NtDeviceIoControlFile
Sendet ein IOCTL an einen Kernel-Treiber — User-Mode-Einstieg für jeden BYOVD-Primitive-Missbrauch.
Prototyp
NTSTATUS NtDeviceIoControlFile( HANDLE FileHandle, HANDLE Event, PIO_APC_ROUTINE ApcRoutine, PVOID ApcContext, PIO_STATUS_BLOCK IoStatusBlock, ULONG IoControlCode, PVOID InputBuffer, ULONG InputBufferLength, PVOID OutputBuffer, ULONG OutputBufferLength );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| FileHandle | HANDLE | in | Handle auf das Geräteobjekt (z. B. geöffnet über \Device\RTCore64 oder \\.\Mimidrv). |
| Event | HANDLE | in | Optionales Event, das bei asynchroner Fertigstellung gesetzt wird. NULL für synchron. |
| ApcRoutine | PIO_APC_ROUTINE | in | Optionale User-Mode-APC-Routine bei Fertigstellung. Üblicherweise NULL. |
| ApcContext | PVOID | in | Kontextwert für ApcRoutine. NULL, wenn keine APC verwendet wird. |
| IoStatusBlock | PIO_STATUS_BLOCK | out | Erhält finalen NTSTATUS und Information = in OutputBuffer geschriebene Bytes. |
| IoControlCode | ULONG | in | CTL_CODE-kodierter IOCTL-Bezeichner. Treiberspezifisch (z. B. 0x80002048 in RTCore64). |
| InputBuffer | PVOID | in | Eingabe-Puffer. Layout ist vollständig vom Zieltreiber bestimmt. |
| InputBufferLength | ULONG | in | Größe von InputBuffer in Bytes. |
| OutputBuffer | PVOID | out | Ausgabe-Puffer für vom Treiber zurückgegebene Daten. Darf NULL sein. |
| OutputBufferLength | ULONG | in | Größe von OutputBuffer in Bytes. Null, wenn OutputBuffer NULL ist. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x7 | win10-1507 |
| Win10 1607 | 0x7 | win10-1607 |
| Win10 1703 | 0x7 | win10-1703 |
| Win10 1709 | 0x7 | win10-1709 |
| Win10 1803 | 0x7 | win10-1803 |
| Win10 1809 | 0x7 | win10-1809 |
| Win10 1903 | 0x7 | win10-1903 |
| Win10 1909 | 0x7 | win10-1909 |
| Win10 2004 | 0x7 | win10-2004 |
| Win10 20H2 | 0x7 | win10-20h2 |
| Win10 21H1 | 0x7 | win10-21h1 |
| Win10 21H2 | 0x7 | win10-21h2 |
| Win10 22H2 | 0x7 | win10-22h2 |
| Win11 21H2 | 0x7 | win11-21h2 |
| Win11 22H2 | 0x7 | win11-22h2 |
| Win11 23H2 | 0x7 | win11-23h2 |
| Win11 24H2 | 0x7 | win11-24h2 |
| Server 2016 | 0x7 | winserver-2016 |
| Server 2019 | 0x7 | winserver-2019 |
| Server 2022 | 0x7 | winserver-2022 |
| Server 2025 | 0x7 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 07 00 00 00 mov eax, 0x7 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Gleiche 9-Argument-I/O-Form wie NtReadFile/NtWriteFile/NtFsControlFile — nur die Bedeutung des mittleren Slots ändert sich (IOCTL-Code statt Byte-Offset). Im Kernel an `IopXxxControlFile` dispatched, das ein IRP mit Major-Code `IRP_MJ_DEVICE_CONTROL` baut und an die Dispatch-Tabelle des Geräts routet. Der IOCTL-Wert selbst kodiert Gerätetyp, Funktion, Transfermethode (METHOD_BUFFERED, METHOD_IN_DIRECT, METHOD_OUT_DIRECT, METHOD_NEITHER) und benötigten Zugriff — METHOD_NEITHER-Treiber vertrauen User-Pointern oft ohne Probing, genau die Bugklasse, die BYOVD ermöglicht.
Häufige Malware-Nutzung
Die Kernel-Treiber-Kommunikations-Primitive, die von **BYOVD (Bring Your Own Vulnerable Driver)** missbraucht wird. Das Muster ist invariant: einen verwundbaren, aber Microsoft-signierten Treiber droppen (RTCore64.sys / Micro-Star MSI Afterburner, gdrv.sys / Gigabyte, mhyprot2.sys / Genshin Impact, dbutil_2_3.sys / Dell, Procexp152.sys), `OpenSCManager`+`CreateService`+`StartService` (oder `NtLoadDriver`) aufrufen, `\\.\<DeviceName>` öffnen und IOCTLs senden, die arbiträres Kernel-R/W freilegen (z. B. RTCore64 0x80002048 = MmMapIoSpace-Primitive, dbutil_2_3 0x9B0C1EC8 = arbiträres physisches R/W). Mit dieser Primitive patcht Malware `_EPROCESS.Token` auf SYSTEM, leert EDR-Callback-Arrays (`PsSetCreateProcessNotifyRoutineEx`, `CmRegisterCallbackEx`, `ObRegisterCallbacks`) oder unhookt ntoskrnl. Wird auch als **AMSI/ETW-Kill-Switch-Signal** in HVNC und EDRSilencer-artigen Tools verwendet sowie als IOCTL-Route in Mimikatz' eingebettetes `mimidrv.sys` zur Token-Manipulation.
Erkennungsmöglichkeiten
Microsoft-Windows-Kernel-PnP- und Microsoft-Windows-Kernel-Audit-API-Calls-ETW-Provider protokollieren Treiber-Loads — kombiniere mit Sysmon Event ID 6 (Driver loaded), das Signatur, Signierer, Hash und Image-Pfad liefert. Microsofts Vulnerable Driver Blocklist (`HVCI`/Code-Integrity `SiPolicy.p7b`, seit Win11 22H2 standardmäßig aktiv) blockt veröffentlichte BYOVD-Familien per Hash — nur bei aktivierter Policy. EDR-Sensoren registrieren `PsSetLoadImageNotifyRoutine` für Treiber-Images und `IoRegisterFsRegistrationChange` für FS-Filter; beide feuern vor der Ausführung. IOCTL-seitig ist Kernel-ETW dünn; die hochwertigsten Signale sind (1) Image-Load eines bekanntermaßen bösen Treiber-Hashes, (2) Handle-Open auf einen Treiber-Device-Namen, den kein legitimes Produkt auf dem Host nutzt, (3) Prozess-Tokens, deren `Token`-Pointer plötzlich dem von lsass.exe gleicht (Token-Swap-Erkennung). LOLDrivers.io ist die kanonische Hash-Liste.
Direkte Syscall-Beispiele
cBYOVD: send arbitrary-R/W IOCTL to RTCore64
// Pattern: \\.\RTCore64 opened, send the IOCTL that maps physical memory.
#define RTCORE64_MEMORY_READ_IOCTL 0x80002048
typedef struct _RTCORE_PAYLOAD {
UINT64 dst;
UINT64 src;
UINT32 read_size;
// ... driver-specific layout
} RTCORE_PAYLOAD;
RTCORE_PAYLOAD p = {0};
p.src = 0xFFFFF80000000000ULL; // target kernel addr
p.read_size = sizeof(UINT64);
IO_STATUS_BLOCK iosb = {0};
UINT64 out = 0;
NTSTATUS s = NtDeviceIoControlFile(
hRtcore, NULL, NULL, NULL, &iosb,
RTCORE64_MEMORY_READ_IOCTL,
&p, sizeof(p),
&out, sizeof(out));asmDirect stub (SSN 0x7) — 10 args, stack heavy
; NtDeviceIoControlFile takes 10 args. Caller must reserve 32-byte home space
; PLUS room for args 5..10 on the stack before calling this stub.
NtDeviceIoControlFile PROC
mov r10, rcx
mov eax, 07h
syscall
ret
NtDeviceIoControlFile ENDPrustOpen device + IOCTL helper
// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["ntdef"] }
use ntapi::ntioapi::{NtDeviceIoControlFile, IO_STATUS_BLOCK};
use winapi::shared::ntdef::HANDLE;
pub unsafe fn ioctl(
h_dev: HANDLE,
code: u32,
inp: &[u8],
out: &mut [u8],
) -> (i32, usize) {
let mut iosb: IO_STATUS_BLOCK = core::mem::zeroed();
let s = NtDeviceIoControlFile(
h_dev, core::ptr::null_mut(),
None, core::ptr::null_mut(),
&mut iosb,
code,
inp.as_ptr() as *mut _, inp.len() as u32,
out.as_mut_ptr() as *mut _, out.len() as u32,
);
(s, *iosb.u.Status_mut() as usize)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20