NtQuerySystemEnvironmentValue
Liest eine veraltete x86-BIOS/NV-RAM-Systemumgebungsvariable per Name (Pre-UEFI-Schnittstelle).
Prototyp
NTSTATUS NtQuerySystemEnvironmentValue( PUNICODE_STRING VariableName, PWCHAR VariableValue, USHORT ValueLength, PUSHORT ReturnLength );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| VariableName | PUNICODE_STRING | in | UNICODE_STRING mit dem Variablennamen. Bildet veraltete BIOS-NV-RAM-Namen ab; kein GUID-Namensraum. |
| VariableValue | PWCHAR | out | Vom Aufrufer bereitgestellter Puffer für den Variablenwert als Wide-Char-Zeichenkette. |
| ValueLength | USHORT | in | Kapazität von VariableValue in Bytes (USHORT-Größe: maximal 64 KiB). |
| ReturnLength | PUSHORT | out | Optionaler Zeiger, der die Anzahl der tatsächlich geschriebenen Bytes empfängt. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x145 | win10-1507 |
| Win10 1607 | 0x14C | win10-1607 |
| Win10 1703 | 0x152 | win10-1703 |
| Win10 1709 | 0x155 | win10-1709 |
| Win10 1803 | 0x157 | win10-1803 |
| Win10 1809 | 0x158 | win10-1809 |
| Win10 1903 | 0x159 | win10-1903 |
| Win10 1909 | 0x159 | win10-1909 |
| Win10 2004 | 0x15F | win10-2004 |
| Win10 20H2 | 0x15F | win10-20h2 |
| Win10 21H1 | 0x15F | win10-21h1 |
| Win10 21H2 | 0x160 | win10-21h2 |
| Win10 22H2 | 0x160 | win10-22h2 |
| Win11 21H2 | 0x167 | win11-21h2 |
| Win11 22H2 | 0x16A | win11-22h2 |
| Win11 23H2 | 0x16A | win11-23h2 |
| Win11 24H2 | 0x16C | win11-24h2 |
| Server 2016 | 0x14C | winserver-2016 |
| Server 2019 | 0x158 | winserver-2019 |
| Server 2022 | 0x165 | winserver-2022 |
| Server 2025 | 0x16C | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 6C 01 00 00 mov eax, 0x16C F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Veraltete Schnittstelle aus der ursprünglichen NT/x86-BIOS-Ära zum Lesen nichtflüchtiger Systemumgebungswerte. Der Name wird über HAL-private NV-RAM-Speicher aufgelöst; auf modernen UEFI-Maschinen ist dieser Aufruf weitgehend vestigial — Kernelpfade leiten echte Firmware-Lesungen stattdessen an NtQuerySystemEnvironmentValueEx. Erfordert SeSystemEnvironmentPrivilege. Das 16-bit-USHORT-Längenlimit ist ein offensichtliches historisches Artefakt und einer der Gründe, warum neuer Code die Ex-Variante nutzen muss.
Häufige Malware-Nutzung
Sehr geringes Offensiv-Signal im Jahr 2025. Modernes firmware-bewusstes Tradecraft (LoJax, MosaicRegressor, ESPecter) zielt auf die UEFI-Variablenoberfläche via *Ex*-Pendants, denn dort liegen tatsächlich Secure-Boot-Schlüssel, BootOrder und der OS-Loader-Übergabezustand. Vereinzelte Auftritte in älteren Red-Team-Toolkits, die BIOS-Zustände auf Legacy-Maschinen erheben.
Erkennungsmöglichkeiten
Der ETW-Provider Microsoft-Windows-Kernel-General gibt Firmware-Zugriffsereignisse aus; mit Erteilungen von SeSystemEnvironmentPrivilege am aufrufenden Token korrelieren. Aufrufe aus Nicht-Firmware-Management-Binaries (alles außerhalb von bcdedit.exe, mountvol.exe, fwupdate-Werkzeugen, Herstellertools) sind inhärent verdächtig. EDRs hooken diesen Aufruf selten direkt, weil das legitime Volumen nahe null liegt — jeder Aufruf wird damit zum hochpräzisen Signal.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtQuerySystemEnvironmentValue (SSN 0x16C, Win11 24H2)
NtQuerySystemEnvironmentValue PROC
mov r10, rcx
mov eax, 16Ch
syscall
ret
NtQuerySystemEnvironmentValue ENDPcLegacy NV-RAM read via Win32 wrapper
// Win32 calls back into NtQuerySystemEnvironmentValue under the hood.
// Requires SeSystemEnvironmentPrivilege — enable it first or the call returns ERROR_PRIVILEGE_NOT_HELD.
WCHAR buf[256] = {0};
DWORD len = GetFirmwareEnvironmentVariableW(
L"BootOrder",
L"{00000000-0000-0000-0000-000000000000}", // legacy non-UEFI: ignored
buf,
sizeof(buf));
if (len == 0) {
// On modern UEFI systems GetFirmwareEnvironmentVariableW dispatches to the Ex variant.
// Failure here on a UEFI machine is expected for legacy names.
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20