ELAM驱动程序(优先启动反病毒驱动程序)

最新推荐文章于 2025-06-10 17:17:05 发布
最新推荐文章于 2025-06-10 17:17:05 发布
阅读量2.3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yeshahayes/article/details/79335604
本文介绍了Windows 8及更高版本中引入的ELAM驱动,这是一种早期启动的反病毒驱动,旨在在其他驱动加载之前进行恶意软件检查。内容涵盖ELAM驱动的安装、初始化、回调机制,以及如何注册和卸载。ELAM驱动需要特定的微软签名,并且不能包含设备对象,只能通过非PNP方式安装。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WDK中ELAM驱动示例
从MSDN中摘抄的关于这种驱动的简介。链接

简介

  从Windows8起,微软为反病毒软件增加的新的驱动类型:Early-Lunch Anti-Malware驱动(ELAM驱动)。这种驱动启动的比其他boot类型的驱动更加早并且提供了回调向ELAM驱动通知正在被加载的普通boot型驱动,以让反病毒软件有机会在boot型驱动加载前检测并决定是否加载这些驱动。

前提条件

  ELAM驱动需要具有WHQL签名。微软要求ELAM厂商是Microsoft Virus Initiative (MVI) 或者是Virus Information Alliance (VIA)项目的成员。ELAM驱动需要有微软针对ELAM的特殊签名并且不能导入任何Dll。

ELAM驱动的安装

  ELAM驱动的启动类型为SERVICE_BOOT_START,表示驱动由winload加载并随内核的初始化启动。启动组(LoadOrderGroup )则需要设置为Early-Launch表示这是个早期启动驱动。
  因为ELAM驱动不能拥有任何设备对象,所以它不能作为PNP驱动

最低0.47元/天 解锁文章

200万优质内容无限畅学
CrowdStrike 导致的 Windows BSOD 灾难的技术细节 导致此次熔毁的技术细节
iCloudEnd的博客
07-22 1103
CrowdStrike 是一家非常受欢迎的美国计算机安全服务公司,其产品名为 falcon,安装在很多机器上,尤其是 Windows。他们发布了一个补丁,通过互联网更新其软件,该补丁于 2024 年 7 月 19 日广泛推出。此补丁导致运行 Windows 的机器无法正确启动,并显示臭名昭著的“死机蓝屏”(BSOD )。由于这是启动阶段本身的问题,因此需要各个组织的 IT 专业人员将每台 Windows 机器物理启动到安全模式并删除通道文件(有关此问题的更多详细信息见下文),以便系统再次正常启动
umat子程序
05-12
### UMAT 子程序在 Abaqus 中的应用详解 #### 一、引言 UMAT 子程序是在 Abaqus/Explicit 和 Abaqus/Standard 中实现材料模型自定义的有效方式之一,它允许用户根据实际需求来定义材料的本构关系。通过编写 UMAT 子...
驱动对抗(一):ELAM驱动加载与驱动过滤
yan_star的博客
01-17 2283
驱动对抗现状: 问题: 由于3环权限低,越来越多的病毒不屑于在3环搞事。在处理用户的一些病毒问题时,除了流氓软件,最多的还是rootkit这一类病毒(关于rootkit病毒的介绍,常见操作和危害不在此处讨论,以后笔者可以单独开一篇博文聊聊)。有些用户遇到3环问题还能自己想办法解决一下,通过修改劫持首页的注册表、快捷方式或者卸载恶意流氓软件等等就可以解决问题。但是,面对rootkit类病毒问题时,绝大多数的用户还是不知道或者不敢轻易去自己解决,一方面由于相关处理经验不足,另一个是怕出什么问题导致蓝屏或者系
网络安全之内核初级对抗技术分析
最新发布
anquan2233的博客
06-10 1155
Windows 内核提供了多个强大的回调接口,可以用于监控或控制系统行为,其中 ObRegisterCallbacks 和 CmRegisterCallback 是两种最常用于进程保护和注册表监控的机制。本文会通过多个完整的驱动示例,演示如何利用这两种回调进行内核级防护,并分析它们在初级对抗中的实际应用效果与局限性。测试环境:win10内核回调机制是内核安全防护的重要组成部分,但在面对有一定逆向能力和 Ring0 编写能力的攻击者时,其对抗能力仍存在上限。
驱动启动方式
xulong007的博客
07-12 768
Start的值设置为1,则表示驱动由操作系统的I/O子系统加载,即在系统内核初始化时加载;Start的值设置为0,表示驱动由启动引导器加载,即该驱动程序会在系统开机时最先启动;在注册表中,start值的不同取值代表着驱动启动的不同方式。Start的值设置为2,代表驱动/服务在启动后自动加载;Start的值设置为3,意味着驱动/服务需要手动启动;当Start的值设置为4时,该驱动/服务会被禁用。
Elam的caffe笔记之配置篇(二):CentOS6.5编译安装NVIDIA驱动
weixin_33878457的博客
09-12 172
配置要求: 系统:centos6.5 目标:基于CUDA8.0+Opencv3.1+Cudnnv5.1+python3.6接口的caffe框架 编译安装过程 显卡型号:NVS 510 1.显卡驱动安装程序下载 在root下输入 lspci |grep VGA 可以看自己的显卡型号确定自己显卡型号之后登陆NVIDIA官网下载驱动http...
Elam的caffe笔记之配置篇(三):Centos 6.5下装CUDA8.0 和cudnnv5.1
qq_16019107的博客
09-13 857
Elam的caffe笔记之配置篇(二):Centos 6.5下装CUDA8.0 和cudnnv5.1 配置要求:系统:centos6.5 目标:基于CUDA8.0+Opencv3.1+Cudnnv5.1+python3.6接口的caffe框架 写在前面,本文是在CentOS6.5环境下配置caffe和caffe的pytho3.6接口的过程中整理所得,本文是完全基于NVIDIA官方的文档完成的CUDA
驱动程序的安装和启动方法
sicoxp的专栏
04-09 1729
驱动程序的安装和启动方法,以及调入方式(一个例子) 将***.sys复制到 winnt/system32 目录下. 双击**.reg文件,导入**.sys的注册表配置. reboot 运行 ****.exe 进入命令行模式(MS-DOS) 在命令行模式下执行命令,加载驱动程序. 查看****.exe界面,出现**
Elam的git笔记:(二)git的安装与基本操作介绍
weixin_34179762的博客
03-17 121
Giti安装 下载地址下载:https://git-scm.com/download/win自动下载64位,如果是32位系统,取消下载后自行下载对应版本双击安装,自选项可根据自身需求自由选择 习惯于cmd的同学可以选择第二个安装完成后在桌面右键,选择Git Bash Here 出现 与linux基本相同的命令行,基础命令也是完全按照...
ElAM:分析与表示各向异性弹性的计算机程序
"这篇资源是一篇发表在《计算机物理学通讯》(Computer Physics Communications)上的学术文章,标题为“ElAM:一个用于分析和表示各向异性弹性的计算机程序”。该程序设计用于处理材料的各向异性弹性特性,作者包括...
ABAQUS子程序编写逻辑
05-03
好的,我现在要帮助用户了解ABAQUS子程序的编写逻辑和方法,特别是UMAT的示例代码。首先,我需要回忆一下自己之前学过的ABAQUS子程序相关知识,确保信息的准确性。ABAQUS的子程序确实是用Fortran编写的,用户可能...
Driver Signature Enforcement Overrider
08-13
Driver Signature Enforcement Overrider Windows測試模式 (win7 64位可用) 無須重啟F8 可去除右下測試模式水印 Enable Test Mode Disable Test Mode Sign a System File ------------------------ Sometimes, the watermark still exists on the desktop after reboot, you need to manually rebuild the MUI cache by: Press key "R" in removeWatermark; Or run "mcbuilder.exe". Remove all Watermark on desktop. Such as "Evaluation Copy", "For testing purpose only", "Test Mode", "Safe Mode". Support: Windows Vista /Server 2008 /Windows 7, 64bit(x64) / 32bit(x86), All Service Pack & all language of Windows. 2009.05.09 V0.8 Download Link 1: RemoveWatermark_20090509.zip http://soft3.wmzhe.com/download/deepxw/RemoveWatermark_20090509.zip Download Link 2: RemoveWatermark_20090509.zip http://soft2.wmzhe.com/download/deepxw/RemoveWatermark_20090509.zip Download Link 3: RemoveWatermark_20090509.zip (Click the link to download) http://filekeeper.org/download/deepxw/RemoveWatermark/RemoveWatermark_20090509.zip It is a universal patch! Without language limited, Supports all language of windows! And without limited of Service Pack. This tool provides two ways to remove the watermark. * The default method, modify user32.dll.mui. This method is safe for all Windows. In 64-bit Vista / Windows 7, It needs Re-Build MUI cache, this will take a few minutes, please wait. * Method 2: modifies user32.dll. 100% remove all watermark. (Run program with argument "-enforce") But don't use Method 2 in Windows 7 6956 / 7000 or later version. It likes a unknown bug in these version of Windows. Any modification with user32.dll in Windows 7 6956 will cause application fail to run in compatibility mode. Notes: 1, Can operate in normal mode. Do not need to enter safe mode. 2, Choose the corresponding patch based on you Windows: For 32bit(x86): RemoveWatermarkX86.exe For 64bit(x64): RemoveWatermarkX64.exe 3, If "Test Mode" still exists on the desktop after reboot, you can run RemoveWatermark and Press key "R" to rebuild MUI cache. Or open command prompt as administrator, run mcbuilder.exe again, then restart computer. 4, Command line / argument usages: -silent Patch in silent mode. -view View the string of user32.dll.mui, don't patch file.
Driver Signature Enforcement Overrider 可禁止驱动程序数字签名
04-22
分享一下,懂得都懂,据说可以禁止winodws驱动程序数字签名
解决64位windows的数字签名问题的软件:dseo13b.exe
05-07
对于嵌入式初学者,都会遇到的64位windows无法解决数字签名问题的神器
dseo13b.zip
09-02
软件名:Driver Signature Enforcement Overrider 使用方法:http://nick.txtcc.com/index.php/other/290
early-launch-anti-malware
09-18
ELAM允许特定的反恶意软件驱动在其他启动驱动之前初始化,确保系统的清洁启动,从而保护用户免受恶意代码的侵害。 **开发ELAM驱动程序** 开发ELAM驱动对开发者的要求较高,需要熟悉内核模式驱动的开发,尤其是启动...
云里黑白第九回——360,rsElam.sys惹你了吗?为什么要删人家。
我的分享,希望可以帮到你!
01-15 2870
背景 笔记本,华硕ROG魔霸新锐,开机蓝屏,显示 rsElam.sys文件有问题。 网友当时回忆,下载安装了比特彗星,个人觉得跟比特彗星没啥关联,因为另外一个网友更新了显卡驱动,也遇到过一样的问题。 SrtTrail.txt日志文件显示如下。 解决 rsElam.sys应该是一个优先启动反病毒驱动程序,所以我们可以以【F8 禁用预先启动反恶意软件保护】方式进入系统。 在恢复界面,先按F8选择【按 F8 以指定启动设置】 在下图界面,按F8或者8,都一样 ...
内核回调函数
maomao171314的专栏
07-05 1005
Kernel Callback Functions
u3dexportdll.dll文件免费下载,软件文件缺失补回
2508_90661607的博客
03-27 840
在使用电脑时经常会出现丢失找不到某些文件的情况,由于很多常用软件都是采用 Microsoft Visual Studio 编写的,所以这类软件的运行需要依赖微软Visual C++运行库,比如像 QQ、迅雷、Adobe 软件等等,如果没有安装VC++运行库或者安装的版本不完整,就可能会导致这些软件启动时报错,提示缺少库文件。文件下载完成后,下方列表会有很多个不同版本的文件,这里我们根据自己所需要的版本文件,点击右边的“打开”,这样就找到了下载的文件。下面我们通过使用一款DLL修复工具免费下载需要的文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值