NtDebugActiveProcess
Hängt ein vorhandenes DebugObject an einen laufenden Prozess an — die Kernel-Seite von DebugActiveProcess.
Prototyp
NTSTATUS NtDebugActiveProcess( HANDLE ProcessHandle, HANDLE DebugObjectHandle );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| ProcessHandle | HANDLE | in | Handle auf den Zielprozess. Erfordert PROCESS_SUSPEND_RESUME | PROCESS_CREATE_THREAD | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE. |
| DebugObjectHandle | HANDLE | in | Handle auf ein zuvor mit NtCreateDebugObject erzeugtes DebugObject (benötigt DEBUG_PROCESS_ASSIGN). |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0xBF | win10-1507 |
| Win10 1607 | 0xC2 | win10-1607 |
| Win10 1703 | 0xC5 | win10-1703 |
| Win10 1709 | 0xC6 | win10-1709 |
| Win10 1803 | 0xC7 | win10-1803 |
| Win10 1809 | 0xC8 | win10-1809 |
| Win10 1903 | 0xC9 | win10-1903 |
| Win10 1909 | 0xC9 | win10-1909 |
| Win10 2004 | 0xCD | win10-2004 |
| Win10 20H2 | 0xCD | win10-20h2 |
| Win10 21H1 | 0xCD | win10-21h1 |
| Win10 21H2 | 0xCE | win10-21h2 |
| Win10 22H2 | 0xCE | win10-22h2 |
| Win11 21H2 | 0xD3 | win11-21h2 |
| Win11 22H2 | 0xD4 | win11-22h2 |
| Win11 23H2 | 0xD4 | win11-23h2 |
| Win11 24H2 | 0xD6 | win11-24h2 |
| Server 2016 | 0xC2 | winserver-2016 |
| Server 2019 | 0xC8 | winserver-2019 |
| Server 2022 | 0xD2 | winserver-2022 |
| Server 2025 | 0xD6 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 D6 00 00 00 mov eax, 0xD6 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Ruft intern DbgkpSetProcessDebugObject auf, das den EPROCESS durchläuft, prüft, dass DebugPort NULL ist, und den DebugObject-Pointer atomar speichert. Diese NULL-Prüfung ist die Quelle der Ein-Debugger-Beschränkung: Wird der Prozess bereits debuggt (DebugPort != NULL), liefert der Aufruf STATUS_PORT_ALREADY_SET (0xC0000048). Ein NULL-DebugObjectHandle (oder eines ohne DEBUG_PROCESS_ASSIGN) ergibt STATUS_INVALID_HANDLE / STATUS_ACCESS_DENIED. Nach dem Attach werden alle primären Aktionen im Ziel (Image-Load, Thread-Create/Exit, Exception, Breakpoint) über DbgkSendApiMessage in die Event-Queue des DebugObjects geleitet, damit der besitzende Debugger sie konsumiert.
Häufige Malware-Nutzung
In Kombination mit NtCreateDebugObject ergibt sich der klassische Self-Debug-Anti-Attach: Der Loader hängt seine eigene PID an ein eigenes DebugObject und belegt damit den einzigen erlaubten Debug-Port. Selten die Umkehrung: Malware hängt einen vom EDR oder Analysten gestarteten Debugger an ein Fake-DebugObject (benötigt PROCESS_ALL_ACCESS auf das EDR — nur in PoCs). Manche Loader hängen außerdem ein frisch gespawntes, suspendiertes Kind an ein DebugObject, um Exceptions des Unpacker-Stubs im Kind abzufangen — ein Userland-Debugger, der das eigene Schutzschema steuert.
Erkennungsmöglichkeiten
Der ETW-Provider Microsoft-Windows-Threat-Intelligence emittiert beim Debug-Attach ein Event — EtwTiLogDebugActiveProcess. Defender for Endpoint, Elastic Endpoint Security und CrowdStrike Falcon abonnieren es. Hochwertigster Pivot: `parent_pid == child_pid` (Self-Debug) oder `actor_image` außerhalb einer kleinen Whitelist legitimer Debugger. Sysmon protokolliert das nicht direkt, aber Sysmon-ProcessAccess-Event 10 mit GrantedAccess inkl. PROCESS_SUSPEND_RESUME|PROCESS_CREATE_THREAD von einem Nicht-Debugger-Image ist ein brauchbares Proxy, wenn ETW fehlt.
Direkte Syscall-Beispiele
cAnti-attach via self-debug
// Plug-in to InstallSelfDebug() — see NtCreateDebugObject example.
// External DebugActiveProcess() against us now returns 0xC0000048.
typedef NTSTATUS(NTAPI* fnNtDebugActiveProcess)(HANDLE, HANDLE);
BOOL OccupyDebugPort(HANDLE hDebugObject) {
HMODULE n = GetModuleHandleA("ntdll.dll");
fnNtDebugActiveProcess pAttach = (fnNtDebugActiveProcess)
GetProcAddress(n, "NtDebugActiveProcess");
NTSTATUS s = pAttach((HANDLE)-1 /* current process */, hDebugObject);
return s == 0; // anything else (incl. 0xC0000048) means a debugger beat us to it
}asmx64 direct stub (Win11 24H2 SSN)
; SSN 0xD6 on win11-24h2 / winserver-2025.
NtDebugActiveProcess PROC
mov r10, rcx
mov eax, 0D6h
syscall
ret
NtDebugActiveProcess ENDPrustDetect a pre-existing attached debugger
// If NtDebugActiveProcess returns STATUS_PORT_ALREADY_SET (0xC0000048),
// something is already debugging us — anti-debug check.
use std::ffi::c_void;
use windows_sys::Win32::System::LibraryLoader::{GetModuleHandleA, GetProcAddress};
type NtDebugActiveProcess = unsafe extern "system" fn(p: isize, d: isize) -> i32;
pub unsafe fn already_debugged(self_handle: isize, dbg: isize) -> bool {
let n = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
let addr = GetProcAddress(n, b"NtDebugActiveProcess\0".as_ptr()).unwrap();
let f: NtDebugActiveProcess = std::mem::transmute(addr);
f(self_handle, dbg) as u32 == 0xC000_0048
}
fn _unused(_: *mut c_void) {}MITRE ATT&CK-Mappings
Last verified: 2026-05-20