NtOpenSymbolicLinkObject
Öffnet einen bestehenden Object-Manager-Symlink über seinen Namen und liefert ein Handle für spätere Abfrage oder Löschung.
Prototyp
NTSTATUS NtOpenSymbolicLinkObject( PHANDLE LinkHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| LinkHandle | PHANDLE | out | Empfängt das Handle auf das geöffnete Symlink-Objekt. |
| DesiredAccess | ACCESS_MASK | in | SYMBOLIC_LINK_QUERY (0x1) zum Lesen des Ziels, DELETE zum Entfernen, SYMBOLIC_LINK_ALL_ACCESS für beides. |
| ObjectAttributes | POBJECT_ATTRIBUTES | in | Name und optionales RootDirectory zur Identifikation des Links (z. B. L"\\??\\C:"). |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x118 | win10-1507 |
| Win10 1607 | 0x11E | win10-1607 |
| Win10 1703 | 0x122 | win10-1703 |
| Win10 1709 | 0x124 | win10-1709 |
| Win10 1803 | 0x126 | win10-1803 |
| Win10 1809 | 0x127 | win10-1809 |
| Win10 1903 | 0x128 | win10-1903 |
| Win10 1909 | 0x128 | win10-1909 |
| Win10 2004 | 0x12D | win10-2004 |
| Win10 20H2 | 0x12D | win10-20h2 |
| Win10 21H1 | 0x12D | win10-21h1 |
| Win10 21H2 | 0x12E | win10-21h2 |
| Win10 22H2 | 0x12E | win10-22h2 |
| Win11 21H2 | 0x134 | win11-21h2 |
| Win11 22H2 | 0x136 | win11-22h2 |
| Win11 23H2 | 0x136 | win11-23h2 |
| Win11 24H2 | 0x138 | win11-24h2 |
| Server 2016 | 0x11E | winserver-2016 |
| Server 2019 | 0x127 | winserver-2019 |
| Server 2022 | 0x133 | winserver-2022 |
| Server 2025 | 0x138 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 38 01 00 00 mov eax, 0x138 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
SSN driftet stark (`0x118` → `0x138`); zur Laufzeit auflösen, wenn mehrere Builds unterstützt werden. Öffnen mit `SYMBOLIC_LINK_QUERY` erlaubt das Lesen des Zielstrings via `NtQuerySymbolicLinkObject`; öffnen mit `DELETE` und anschließendes NtClose (oder `NtMakeTemporaryObject`) entfernt den Link aus dem Namensraum, selbst wenn er mit OBJ_PERMANENT erzeugt wurde. Object-Manager-Symlinks werden **lazy bei der Namensauflösung** ausgewertet, d. h. das Öffnen via NtOpenSymbolicLinkObject *dereferenziert das Ziel nicht selbst* — das geschieht erst, wenn ein Name-Lookup hindurchgeht.
Häufige Malware-Nutzung
Drei offensive Muster. **Pfadauflösungs-Reconnaissance**: `\\??\\C:`, `\\??\\GLOBALROOT`, `\\??\\PhysicalDrive0` öffnen, um die zugrundeliegenden `\\Device\\...`-Ziele abzufragen — nützlich, um zu sehen, welches Volume das System trägt, wo Shadow Copies liegen und welche DOS-Buchstaben real bzw. gemappte Netzlaufwerke sind (Sandbox-Escape-Recon). **Symlink-Eviction**: einen unerwünschten Link (Rendezvous-Marker eines Geschwister-Implants, Anti-Tamper-Symlink eines Sicherheitsprodukts) mit `DELETE` öffnen und Handle schließen, um ihn zu entfernen. **Hot-Reload während Exploit**: klassisches Sandbox-Escape-Race-Muster — Symlink mit `OBJ_PERMANENT` anlegen, nutzen, dann mit DELETE+Close wieder öffnen, um Spuren zu verwischen, bevor ein defensiver Scanner den Namensraum enumeriert.
Erkennungsmöglichkeiten
Geringeres Volumen als NtCreateSymbolicLinkObject und in legitimer Software primär als Pfadauflösungs-Maschinerie in RtlGetFullPathName_U_Ex & Co. zu sehen. Hunt-würdiges Signal: **Open-by-Name nicht-standard-Links mit DELETE-Zugriff aus einem User-Mode-Prozess** — kaum ein legitimer Workflow öffnet ein Symlink-Objekt zum Löschen. Kernelseitiges ObRegisterCallbacks auf `IoSymbolicLinkObjectType` ist der maßgebliche Pivot. ETW Microsoft-Windows-Kernel-Audit-API-Calls macht es ebenfalls sichtbar. Mit einem vorhergehenden NtCreateSymbolicLinkObject desselben Prozesses korrelieren — Open-dann-Delete-dann-Recreate ist die Symlink-Swap-Race aus Sandbox-Escapes.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtOpenSymbolicLinkObject (SSN 0x138, Win11 24H2)
NtOpenSymbolicLinkObject PROC
mov r10, rcx ; syscall convention
mov eax, 138h ; SSN (BUILD-SPECIFIC, resolve dynamically)
syscall
ret
NtOpenSymbolicLinkObject ENDPcResolve DOS drive letter to underlying device
// Open \??\C: and dump its target string — typically \Device\HarddiskVolume3.
// Useful sandbox-escape recon and for distinguishing real volumes from
// mapped network drives whose target is \Device\Mup\...
#include <windows.h>
#include <winternl.h>
#define SYMBOLIC_LINK_QUERY 0x0001
#define OBJ_CASE_INSENSITIVE 0x00000040
typedef NTSTATUS (NTAPI *pNtOpenSymbolicLinkObject)(
PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES);
typedef NTSTATUS (NTAPI *pNtQuerySymbolicLinkObject)(
HANDLE, PUNICODE_STRING, PULONG);
BOOL ResolveDosDrive(WCHAR letter, PWSTR out, ULONG outChars) {
pNtOpenSymbolicLinkObject NtOpenSymbolicLinkObject =
(pNtOpenSymbolicLinkObject)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtOpenSymbolicLinkObject");
pNtQuerySymbolicLinkObject NtQuerySymbolicLinkObject =
(pNtQuerySymbolicLinkObject)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtQuerySymbolicLinkObject");
WCHAR path[16]; swprintf_s(path, 16, L"\\??\\%lc", letter);
UNICODE_STRING us; RtlInitUnicodeString(&us, path);
OBJECT_ATTRIBUTES oa;
InitializeObjectAttributes(&oa, &us, OBJ_CASE_INSENSITIVE, NULL, NULL);
HANDLE h = NULL;
if (!NT_SUCCESS(NtOpenSymbolicLinkObject(&h, SYMBOLIC_LINK_QUERY, &oa)))
return FALSE;
UNICODE_STRING target;
target.Buffer = out;
target.Length = 0;
target.MaximumLength = (USHORT)(outChars * sizeof(WCHAR));
NTSTATUS s = NtQuerySymbolicLinkObject(h, &target, NULL);
CloseHandle(h);
return NT_SUCCESS(s);
}rustEvict a planted symlink
// Cargo: ntapi = "0.4", widestring = "1", windows-sys = "0.59"
// Open a symbolic link with DELETE and close it to remove the link from
// the object namespace. Used to swap a sandbox-escape symlink mid-race or
// to clean up an unwanted competing implant's rendezvous marker.
use ntapi::ntobapi::NtOpenSymbolicLinkObject;
use ntapi::ntrtl::RtlInitUnicodeString;
use winapi::shared::ntdef::{OBJECT_ATTRIBUTES, UNICODE_STRING};
use widestring::U16CString;
use windows_sys::Win32::Foundation::CloseHandle;
const DELETE: u32 = 0x0001_0000;
const OBJ_CASE_INSENSITIVE: u32 = 0x40;
pub unsafe fn evict_symlink(nt_path: &str) -> bool {
let w = U16CString::from_str(nt_path).unwrap();
let mut us: UNICODE_STRING = std::mem::zeroed();
RtlInitUnicodeString(&mut us, w.as_ptr());
let mut oa: OBJECT_ATTRIBUTES = std::mem::zeroed();
oa.Length = std::mem::size_of::<OBJECT_ATTRIBUTES>() as u32;
oa.ObjectName = &mut us;
oa.Attributes = OBJ_CASE_INSENSITIVE;
let mut h: isize = 0;
if NtOpenSymbolicLinkObject(&mut h as *mut _ as _, DELETE, &mut oa) < 0 {
return false;
}
CloseHandle(h as _);
true
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20