NtLoadDriver
Lädt einen Kernel-Mode-Treiber aus einem registry-beschriebenen Service-Eintrag — der BYOVD-Einstieg.
Prototyp
NTSTATUS NtLoadDriver( PUNICODE_STRING DriverServiceName );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| DriverServiceName | PUNICODE_STRING | in | NT-Pfad zum Service-Key unter \Registry\Machine\System\CurrentControlSet\Services\<Name>. Aufrufer benötigt SeLoadDriverPrivilege. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0xF5 | win10-1507 |
| Win10 1607 | 0xF9 | win10-1607 |
| Win10 1703 | 0xFC | win10-1703 |
| Win10 1709 | 0xFD | win10-1709 |
| Win10 1803 | 0xFE | win10-1803 |
| Win10 1809 | 0xFF | win10-1809 |
| Win10 1903 | 0x100 | win10-1903 |
| Win10 1909 | 0x100 | win10-1909 |
| Win10 2004 | 0x105 | win10-2004 |
| Win10 20H2 | 0x105 | win10-20h2 |
| Win10 21H1 | 0x105 | win10-21h1 |
| Win10 21H2 | 0x106 | win10-21h2 |
| Win10 22H2 | 0x106 | win10-22h2 |
| Win11 21H2 | 0x10B | win11-21h2 |
| Win11 22H2 | 0x10C | win11-22h2 |
| Win11 23H2 | 0x10C | win11-23h2 |
| Win11 24H2 | 0x10E | win11-24h2 |
| Server 2016 | 0xF9 | winserver-2016 |
| Server 2019 | 0xFF | winserver-2019 |
| Server 2022 | 0x10A | winserver-2022 |
| Server 2025 | 0x10E | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 0E 01 00 00 mov eax, 0x10E F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Ein-Argument-Syscall, der den **NT-Registry-Pfad** auf den Service-Key des Treibers nimmt — *nicht* einen Dateisystempfad auf die .sys-Datei. Der Kernel liest `ImagePath`, `Type`, `Start`, `Group` und weitere Einträge aus diesem Key, lädt das Image mit `MmLoadSystemImage`, ruft `DriverEntry` auf und fügt den Treiber in die `PsLoadedModuleList` ein. Der Aufrufer benötigt `SeLoadDriverPrivilege` (standardmäßig Administrators, Print Operators) und das Privileg muss im Thread-Token **aktiviert** sein — das ist die einzige harte Voraussetzung. Die SSN driftet stark zwischen Builds (0xF5 → 0x10E), dynamische Auflösung ist Pflicht. So geladene Treiber sind *demand-start* (Type=3), was in PnP-Telemetrie anders erscheint als `Start=2`-Services (Auto), die der SCM beim Boot startet.
Häufige Malware-Nutzung
Der **BYOVD-Einstieg (Bring Your Own Vulnerable Driver)** — der Syscall, in dem jede Kernel-Level-Attacke auf einem modernen Windows-Host irgendwann mündet. Vollständige Kette: (1) den verwundbaren, aber Microsoft-signierten Treiber (RTCore64.sys, gdrv.sys, mhyprot2.sys, dbutil_2_3.sys, procexp152.sys, kprocesshacker.sys etc.) auf Platte droppen; (2) Service-Key unter `\Registry\Machine\System\CurrentControlSet\Services\<RandomName>` mit `ImagePath=\??\C:\path\drv.sys`, `Type=1`, `Start=3` anlegen (entweder direkt via NtSetValueKey oder über das lauterer `OpenSCManager`+`CreateServiceW`); (3) `SeLoadDriverPrivilege` via `NtAdjustPrivilegesToken` aktivieren; (4) NtLoadDriver mit dem Service-Key-Pfad aufrufen; (5) `\\.\<DeviceName>` öffnen und IOCTLs via `NtDeviceIoControlFile` senden. Derselbe Syscall wird auch für **Rootkit-Installation (T1014)** missbraucht — Necurs, FU, TDL3/4 und GrayFish der Equation Group luden ihre Kernel-Komponenten alle so. Legitime Service-Treiber-Persistenz (T1543.003) nutzt denselben Call, jedoch via SCM.
Erkennungsmöglichkeiten
**Höchste Treiber-Load-Telemetrie unter Windows** und der von EDRs am intensivsten beobachtete Syscall. Quellen: (a) **Microsoft-Windows-Kernel-PnP**-ETW (`{9C205A39-1250-487D-ABD7-E831C6290539}`) emittiert ein Load-Event mit Image-Pfad, Signaturdetails und ladendem Prozess; (b) **Sysmon Event ID 6 (DriverLoad)** — Image, Hash, Signiert/unsigniert, Signierer; (c) **Security Event 4673/4674** bei Nutzung von `SeLoadDriverPrivilege`; (d) **PsSetLoadImageNotifyRoutine** feuert für *jedes* Image-Load inkl. Treiber und füttert jeden modernen EDR. Microsofts Vulnerable Driver Blocklist (`HVCI` + Code-Integrity-Policy `SiPolicy.p7b`, seit Windows 11 22H2 und Server 2022 standardmäßig aktiv) blockt die öffentlich bekannten BYOVD-Familien per Hash vor dem Load; LOLDrivers.io pflegt die Community-Hash-Liste. Hochwertige Hunts: jeder NtLoadDriver-Aufruf durch einen Prozess, der < 60 s lebt; jeder Treiber, der außerhalb `%SystemRoot%\System32\drivers` geladen wird; jeder Treiber, dessen Signierer auf LOLDrivers steht; jeder Service-Key, der < 5 Minuten vor NtLoadDriver angelegt wurde. Microsoft Defenders ASR-Regel `Block abuse of exploited vulnerable signed drivers` (D1E49AAC-8F56-4280-B9BA-993A6D77406C) blockt den Katalog aktiv.
Direkte Syscall-Beispiele
cBYOVD load chain: privilege + service key + NtLoadDriver
// 1) Caller has already enabled SeLoadDriverPrivilege in its token.
// 2) Service registry entry has been written under HKLM\SYSTEM\CurrentControlSet\Services\Evil:
// ImagePath = \??\C:\Users\Public\rtcore64.sys
// Type = 1 (kernel driver)
// Start = 3 (demand)
// ErrorCtrl = 1
UNICODE_STRING svc;
RtlInitUnicodeString(&svc,
L"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\Evil");
NTSTATUS s = NtLoadDriver(&svc);
// On success the driver's DriverEntry has run and \\.\RTCore64 is now openable.asmDirect stub (SSN 0x10E, Win11 24H2)
; SSN heavily build-dependent. Always resolve dynamically for portable code.
NtLoadDriver PROC
mov r10, rcx
mov eax, 10Eh ; Win11 24H2
syscall
ret
NtLoadDriver ENDPrustEnd-to-end BYOVD helper (privilege+key+load)
// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["ntdef","ntsecapi"] }
use ntapi::ntpsapi::NtCurrentProcess;
use ntapi::ntrtl::RtlInitUnicodeString;
use winapi::shared::ntdef::{HANDLE, UNICODE_STRING};
extern "system" {
fn NtLoadDriver(name: *mut UNICODE_STRING) -> i32;
fn NtOpenProcessToken(p: HANDLE, da: u32, t: *mut HANDLE) -> i32;
fn NtAdjustPrivilegesToken(
t: HANDLE, dis: u8, n: *mut u8, len: u32,
prev: *mut u8, ret: *mut u32) -> i32;
}
pub unsafe fn byovd_load(service_key_nt_path: *const u16) -> i32 {
// 1) enable SeLoadDriverPrivilege in our own token (token plumbing omitted)
// 2) issue the load
let mut us: UNICODE_STRING = core::mem::zeroed();
RtlInitUnicodeString(&mut us, service_key_nt_path);
NtLoadDriver(&mut us)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20