早期啟動 AntiMalware 概觀
本節提供開發 Windows 作業系統的早期啟動反惡意程式碼 (ELAM) 驅動程式的相關資訊。 它提供反惡意程式碼開發人員的指導方針,以開發在其他開機啟動驅動程式之前初始化的驅動程式,並確保後續的驅動程式不包含惡意程式碼。 它假設讀者熟悉開發核心模式驅動程式,特別是開機啟動驅動程式。
此資訊適用于下列作業系統:
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
下列主題描述早期啟動反惡意程式碼 (ELAM) 驅動程式的介面需求。 它們旨在提供 ELAM 驅動程式介面的相關資訊。 ELAM 功能提供 Microsoft 支援的機制,讓反惡意程式碼 (AM) 軟體在其他協力廠商元件之前啟動。 AM 驅動程式會先初始化,並允許控制後續開機驅動程式的初始化,可能不會初始化未知的開機驅動程式。 一旦開機程式初始化開機驅動程式,並有效率地存取永續性儲存體之後,現有的 AM 軟體可能會繼續封鎖惡意程式碼執行。
注意
由於 ELAM 服務是以 PPL (Protected Process Light) 的形式執行,因此您必須使用核心偵錯工具進行偵錯。