Early Launch Anti-Malware

Bei der Sicherheitstechnik Early Launch Anti-Malware – kurz ELAM-Treiber – handelt es sich um einen Virenscanner, der nach Rootkits sucht. Der ELAM-Treiber ist Bestandteil von Windows 8 und wird unmittelbar nach dem Windows-Kernel gestartet. So kann er alle weiteren Treiber überprüfen, die Windows 8 beim Start lädt. Der ELAM-Treiber wird normalerweise beim Start vom UEFI-BIOS und – falls vorhanden – vom TPM-Chip überprüft, ob er eventuell selbst korrumpiert wurde.

Der ELAM-Treiber ist Teil des in Windows 8 integrierten Virenscanners Defender. Wenn Sie eine andere Antivirensoftware installieren – etwa von Kaspersky oder Avast – wird der integrierte ELAMTreiber durch den der neuen Antivirensoftware ausgetauscht. Einzige Bedingung: Der Hersteller des Antivirenprogramms muss von Microsoft zertifiziert sein.

Die Funktionsweise des ELAM-Treibers ist recht eingeschränkt. So prüft er die geladenen Softwarekomponenten und Hardware-Treiber nur anhand von hinterlegten Prüfsummen und spürt so Bootkits oder Rootkits auf. Stimmen die gespeicherten Prüfsummen mit den aktuell ermittelten nicht überein, wird der zu ladende Treiber blockiert. Die einzige Stelle, an der Sie den ELAMTreiber in Windows sehen können, ist der Gruppenrichtlinien-Editor. Unter „Computerkonfiguration, Administrative Vorlagen, System, Antischadsoftware-Frühstart“ nennt ihn Microsoft dort „Bootstarttreiber“.