安全模式启动

对手可能会滥用 Windows 安全模式来禁用端点防御。安全模式以有限的驱动程序和服务启动 Windows 操作系统。第三方安全软件（如端点检测和响应 (EDR) 工具）可能在安全模式下启动 Windows 后不会启动。安全模式有两个版本：安全模式和带网络的安全模式。可以在安全模式启动后启动其他服务。(引用: Microsoft Safe Mode)(引用: Sophos Snatch Ransomware 2019) 对手可能会滥用安全模式来禁用在有限启动时可能不会启动的端点防御。可以通过修改引导配置数据 (BCD) 存储来强制主机在下次重启后进入安全模式，这些存储是管理引导应用程序设置的文件。(引用: Microsoft bcdedit 2021) 对手还可能通过修改相关注册表值（即修改注册表）将其恶意应用程序添加到安全模式下启动的最小服务列表中。恶意组件对象模型 (COM) 对象也可能在安全模式下注册和加载。(引用: Sophos Snatch Ransomware 2019)(引用: CyberArk Labs Safe Mode 2016)(引用: Cybereason Nocturnus MedusaLocker 2020)(引用: BleepingComputer REvil 2021)