NtRaiseHardError
Löst einen „Hard Error“ aus, den der Kernel an CSRSS zur UI-Anzeige weiterreicht — oder mit SeShutdownPrivilege und FATAL-Severity einen sofortigen Bugcheck (BSOD) auslöst.
Prototyp
NTSTATUS NtRaiseHardError( NTSTATUS ErrorStatus, ULONG NumberOfParameters, ULONG UnicodeStringParameterMask, PULONG_PTR Parameters, HARDERROR_RESPONSE_OPTION ResponseOption, PHARDERROR_RESPONSE Response );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| ErrorStatus | NTSTATUS | in | Statuscode; die oberen Bits kodieren die Severity (STATUS_SEVERITY_FATAL = 0xC0000000-Klasse mit Bit 30 gesetzt führt zum Bugcheck-Pfad). |
| NumberOfParameters | ULONG | in | Anzahl der Einträge in Parameters (max 4). |
| UnicodeStringParameterMask | ULONG | in | Bitmaske, die angibt, welche Parameters-Einträge auf UNICODE_STRING (statt rohes ULONG_PTR) zeigen. |
| Parameters | PULONG_PTR | in | Array von bis zu 4 Ersetzungsparametern für die Fehlervorlage. |
| ResponseOption | HARDERROR_RESPONSE_OPTION | in | Welcher Antwortsatz dem Benutzer angeboten wird. OptionShutdownSystem (6) ist der BSOD-auslösende Wert mit FATAL-Severity und SeShutdownPrivilege. |
| Response | PHARDERROR_RESPONSE | out | Empfängt die vom Benutzer gewählte Antwort. Auf dem BSOD-Pfad irrelevant, da der Aufruf nie zurückkehrt. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x14D | win10-1507 |
| Win10 1607 | 0x154 | win10-1607 |
| Win10 1703 | 0x15A | win10-1703 |
| Win10 1709 | 0x15D | win10-1709 |
| Win10 1803 | 0x15F | win10-1803 |
| Win10 1809 | 0x160 | win10-1809 |
| Win10 1903 | 0x161 | win10-1903 |
| Win10 1909 | 0x161 | win10-1909 |
| Win10 2004 | 0x167 | win10-2004 |
| Win10 20H2 | 0x167 | win10-20h2 |
| Win10 21H1 | 0x167 | win10-21h1 |
| Win10 21H2 | 0x169 | win10-21h2 |
| Win10 22H2 | 0x169 | win10-22h2 |
| Win11 21H2 | 0x170 | win11-21h2 |
| Win11 22H2 | 0x173 | win11-22h2 |
| Win11 23H2 | 0x173 | win11-23h2 |
| Win11 24H2 | 0x175 | win11-24h2 |
| Server 2016 | 0x154 | winserver-2016 |
| Server 2019 | 0x160 | winserver-2019 |
| Server 2022 | 0x16E | winserver-2022 |
| Server 2025 | 0x175 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 75 01 00 00 mov eax, 0x175 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NtRaiseHardError hat je nach Parameterkombination zwei völlig unterschiedliche Persönlichkeiten. Der gutartige Pfad postet eine Hard-Error-LPC-Nachricht an CSRSS, das den vertrauten „Ein an das System angeschlossenes Gerät funktioniert nicht“-Dialog malt. Der berühmte BSOD-Pfad: einen beliebigen STATUS_SEVERITY_FATAL-Status übergeben (oberste zwei Bits = 11), ResponseOption = OptionShutdownSystem (6) und SeShutdownPrivilege aktiviert halten — der Kernel springt direkt in ExpRaiseHardError → KeBugCheckEx mit Bugcheck-Code 0xF4 (CRITICAL_OBJECT_TERMINATION) oder 0xC1 (SPECIAL_POOL_DETECTED_MEMORY_CORRUPTION) je nach Status. Wininit.exe und Csrss.exe nutzen denselben Aufruf legitim, um das System bei Tod eines kritischen Prozesses herunterzufahren; Malware setzt sich auf dieselbe Maschinerie.
Häufige Malware-Nutzung
Die Lehrbuch-Primitive zum „Maschine aus dem User-Mode crashen“. Ransomware nutzt NtRaiseHardError als Stufe-3-Anti-Forensik: nach abgeschlossener Verschlüsselung und Löschen der Schattenkopien einen BSOD erzwingen, um Memory-Forensik, EDR-Live-Response-Sitzungen oder Wiederherstellungsversuche zu unterbrechen. Manche destruktiven Wiper (HermeticWiper, CaddyWiper) rufen es als letzte Aktion, sodass der nächste Boot in WinRE landet, ohne nutzbares User-Volume. Defense-Evasion-Familien verwenden die Nicht-FATAL-Form auch, um in Social-Engineering-Ketten überzeugende „Kritisches Update“-Dialoge zu erzeugen. Die Privilege-Hürde ist mild — jeder Prozess als Administrator mit standardmäßig aktiviertem SeShutdownPrivilege kann den Host per BSOD zerlegen.
Erkennungsmöglichkeiten
Audit-Policy-Bit „Prozesserstellung“ für wininit.exe und csrss.exe setzen und zusätzlich Microsoft-Windows-Threat-Intelligence-ETW verwenden (EtwTiLogRaiseHardError, wo exponiert). Auf dem überlebbaren Pfad protokolliert das Application-Eventlog Hard Errors als Event ID 1023 (DrWatson), und der System-Kanal protokolliert BugCheck (Event ID 1001) beim Reboot nach einem Hard-Error-induzierten Bugcheck. Die nützlichste Prävention ist, SeShutdownPrivilege aus nicht-privilegierten Service-Konten zu entfernen — die meisten brauchen es nicht, und der Entzug neutralisiert die Userland-BSOD-Bedrohung vollständig.
Direkte Syscall-Beispiele
cUserland BSOD trigger
// Requires SeShutdownPrivilege enabled in the token.
// Result: instant 0xF4 CRITICAL_OBJECT_TERMINATION bugcheck.
BOOLEAN wasEnabled;
RtlAdjustPrivilege(SE_SHUTDOWN_PRIVILEGE, TRUE, FALSE, &wasEnabled);
ULONG response;
NtRaiseHardError(
STATUS_ASSERTION_FAILURE, // 0xC0000420 - severity FATAL
0, 0, NULL,
OptionShutdownSystem, // 6 -> kernel routes to KeBugCheckEx
&response);
// Never returns.cBogus 'critical update' dialog
// Non-FATAL severity -> CSRSS displays a hard-error dialog with template text.
UNICODE_STRING msg;
RtlInitUnicodeString(&msg, L"Critical Windows component compromised. Restart now.");
ULONG_PTR params[1] = { (ULONG_PTR)&msg };
ULONG response;
NtRaiseHardError(
STATUS_FATAL_APP_EXIT,
1,
1, // bit 0 = first param is a UNICODE_STRING*
params,
OptionOk,
&response);asmx64 stub (Win11 24H2)
NtRaiseHardError PROC
mov r10, rcx
mov eax, 175h ; Win11 24H2 SSN
syscall
ret
NtRaiseHardError ENDPMITRE ATT&CK-Mappings
Last verified: 2026-05-20