NtReadVirtualMemory
Liest Bytes aus dem virtuellen Adressraum eines Zielprozesses in einen vom Aufrufer bereitgestellten Puffer.
Prototyp
NTSTATUS NtReadVirtualMemory( HANDLE ProcessHandle, PVOID BaseAddress, PVOID Buffer, SIZE_T NumberOfBytesToRead, PSIZE_T NumberOfBytesRead );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| ProcessHandle | HANDLE | in | Handle auf den Zielprozess mit dem Zugriffsrecht PROCESS_VM_READ. |
| BaseAddress | PVOID | in | Quelladresse im virtuellen Adressraum des Zielprozesses. |
| Buffer | PVOID | out | Zielpuffer im Adressraum des Aufrufers, der die Bytes empfängt. |
| NumberOfBytesToRead | SIZE_T | in | Anzahl der von BaseAddress zu lesenden Bytes. |
| NumberOfBytesRead | PSIZE_T | out | Optional. Erhält die Anzahl der tatsächlich gelesenen Bytes. Darf NULL sein. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x3F | win10-1507 |
| Win10 1607 | 0x3F | win10-1607 |
| Win10 1703 | 0x3F | win10-1703 |
| Win10 1709 | 0x3F | win10-1709 |
| Win10 1803 | 0x3F | win10-1803 |
| Win10 1809 | 0x3F | win10-1809 |
| Win10 1903 | 0x3F | win10-1903 |
| Win10 1909 | 0x3F | win10-1909 |
| Win10 2004 | 0x3F | win10-2004 |
| Win10 20H2 | 0x3F | win10-20h2 |
| Win10 21H1 | 0x3F | win10-21h1 |
| Win10 21H2 | 0x3F | win10-21h2 |
| Win10 22H2 | 0x3F | win10-22h2 |
| Win11 21H2 | 0x3F | win11-21h2 |
| Win11 22H2 | 0x3F | win11-22h2 |
| Win11 23H2 | 0x3F | win11-23h2 |
| Win11 24H2 | 0x3F | win11-24h2 |
| Server 2016 | 0x3F | winserver-2016 |
| Server 2019 | 0x3F | winserver-2019 |
| Server 2022 | 0x3F | winserver-2022 |
| Server 2025 | 0x3F | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 3F 00 00 00 mov eax, 0x3F F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Gegenstück zu `NtWriteVirtualMemory`, ebenfalls von `MmCopyVirtualMemory` umgesetzt, jedoch mit vertauschten Quell-/Zielrollen. SSN `0x3F` ist über alle ausgelieferten Win10/11-Builds stabil. Teilweise Lesungen (Quell-Page nicht gemappt oder `PAGE_NOACCESS`) liefern `STATUS_PARTIAL_COPY` und aktualisieren `NumberOfBytesRead`. Der Kernel respektiert `PROCESS_VM_READ`, umgeht aber keinen Seitenschutz — Guard-Pages werfen eine Exception, die als `STATUS_GUARD_PAGE_VIOLATION` propagiert wird.
Häufige Malware-Nutzung
Zentrale Leseprimitive hinter LSASS-Credential-Theft. Mimikatz, pypykatz, lsassy, nanodump und der Cobalt-Strike-`mimikatz`-BOF lesen den LSASS-Prozessspeicher entweder per `ReadProcessMemory` (das diesen Syscall kapselt) oder direkt per Syscall, um ntdll-Hooks zu umgehen. Auch Infostealer (RedLine, Vidar, Stealc) verwenden ihn, um Secrets aus Browser-Prozessen zu extrahieren, und EDR-Evasion-Tools nutzen ihn, um die im Speicher liegende ntdll mit der Disk-Version zu vergleichen und Inline-Hooks zum Aushängen zu finden.
Erkennungsmöglichkeiten
Die wichtigste Telemetrie ist Sysmon Event ID 10 (`ProcessAccess`) mit einer `GrantedAccess`, die `PROCESS_VM_READ` (0x0010) enthält, besonders wenn das Ziel `lsass.exe` ist — die bekannten Masken `0x1010`/`0x1410`/`0x1438`. Die ASR-Regel von Windows Defender `9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2` blockt LSASS-Credential-Dumps, indem sie Opens mit VM_READ abfängt. Direkte Syscalls umgehen die kernelseitige Telemetrie nicht, die EDRs über `PsSetCreateProcessNotifyRoutineEx` oder `ObRegisterCallbacks` auf Prozess-Opens registrieren — der Read selbst mag unsichtbar sein, das vorhergehende `NtOpenProcess` ist es selten.
Direkte Syscall-Beispiele
asmx64 direct stub
; Direct syscall stub for NtReadVirtualMemory (SSN 0x3F, stable across all Win10/11)
NtReadVirtualMemory PROC
mov r10, rcx ; syscall convention
mov eax, 3Fh ; SSN
syscall
ret
NtReadVirtualMemory ENDPcntdll diff for unhooking
// Read the .text of ntdll from a clean disk copy and compare to the in-memory ntdll
// to locate inline hooks installed by EDRs. The remote read uses NtCurrentProcess()
// because the comparison is against our own image.
SIZE_T read = 0;
NTSTATUS st = NtReadVirtualMemory(NtCurrentProcess(),
(PVOID)inmem_text_rva,
current_text_copy,
text_size, &read);
if (NT_SUCCESS(st)) diff_and_restore(disk_text_copy, current_text_copy, text_size);cLSASS minidump read loop
// Open LSASS with PROCESS_VM_READ + PROCESS_QUERY_INFORMATION, then stream pages
// out via NtReadVirtualMemory into an in-memory MiniDump structure (nanodump style).
for (PVOID p = region_base; p < region_end; p = (PBYTE)p + 0x1000) {
SIZE_T got = 0;
if (NT_SUCCESS(NtReadVirtualMemory(hLsass, p, page_buf, 0x1000, &got))) {
write_minidump_page(p, page_buf, got);
}
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20