> Windows Syscalls
ntoskrnl.exeT1622T1106

NtDebugActiveProcess

Hängt ein vorhandenes DebugObject an einen laufenden Prozess an — die Kernel-Seite von DebugActiveProcess.

Prototyp

NTSTATUS NtDebugActiveProcess(
  HANDLE ProcessHandle,
  HANDLE DebugObjectHandle
);

Argumente

NameTypeDirDescription
ProcessHandleHANDLEinHandle auf den Zielprozess. Erfordert PROCESS_SUSPEND_RESUME | PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE.
DebugObjectHandleHANDLEinHandle auf ein zuvor mit NtCreateDebugObject erzeugtes DebugObject (benötigt DEBUG_PROCESS_ASSIGN).

Syscall-IDs pro Windows-Version

Windows-VersionSyscall-IDBuild
Win10 15070xBFwin10-1507
Win10 16070xC2win10-1607
Win10 17030xC5win10-1703
Win10 17090xC6win10-1709
Win10 18030xC7win10-1803
Win10 18090xC8win10-1809
Win10 19030xC9win10-1903
Win10 19090xC9win10-1909
Win10 20040xCDwin10-2004
Win10 20H20xCDwin10-20h2
Win10 21H10xCDwin10-21h1
Win10 21H20xCEwin10-21h2
Win10 22H20xCEwin10-22h2
Win11 21H20xD3win11-21h2
Win11 22H20xD4win11-22h2
Win11 23H20xD4win11-23h2
Win11 24H20xD6win11-24h2
Server 20160xC2winserver-2016
Server 20190xC8winserver-2019
Server 20220xD2winserver-2022
Server 20250xD6winserver-2025

Kernel-Modul

ntoskrnl.exeNtDebugActiveProcess

Verwandte APIs

DebugActiveProcessDebugActiveProcessStopNtCreateDebugObjectNtRemoveProcessDebugNtWaitForDebugEventNtDebugContinueCheckRemoteDebuggerPresent

Syscall-Stub

4C 8B D1            mov r10, rcx
B8 D6 00 00 00      mov eax, 0xD6
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Undokumentierte Hinweise

Ruft intern DbgkpSetProcessDebugObject auf, das den EPROCESS durchläuft, prüft, dass DebugPort NULL ist, und den DebugObject-Pointer atomar speichert. Diese NULL-Prüfung ist die Quelle der Ein-Debugger-Beschränkung: Wird der Prozess bereits debuggt (DebugPort != NULL), liefert der Aufruf STATUS_PORT_ALREADY_SET (0xC0000048). Ein NULL-DebugObjectHandle (oder eines ohne DEBUG_PROCESS_ASSIGN) ergibt STATUS_INVALID_HANDLE / STATUS_ACCESS_DENIED. Nach dem Attach werden alle primären Aktionen im Ziel (Image-Load, Thread-Create/Exit, Exception, Breakpoint) über DbgkSendApiMessage in die Event-Queue des DebugObjects geleitet, damit der besitzende Debugger sie konsumiert.

Häufige Malware-Nutzung

In Kombination mit NtCreateDebugObject ergibt sich der klassische Self-Debug-Anti-Attach: Der Loader hängt seine eigene PID an ein eigenes DebugObject und belegt damit den einzigen erlaubten Debug-Port. Selten die Umkehrung: Malware hängt einen vom EDR oder Analysten gestarteten Debugger an ein Fake-DebugObject (benötigt PROCESS_ALL_ACCESS auf das EDR — nur in PoCs). Manche Loader hängen außerdem ein frisch gespawntes, suspendiertes Kind an ein DebugObject, um Exceptions des Unpacker-Stubs im Kind abzufangen — ein Userland-Debugger, der das eigene Schutzschema steuert.

Erkennungs­möglichkeiten

Der ETW-Provider Microsoft-Windows-Threat-Intelligence emittiert beim Debug-Attach ein Event — EtwTiLogDebugActiveProcess. Defender for Endpoint, Elastic Endpoint Security und CrowdStrike Falcon abonnieren es. Hochwertigster Pivot: `parent_pid == child_pid` (Self-Debug) oder `actor_image` außerhalb einer kleinen Whitelist legitimer Debugger. Sysmon protokolliert das nicht direkt, aber Sysmon-ProcessAccess-Event 10 mit GrantedAccess inkl. PROCESS_SUSPEND_RESUME|PROCESS_CREATE_THREAD von einem Nicht-Debugger-Image ist ein brauchbares Proxy, wenn ETW fehlt.

Direkte Syscall-Beispiele

cAnti-attach via self-debug

// Plug-in to InstallSelfDebug() — see NtCreateDebugObject example.
// External DebugActiveProcess() against us now returns 0xC0000048.
typedef NTSTATUS(NTAPI* fnNtDebugActiveProcess)(HANDLE, HANDLE);

BOOL OccupyDebugPort(HANDLE hDebugObject) {
    HMODULE n = GetModuleHandleA("ntdll.dll");
    fnNtDebugActiveProcess pAttach = (fnNtDebugActiveProcess)
        GetProcAddress(n, "NtDebugActiveProcess");
    NTSTATUS s = pAttach((HANDLE)-1 /* current process */, hDebugObject);
    return s == 0; // anything else (incl. 0xC0000048) means a debugger beat us to it
}

asmx64 direct stub (Win11 24H2 SSN)

; SSN 0xD6 on win11-24h2 / winserver-2025.
NtDebugActiveProcess PROC
    mov  r10, rcx
    mov  eax, 0D6h
    syscall
    ret
NtDebugActiveProcess ENDP

rustDetect a pre-existing attached debugger

// If NtDebugActiveProcess returns STATUS_PORT_ALREADY_SET (0xC0000048),
// something is already debugging us — anti-debug check.
use std::ffi::c_void;
use windows_sys::Win32::System::LibraryLoader::{GetModuleHandleA, GetProcAddress};

type NtDebugActiveProcess = unsafe extern "system" fn(p: isize, d: isize) -> i32;

pub unsafe fn already_debugged(self_handle: isize, dbg: isize) -> bool {
    let n = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
    let addr = GetProcAddress(n, b"NtDebugActiveProcess\0".as_ptr()).unwrap();
    let f: NtDebugActiveProcess = std::mem::transmute(addr);
    f(self_handle, dbg) as u32 == 0xC000_0048
}

fn _unused(_: *mut c_void) {}

MITRE ATT&CK-Mappings

Last verified: 2026-05-20