> Windows Syscalls
ntoskrnl.exeT1068T1562.001T1014

NtDeviceIoControlFile

Sendet ein IOCTL an einen Kernel-Treiber — User-Mode-Einstieg für jeden BYOVD-Primitive-Missbrauch.

Prototyp

NTSTATUS NtDeviceIoControlFile(
  HANDLE           FileHandle,
  HANDLE           Event,
  PIO_APC_ROUTINE  ApcRoutine,
  PVOID            ApcContext,
  PIO_STATUS_BLOCK IoStatusBlock,
  ULONG            IoControlCode,
  PVOID            InputBuffer,
  ULONG            InputBufferLength,
  PVOID            OutputBuffer,
  ULONG            OutputBufferLength
);

Argumente

NameTypeDirDescription
FileHandleHANDLEinHandle auf das Geräteobjekt (z. B. geöffnet über \Device\RTCore64 oder \\.\Mimidrv).
EventHANDLEinOptionales Event, das bei asynchroner Fertigstellung gesetzt wird. NULL für synchron.
ApcRoutinePIO_APC_ROUTINEinOptionale User-Mode-APC-Routine bei Fertigstellung. Üblicherweise NULL.
ApcContextPVOIDinKontextwert für ApcRoutine. NULL, wenn keine APC verwendet wird.
IoStatusBlockPIO_STATUS_BLOCKoutErhält finalen NTSTATUS und Information = in OutputBuffer geschriebene Bytes.
IoControlCodeULONGinCTL_CODE-kodierter IOCTL-Bezeichner. Treiberspezifisch (z. B. 0x80002048 in RTCore64).
InputBufferPVOIDinEingabe-Puffer. Layout ist vollständig vom Zieltreiber bestimmt.
InputBufferLengthULONGinGröße von InputBuffer in Bytes.
OutputBufferPVOIDoutAusgabe-Puffer für vom Treiber zurückgegebene Daten. Darf NULL sein.
OutputBufferLengthULONGinGröße von OutputBuffer in Bytes. Null, wenn OutputBuffer NULL ist.

Syscall-IDs pro Windows-Version

Windows-VersionSyscall-IDBuild
Win10 15070x7win10-1507
Win10 16070x7win10-1607
Win10 17030x7win10-1703
Win10 17090x7win10-1709
Win10 18030x7win10-1803
Win10 18090x7win10-1809
Win10 19030x7win10-1903
Win10 19090x7win10-1909
Win10 20040x7win10-2004
Win10 20H20x7win10-20h2
Win10 21H10x7win10-21h1
Win10 21H20x7win10-21h2
Win10 22H20x7win10-22h2
Win11 21H20x7win11-21h2
Win11 22H20x7win11-22h2
Win11 23H20x7win11-23h2
Win11 24H20x7win11-24h2
Server 20160x7winserver-2016
Server 20190x7winserver-2019
Server 20220x7winserver-2022
Server 20250x7winserver-2025

Kernel-Modul

ntoskrnl.exeNtDeviceIoControlFile

Verwandte APIs

DeviceIoControlNtFsControlFileNtCreateFileNtLoadDriverStartServiceCreateServiceW

Syscall-Stub

4C 8B D1            mov r10, rcx
B8 07 00 00 00      mov eax, 0x7
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Undokumentierte Hinweise

Gleiche 9-Argument-I/O-Form wie NtReadFile/NtWriteFile/NtFsControlFile — nur die Bedeutung des mittleren Slots ändert sich (IOCTL-Code statt Byte-Offset). Im Kernel an `IopXxxControlFile` dispatched, das ein IRP mit Major-Code `IRP_MJ_DEVICE_CONTROL` baut und an die Dispatch-Tabelle des Geräts routet. Der IOCTL-Wert selbst kodiert Gerätetyp, Funktion, Transfermethode (METHOD_BUFFERED, METHOD_IN_DIRECT, METHOD_OUT_DIRECT, METHOD_NEITHER) und benötigten Zugriff — METHOD_NEITHER-Treiber vertrauen User-Pointern oft ohne Probing, genau die Bugklasse, die BYOVD ermöglicht.

Häufige Malware-Nutzung

Die Kernel-Treiber-Kommunikations-Primitive, die von **BYOVD (Bring Your Own Vulnerable Driver)** missbraucht wird. Das Muster ist invariant: einen verwundbaren, aber Microsoft-signierten Treiber droppen (RTCore64.sys / Micro-Star MSI Afterburner, gdrv.sys / Gigabyte, mhyprot2.sys / Genshin Impact, dbutil_2_3.sys / Dell, Procexp152.sys), `OpenSCManager`+`CreateService`+`StartService` (oder `NtLoadDriver`) aufrufen, `\\.\<DeviceName>` öffnen und IOCTLs senden, die arbiträres Kernel-R/W freilegen (z. B. RTCore64 0x80002048 = MmMapIoSpace-Primitive, dbutil_2_3 0x9B0C1EC8 = arbiträres physisches R/W). Mit dieser Primitive patcht Malware `_EPROCESS.Token` auf SYSTEM, leert EDR-Callback-Arrays (`PsSetCreateProcessNotifyRoutineEx`, `CmRegisterCallbackEx`, `ObRegisterCallbacks`) oder unhookt ntoskrnl. Wird auch als **AMSI/ETW-Kill-Switch-Signal** in HVNC und EDRSilencer-artigen Tools verwendet sowie als IOCTL-Route in Mimikatz' eingebettetes `mimidrv.sys` zur Token-Manipulation.

Erkennungs­möglichkeiten

Microsoft-Windows-Kernel-PnP- und Microsoft-Windows-Kernel-Audit-API-Calls-ETW-Provider protokollieren Treiber-Loads — kombiniere mit Sysmon Event ID 6 (Driver loaded), das Signatur, Signierer, Hash und Image-Pfad liefert. Microsofts Vulnerable Driver Blocklist (`HVCI`/Code-Integrity `SiPolicy.p7b`, seit Win11 22H2 standardmäßig aktiv) blockt veröffentlichte BYOVD-Familien per Hash — nur bei aktivierter Policy. EDR-Sensoren registrieren `PsSetLoadImageNotifyRoutine` für Treiber-Images und `IoRegisterFsRegistrationChange` für FS-Filter; beide feuern vor der Ausführung. IOCTL-seitig ist Kernel-ETW dünn; die hochwertigsten Signale sind (1) Image-Load eines bekanntermaßen bösen Treiber-Hashes, (2) Handle-Open auf einen Treiber-Device-Namen, den kein legitimes Produkt auf dem Host nutzt, (3) Prozess-Tokens, deren `Token`-Pointer plötzlich dem von lsass.exe gleicht (Token-Swap-Erkennung). LOLDrivers.io ist die kanonische Hash-Liste.

Direkte Syscall-Beispiele

cBYOVD: send arbitrary-R/W IOCTL to RTCore64

// Pattern: \\.\RTCore64 opened, send the IOCTL that maps physical memory.
#define RTCORE64_MEMORY_READ_IOCTL  0x80002048

typedef struct _RTCORE_PAYLOAD {
    UINT64 dst;
    UINT64 src;
    UINT32 read_size;
    // ... driver-specific layout
} RTCORE_PAYLOAD;

RTCORE_PAYLOAD p = {0};
p.src       = 0xFFFFF80000000000ULL;       // target kernel addr
p.read_size = sizeof(UINT64);

IO_STATUS_BLOCK iosb = {0};
UINT64 out = 0;
NTSTATUS s = NtDeviceIoControlFile(
    hRtcore, NULL, NULL, NULL, &iosb,
    RTCORE64_MEMORY_READ_IOCTL,
    &p,  sizeof(p),
    &out, sizeof(out));

asmDirect stub (SSN 0x7) — 10 args, stack heavy

; NtDeviceIoControlFile takes 10 args. Caller must reserve 32-byte home space
; PLUS room for args 5..10 on the stack before calling this stub.
NtDeviceIoControlFile PROC
    mov  r10, rcx
    mov  eax, 07h
    syscall
    ret
NtDeviceIoControlFile ENDP

rustOpen device + IOCTL helper

// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["ntdef"] }
use ntapi::ntioapi::{NtDeviceIoControlFile, IO_STATUS_BLOCK};
use winapi::shared::ntdef::HANDLE;

pub unsafe fn ioctl(
    h_dev: HANDLE,
    code: u32,
    inp: &[u8],
    out: &mut [u8],
) -> (i32, usize) {
    let mut iosb: IO_STATUS_BLOCK = core::mem::zeroed();
    let s = NtDeviceIoControlFile(
        h_dev, core::ptr::null_mut(),
        None, core::ptr::null_mut(),
        &mut iosb,
        code,
        inp.as_ptr() as *mut _, inp.len() as u32,
        out.as_mut_ptr() as *mut _, out.len() as u32,
    );
    (s, *iosb.u.Status_mut() as usize)
}

MITRE ATT&CK-Mappings

Last verified: 2026-05-20