgibt, bis zu dem Zeitpunkt, zu dem der Treiber den Rückruf zurückgibt.
  • SPEICHERZUORDNUNG: Bei jedem Frühstart-AM-Treiber muss sein Speicherbedarf auf 128 KB beschränkt werden, sowohl für das Treiberimage als auch für die Konfigurationsdaten (Signaturdaten).
  • UNLOAD BLOCKING: Jeder FRÜHstart-AM-Treiber empfängt nach der Initialisierung des letzten Starttreibers einen synchronen Rückruf, der angibt, dass der AM-Treiber entladen wird. Der AM-Treiber kann dies als Hinweis verwenden, dass er eine "Bereinigung" durchführen und alle status Informationen speichern muss, die vom AM-Runtimetreiber verwendet werden können. Der FRÜHstart-AM-Treiber muss jedoch den Rückruf zurückgeben, damit der Treiber entladen wird und damit der Start fortgesetzt werden kann.
  • SIGNATURDATENTEST: Jeder früh gestartete AM-Treiber muss seine Schadsoftwaresignaturdaten von einem einzigen, bekannten Und keinem anderen Speicherort abrufen. Dies ermöglicht die Messung und den Schutz dieser Daten durch Windows. Dieser Test stellt sicher, dass jeder AM-Treiber nur seine Konfigurationsdaten aus der Registrierungsstruktur liest, die für diesen Treiber erstellt wird.
  • BACKUP DRIVER TEST : Der AM-Treiber für den frühen Start muss bei der Installation auch eine Sicherungskopie des Treibers im Sicherungstreiberspeicher installieren. Diese Anforderung soll bei der Wartung helfen, falls der primäre Treiber beschädigt wird. Dieser Test stellt sicher, dass für einen installierten FRÜHstart-AM-Treiber ein entsprechender Treiber im Sicherungsspeicher vorhanden ist.