NtDeleteFile
Löscht eine Datei per Pfad ohne vorheriges Handle-Öffnen — eine seltene Anti-Forensik-Primitive.
Prototyp
NTSTATUS NtDeleteFile( POBJECT_ATTRIBUTES ObjectAttributes );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| ObjectAttributes | POBJECT_ATTRIBUTES | in | NT-Namespace-Pfad der zu löschenden Datei, z. B. \??\C:\ProgramData\loader.bin. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0xC4 | win10-1507 |
| Win10 1607 | 0xC7 | win10-1607 |
| Win10 1703 | 0xCA | win10-1703 |
| Win10 1709 | 0xCB | win10-1709 |
| Win10 1803 | 0xCC | win10-1803 |
| Win10 1809 | 0xCD | win10-1809 |
| Win10 1903 | 0xCE | win10-1903 |
| Win10 1909 | 0xCE | win10-1909 |
| Win10 2004 | 0xD2 | win10-2004 |
| Win10 20H2 | 0xD2 | win10-20h2 |
| Win10 21H1 | 0xD2 | win10-21h1 |
| Win10 21H2 | 0xD3 | win10-21h2 |
| Win10 22H2 | 0xD3 | win10-22h2 |
| Win11 21H2 | 0xD8 | win11-21h2 |
| Win11 22H2 | 0xD9 | win11-22h2 |
| Win11 23H2 | 0xD9 | win11-23h2 |
| Win11 24H2 | 0xDB | win11-24h2 |
| Server 2016 | 0xC7 | winserver-2016 |
| Server 2019 | 0xCD | winserver-2019 |
| Server 2022 | 0xD7 | winserver-2022 |
| Server 2025 | 0xDB | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 DB 00 00 00 mov eax, 0xDB F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NtDeleteFile ist die seltene pfadbasierte Lösch-Primitive: Statt eine Datei mit `DELETE`-Zugriff zu öffnen und dann `NtSetInformationFile` mit `FileDispositionInformation` zu setzen, erledigt sie beides atomar aus einem einzigen Pfad-Argument. Kein Win32-Wrapper nutzt sie direkt — `DeleteFileW` läuft stets über `NtOpenFile` + `FileDispositionInformation`, und `SHFileOperation` (im Shell-Kontext) fügt weitere Schichten inkl. Papierkorb-Handling ein. Ein Aufruf von NtDeleteFile ist daher *für sich genommen eine Signatur*: legitime Software nutzt sie kaum je.
Häufige Malware-Nutzung
NtDeleteFile wird in **Indicator-Removal**-Ketten bevorzugt, weil sie sowohl `kernel32!DeleteFileW` (häufig von User-Mode-EDRs gehookt) als auch die Papierkorb-Umleitung der Shell überspringt. Ransomware-Familien, die eigene Dropper und Staging-Logs wischen (LockBit 3.0, Conti, BlackCat/ALPHV), und Loader, die sich nach Übergabe an eine persistierte Kopie selbst löschen, wählen diese Primitive gelegentlich gezielt wegen der Bypass-Eigenschaft. Hinweis: `NtDeleteFile` schlägt noch immer fehl bei Dateien mit offenen Handles anderer Prozesse, sofern diese nicht mit `FILE_SHARE_DELETE` geöffnet wurden — dafür ist die `Posix-Delete`-Variante von `FileDispositionInformationEx` vorzuziehen.
Erkennungsmöglichkeiten
Da legitime Nutzung extrem selten ist, ist *jeder* Aufruf von NtDeleteFile hochaussagekräftig. Kernel-Mini-Filter sehen Löschungen über `IRP_MJ_SET_INFORMATION` mit `FileDispositionInformation`, unabhängig davon, ob der ursprüngliche Syscall NtDeleteFile oder NtSetInformationFile war — die IRP-Ebene normalisiert. ETW `Microsoft-Windows-Kernel-File` liefert ein Delete-Event, das am FILE_OBJECT hängt. Sysmon Event 23 (FileDelete mit Archivierung) und Event 26 (FileDeleteDetected, ohne Archiv) sind die primären Host-Indikatoren; das Archiv-Capture ist essenziell, weil der Datei-Inhalt unmittelbar danach weg ist.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtDeleteFile (SSN 0xDB on Win11 24H2 — drifts per build)
NtDeleteFile PROC
mov r10, rcx ; ObjectAttributes
mov eax, 0DBh ; SSN
syscall
ret
NtDeleteFile ENDPcSelf-delete after handoff
// Loader self-deletes its on-disk copy after persisting a clone elsewhere.
// Skips kernel32!DeleteFileW and shell Recycle Bin path.
#include <windows.h>
#include <winternl.h>
typedef NTSTATUS (NTAPI *pNtDeleteFile)(POBJECT_ATTRIBUTES);
NTSTATUS Vanish(LPCWSTR ntpath) {
UNICODE_STRING us; RtlInitUnicodeString(&us, ntpath);
OBJECT_ATTRIBUTES oa;
InitializeObjectAttributes(&oa, &us, OBJ_CASE_INSENSITIVE, NULL, NULL);
pNtDeleteFile fn = (pNtDeleteFile)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtDeleteFile");
return fn(&oa);
}
// Caller: Vanish(L"\\??\\C:\\ProgramData\\loader.bin");rustFFI declaration
// Cargo: windows-sys = { version = "0.59", features = [
// "Wdk_Foundation", "Wdk_Storage_FileSystem",
// ] }
use windows_sys::Wdk::Storage::FileSystem::NtDeleteFile;
use windows_sys::Wdk::Foundation::OBJECT_ATTRIBUTES;
unsafe fn vanish(oa: *mut OBJECT_ATTRIBUTES) -> i32 {
NtDeleteFile(oa)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20