提前启动反恶意软件的概述
本部分提供有关开发适用于 Windows 操作系统的早期启动反恶意软件 (ELAM) 驱动程序的信息。 它为反恶意软件开发人员提供了指南,用于开发在其他启动启动驱动程序之前初始化的驱动程序,并确保后续驱动程序不包含恶意软件。 它假定读者熟悉开发内核模式驱动程序,特别是启动驱动程序。
此信息适用于以下操作系统:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
以下主题介绍提前启动反恶意软件 (ELAM) 驱动程序的接口要求。 它们旨在提供有关 ELAM 驱动程序接口的信息。 ELAM 功能提供了 Microsoft 支持的反恶意软件机制, (AM) 软件在其他第三方组件之前启动。 AM 驱动程序首先初始化,并允许控制后续启动驱动程序的初始化,可能不会初始化未知的启动驱动程序。 启动过程初始化启动驱动程序并高效访问永久性存储后,现有 AM 软件可能会继续阻止恶意软件执行。
注意
由于 ELAM 服务作为 PPL (受保护的 Process Light) 运行,因此需要使用内核调试器进行调试。