ELAM驱动程序(优先启动反病毒驱动程序)

最新推荐文章于 2024-07-12 15:56:15 发布
最新推荐文章于 2024-07-12 15:56:15 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshahayes/article/details/79335604
版权
本文介绍了Windows 8及更高版本中引入的ELAM驱动,这是一种早期启动的反病毒驱动,旨在在其他驱动加载之前进行恶意软件检查。内容涵盖ELAM驱动的安装、初始化、回调机制,以及如何注册和卸载。ELAM驱动需要特定的微软签名,并且不能包含设备对象,只能通过非PNP方式安装。
摘要由CSDN通过智能技术生成

WDK中ELAM驱动示例
从MSDN中摘抄的关于这种驱动的简介。链接

简介

  从Windows8起,微软为反病毒软件增加的新的驱动类型:Early-Lunch Anti-Malware驱动(ELAM驱动)。这种驱动启动的比其他boot类型的驱动更加早并且提供了回调向ELAM驱动通知正在被加载的普通boot型驱动,以让反病毒软件有机会在boot型驱动加载前检测并决定是否加载这些驱动。

前提条件

  ELAM驱动需要具有WHQL签名。微软要求ELAM厂商是Microsoft Virus Initiative (MVI) 或者是Virus Information Alliance (VIA)项目的成员。ELAM驱动需要有微软针对ELAM的特殊签名并且不能导入任何Dll。

ELAM驱动的安装

  ELAM驱动的启动类型为SERVICE_BOOT_START,表示驱动由winload加载并随内核的初始化启动。启动组(LoadOrderGroup )则需要设置为Early

最低0.47元/天 解锁文章
yeshahayes
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Driver Signature Enforcement Overrider
08-13
Driver Signature Enforcement Overrider Windows測試模式 (win7 64位可用) 無須重啟F8 可去除右下測試模式水印 Enable Test Mode Disable Test Mode Sign a System File ------------------------ Sometimes, the watermark still exists on the desktop after reboot, you need to manually rebuild the MUI cache by: Press key "R" in removeWatermark; Or run "mcbuilder.exe". Remove all Watermark on desktop. Such as "Evaluation Copy", "For testing purpose only", "Test Mode", "Safe Mode". Support: Windows Vista /Server 2008 /Windows 7, 64bit(x64) / 32bit(x86), All Service Pack & all language of Windows. 2009.05.09 V0.8 Download Link 1: RemoveWatermark_20090509.zip http://soft3.wmzhe.com/download/deepxw/RemoveWatermark_20090509.zip Download Link 2: RemoveWatermark_20090509.zip http://soft2.wmzhe.com/download/deepxw/RemoveWatermark_20090509.zip Download Link 3: RemoveWatermark_20090509.zip (Click the link to download) http://filekeeper.org/download/deepxw/RemoveWatermark/RemoveWatermark_20090509.zip It is a universal patch! Without language limited, Supports all language of windows! And without limited of Service Pack. This tool provides two ways to remove the watermark. * The default method, modify user32.dll.mui. This method is safe for all Windows. In 64-bit Vista / Windows 7, It needs Re-Build MUI cache, this will take a few minutes, please wait. * Method 2: modifies user32.dll. 100% remove all watermark. (Run program with argument "-enforce") But don't use Method 2 in Windows 7 6956 / 7000 or later version. It likes a unknown bug in these version of Windows. Any modification with user32.dll in Windows 7 6956 will cause application fail to run in compatibility mode. Notes: 1, Can operate in normal mode. Do not need to enter safe mode. 2, Choose the corresponding patch based on you Windows: For 32bit(x86): RemoveWatermarkX86.exe For 64bit(x64): RemoveWatermarkX64.exe 3, If "Test Mode" still exists on the desktop after reboot, you can run RemoveWatermark and Press key "R" to rebuild MUI cache. Or open command prompt as administrator, run mcbuilder.exe again, then restart computer. 4, Command line / argument usages: -silent Patch in silent mode. -view View the string of user32.dll.mui, don't patch file.
驱动对抗(一):ELAM驱动加载与驱动过滤
yan_star的博客
01-17 1853
驱动对抗现状: 问题: 由于3环权限低,越来越多的病毒不屑于在3环搞事。在处理用户的一些病毒问题时,除了流氓软件,最多的还是rootkit这一类病毒(关于rootkit病毒的介绍,常见操作和危害不在此处讨论,以后笔者可以单独开一篇博文聊聊)。有些用户遇到3环问题还能自己想办法解决一下,通过修改劫持首页的注册表、快捷方式或者卸载恶意流氓软件等等就可以解决问题。但是,面对rootkit类病毒问题时,绝大多数的用户还是不知道或者不敢轻易去自己解决,一方面由于相关处理经验不足,另一个是怕出什么问题导致蓝屏或者系
驱动启动方式
最新发布
xulong007的博客
07-12 120
Start的值设置为1,则表示驱动由操作系统的I/O子系统加载,即在系统内核初始化时加载;Start的值设置为0,表示驱动由启动引导器加载,即该驱动程序会在系统开机时最先启动;在注册表中,start值的不同取值代表着驱动启动的不同方式。Start的值设置为2,代表驱动/服务在启动后自动加载;Start的值设置为3,意味着驱动/服务需要手动启动;当Start的值设置为4时,该驱动/服务会被禁用。
戴尔启动修复无法自动修复此计算机,在 Dell 计算机上运行 Windows 启动修复
weixin_27918373的博客
07-04 6576
Windows 8和Windows 8.1注:注:如果计算机由于检测到的启动故障而将故障转移到Windows恢复,则应启动自动修复工具。如果自动故障转移无法正常工作,您也可以从 Windows 安装 CD 或 DVD 或从 Advanced Start Options 启动自动修复作为手动恢复工具。引导至System Recovery Options(系统恢复选项)屏幕。系统启动时在戴尔启动画面中...
云里黑白第九回——360,rsElam.sys惹你了吗?为什么要删人家。
我的分享,希望可以帮到你!
01-15 2292
背景 笔记本,华硕ROG魔霸新锐,开机蓝屏,显示 rsElam.sys文件有问题。 网友当时回忆,下载安装了比特彗星,个人觉得跟比特彗星没啥关联,因为另外一个网友更新了显卡驱动,也遇到过一样的问题。 SrtTrail.txt日志文件显示如下。 解决 rsElam.sys应该是一个优先启动反病毒驱动程序,所以我们可以以【F8 禁用预先启动反恶意软件保护】方式进入系统。 在恢复界面,先按F8选择【按 F8 以指定启动设置】 在下图界面,按F8或者8,都一样 ...
内核回调函数
maomao171314的专栏
07-05 777
Kernel Callback Functions
64位win7禁用驱动程序签名强制 几种常用方法
热门推荐
fanxianshi的专栏
06-16 5万+
其实想要在64位win7中使用未有签名的驱动程序还是有很多方法的,如上图中,开机之后在登录等待界面按下F8键,进入Windows系统的高级启动项,我们会发现与原有的XP系统多了一些不同的地方,最后一项中为禁用驱动程序签名强制,按照此项进入系统即可使用未有数字签名的驱动程序,当然,使用调试模式同样也可以加载未有签名的驱动,这里不推荐。 这个解决方法很简单,但是只能是在开机时设置,并且在计算机重新启
umat子程序
05-12
### UMAT 子程序在 Abaqus 中的应用详解 #### 一、引言 UMAT 子程序是在 Abaqus/Explicit 和 Abaqus/Standard 中实现材料模型自定义的有效方式之一,它允许用户根据实际需求来定义材料的本构关系。通过编写 UMAT 子...
early-launch-anti-malware
09-18
ELAM允许特定的反恶意软件驱动在其他启动驱动之前初始化,确保系统的清洁启动,从而保护用户免受恶意代码的侵害。 **开发ELAM驱动程序** 开发ELAM驱动对开发者的要求较高,需要熟悉内核模式驱动的开发,尤其是启动...
ESPE202011-FP-GEO-3285:ESPE202011-FP-GEO-3285-ELAM ALVAREZ
02-23
这可能是一个Java源代码文件,用于启动整个程序。文件名结构再次与标题呼应,进一步确认了这是一个特定项目的一部分。 基于以上信息,我们可以推测这是一个使用Java编程语言的项目,可能是一个软件应用程序或者系统...
基于神经网络的图像压缩运用matlab实现
05-04
ELAM(Error-Driven Learning and Adaptive Memory)神经网络则是一种自适应学习算法,它结合了错误驱动学习和记忆更新机制。在图像压缩中,ELAM网络可以动态地根据训练过程中出现的错误进行调整,优化网络结构,...
Driver Signature Enforcement Overrider 1.3b
05-06
完美解除Windows 7的驱动程序强制签名限制
Driver Signature Enforcement Overrider-桌面系统工具类资源
01-20
Driver Signature Enforcement Overrider Windows測試模式 (win7 64位可用) 無須重啟F8 可去除右下測試模式水印 Enable Test Mode Disable Test Mode Sign a System File ------------------------ Sometimes, the watermark still exists on the desktop after reboot, you need to manually rebuild the MUI cache by: Press key "R" in remov
解决64位windows的数字签名问题的软件:dseo13b.exe
05-07
对于嵌入式初学者,都会遇到的64位windows无法解决数字签名问题的神器
dseo13b.zip
09-02
软件名:Driver Signature Enforcement Overrider 使用方法:http://nick.txtcc.com/index.php/other/290
遗传算法优化ELMAN_神经网络_GAelman_优化_Elman_优化ELMAN
09-10
遗传算法(Genetic Algorithm, 简称GA)是一种基于生物进化原理的全局优化方法,由John Holland在20世纪60年代提出。它通过模拟自然选择和遗传过程,搜索解决方案空间,找到近似最优解。在本项目中,遗传算法被应用...
【转】完美解除Windows7的驱动程序强制签名限制
weixin_34236497的博客
12-13 2491
原文网址:http://nick.txtcc.com/index.php/nocategory/290 Windows 7很J,很多驱动程序都无法安装,因为Windows 7不像Vista,必须要求所有驱动程序通过验证后才能安装。 而很多第三方软件,比如RM CPU Clock是没有通过验证的,在Windows 7下就无法使用。 一直有种方法:开机后F8,然后选择“禁用驱动程序签名强制”来临...
Windows系统通用回调
whl0071的专栏
02-04 1746
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine ...
win7下不能使用dnw烧写的解决办法——韦东山嵌入式Linux学习笔记05
车子(chezi)
05-02 3987
本文实验环境: 1. windows 7(64bit) 2. JZ2440 对于Win7 64bit,没有供dnw调用的USB驱动,如何解决?
关于ALD介绍的参考文献
05-21
Elam, S. M. George, and S. A. Routkevitch, "Atomic layer deposition - moisture-assisted chemistry and the influence of surface hydroxyl groups," Journal of Physical Chemistry B, vol. 105, no. 37, pp....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值