So (un-)sicher ist Windows 8

ELAM: Der Virenscan beim Startvorgang

Beim ELAM-Treiber (Early Launch Anti Malware) handelt es sich um einen Virenscanner, der nach Rootkits sucht. Das Besondere an ihm: Es ist der erste Treiber, der nach dem Windows-Kernel geladen wird. So kann er alle weiteren Treiber überprüfen. Idealerweise wird der ELAN-Teiber auch über das UEFI und den TPM-Chip überwacht. Doch funktioniert der ELAM-Treiber auch auf PCs mit einem BIOS-Modul. Standardmäßig liefert Microsoft einen ELAM-Treiber mit. Dieser kann von zertifizierten Antiviren-Herstellern ausgetauscht werden. Wer sich also einen Virenscanner von Norton, Kaspersky, G-Data & Co. installiert, der lädt künftig einen ELAM-Treiber dieser Hersteller.

Der ELAM-Treiber kann eigentlich nicht viel. Er besitzt eine Liste mit Hash-Werten von bekannten Rootkits oder Bootkits und vergleicht sie mit den Hash-Werten der zu ladenden Treiber. Stimmen die Werte in einem Fall überein, blockiert er den Start dieses Treiber.

Bewertung: Der ELAM-Treiber ist ein Schritt in die richtige Richtung. Doch kann er neue, also dem Antivirenhersteller bisher unbekannte Viren nicht entdecken. Seine rein Signatur- bzw. Hash-Werte-basierte Arbeitsweise macht das unmöglich. Zudem ist die Größe seiner Hash-Wert-Datenbank mit 128 KB eng bemessen. Auch das Zeitlimit von 50 ms bis zu einer Entscheidung könnte ein Schlupfloch für Rootkits sein. Kurz: ELAM kann bekannte Rootkits stoppen, könnte aber noch verbessert werden.