起動時マルウェア対策の概要
このセクションでは、Windows オペレーティング システム用の早期起動マルウェア対策 (ELAM) ドライバーの開発について説明します。 これは、マルウェア対策開発者が、他のブート開始ドライバーの前に初期化され、後続のドライバーにマルウェアが含まれないことを確保できるドライバーを開発するためのガイドラインを提供します。 読者がカーネル モード ドライバー (特に、ブートスタート ドライバー) の開発に精通していることを前提としています。
このドキュメントに記載された情報の対象となるオペレーティング システムは次のとおりです。
- Windows 11
- Windows 10
- Windows 8.1
- Windows 8
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
次のトピックでは、早期起動マルウェア対策 (ELAM) ドライバーのインターフェイス要件について説明します。 これらは、ELAM ドライバー インターフェイスに関する情報を提供することを目的としています。 ELAM 機能は、Microsoft がサポートする、他のサードパーティ コンポーネントの前にマルウェア対策 (AM) ソフトウェアを起動するためのメカニズムを提供します。 AM ドライバーは最初に初期化され、後続のブート ドライバーの初期化を制御でき、不明なブート ドライバーを初期化しない場合があります。 ブート プロセスでブート ドライバーが初期化され、永続ストレージへのアクセスが効率的な方法で可能になると、既存の AM ソフトウェアがマルウェアの実行をブロックし続けることができます。
Note
ELAM サービスは PPL (Protected Process Light) で実行されるため、カーネル デバッガーを使用してデバッグする必要があります。