NtUnloadDriver
Entlädt einen zuvor geladenen Kernel-Mode-Treiber — die BYOVD-Aufräumprimitive.
Prototyp
NTSTATUS NtUnloadDriver( PUNICODE_STRING DriverServiceName );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| DriverServiceName | PUNICODE_STRING | in | NT-Pfad zum Service-Key unter \Registry\Machine\System\CurrentControlSet\Services\<Name>. Aufrufer benötigt SeLoadDriverPrivilege. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x1A9 | win10-1507 |
| Win10 1607 | 0x1B2 | win10-1607 |
| Win10 1703 | 0x1B8 | win10-1703 |
| Win10 1709 | 0x1BC | win10-1709 |
| Win10 1803 | 0x1BE | win10-1803 |
| Win10 1809 | 0x1BF | win10-1809 |
| Win10 1903 | 0x1C0 | win10-1903 |
| Win10 1909 | 0x1C0 | win10-1909 |
| Win10 2004 | 0x1C6 | win10-2004 |
| Win10 20H2 | 0x1C6 | win10-20h2 |
| Win10 21H1 | 0x1C6 | win10-21h1 |
| Win10 21H2 | 0x1C8 | win10-21h2 |
| Win10 22H2 | 0x1C8 | win10-22h2 |
| Win11 21H2 | 0x1D2 | win11-21h2 |
| Win11 22H2 | 0x1D6 | win11-22h2 |
| Win11 23H2 | 0x1D6 | win11-23h2 |
| Win11 24H2 | 0x1D9 | win11-24h2 |
| Server 2016 | 0x1B2 | winserver-2016 |
| Server 2019 | 0x1BF | winserver-2019 |
| Server 2022 | 0x1CE | winserver-2022 |
| Server 2025 | 0x1D9 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 D9 01 00 00 mov eax, 0x1D9 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NtUnloadDriver ist das Gegenstück zu NtLoadDriver. Bei einem NT-Pfad auf einen Service-Key bittet es den I/O-Manager, die `DriverUnload`-Routine des Treibers aufzurufen und sein `DRIVER_OBJECT` aus `\Driver` zu entfernen. Das Treiber-Image wird aus dem Kernel-Adressraum entkartet und der entsprechende `MmUnloadedDrivers`-Slot gefüllt (der Kernel hält einen kleinen Ringpuffer der letzten ~50 entladenen Treibernamen — `!drvobj /unloaded` in WinDbg). NtUnloadDriver erfordert, dass das Caller-Token `SeLoadDriverPrivilege` hält, was Administratoren standardmäßig besitzen, Service-Konten aber selten.
Häufige Malware-Nutzung
Der definitorische Call beim **BYOVD-Cleanup (Bring Your Own Vulnerable Driver)**. Die klassische Kill-Chain: 1) einen signierten, aber verwundbaren Treiber aus einer hartkodierten Liste droppen (RTCore64, gdrv, mhyprot2, kArmor etc.); 2) NtLoadDriver, um den Service anzulegen und zu laden; 3) IOCTL in den Treiber, um EDR-Callbacks zu deaktivieren, geschützte Prozesse zu terminieren, in MSRs oder beliebigen Kernel-Speicher zu schreiben; 4) NtUnloadDriver, um den Treiber aus dem laufenden System zu entfernen und den forensischen Fußabdruck zu verkleinern. Familien: EDRKillShifter (RansomHub-Affiliate-Tooling), Spyboys Terminator, AvosLockers BYOVD-Modul, KillAV-Varianten, BlackBytes RTCore64-Missbrauch, Lazarus' FudModule-Rootkit-Loader. Der Unload ist *notwendig* — den verwundbaren Treiber geladen zu lassen ist ein lautes Detektionssignal für Kernel-Image-Enumeration.
Erkennungsmöglichkeiten
Wesentlich: Die meiste öffentliche BYOVD-Telemetrie konzentriert sich auf den *Load* (`Microsoft-Windows-Kernel-PnP` Event 400, Sysmon Event ID 6) — der *Unload* ist historisch unterinstrumentiert. Detektion stützt sich auf Korrelation: Sysmon Event 6 hat den initialen Load geloggt, und das Fehlen des Treiber-Images in nachfolgenden `Get-WindowsDriver` / `driverquery` / Kernel-Callback-Enumerationen ist das einzige Delta. `Microsoft-Windows-Kernel-PnP` Event 410 feuert beim Service-Stop. Die Vulnerable-Driver-Blocklist von Microsoft Defender (`DriverSiPolicy.p7b`) verhindert auf aktivierten Systemen den Load komplett — wenn vorhanden, scheitert der BYOVD-Pfad bei NtLoadDriver und NtUnloadDriver wird nie erreicht. ELAM und HVCI greifen ebenfalls am Load, nicht am Unload.
Direkte Syscall-Beispiele
asmx64 direct stub
; Direct syscall stub for NtUnloadDriver (SSN 0x1D9 on Win11 24H2)
NtUnloadDriver PROC
mov r10, rcx ; DriverServiceName
mov eax, 1D9h ; SSN — verify per-build
syscall
ret
NtUnloadDriver ENDPcBYOVD cleanup after exploitation
// Final stage of a BYOVD chain: tear down the vulnerable driver and its service key.
#include <windows.h>
#include <winternl.h>
typedef NTSTATUS (NTAPI *pNtUnloadDriver)(PUNICODE_STRING);
BOOL BYOVDCleanup(PCWSTR ntServicePath /* L"\\Registry\\Machine\\System\\CurrentControlSet\\Services\\Vuln" */) {
UNICODE_STRING us;
RtlInitUnicodeString(&us, ntServicePath);
pNtUnloadDriver fn = (pNtUnloadDriver)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtUnloadDriver");
NTSTATUS s = fn(&us);
// Best practice: also delete the service-key and the .sys on disk to slim forensics.
// (omitted) RegDeleteTreeW + DeleteFileW
return s >= 0;
}rustEDR-kill teardown
// Cargo: ntapi = "0.4", widestring = "1"
use ntapi::ntioapi::NtUnloadDriver;
use ntapi::ntrtl::RtlInitUnicodeString;
use winapi::shared::ntdef::UNICODE_STRING;
use widestring::U16CString;
unsafe fn unload(svc_nt_path: &str) -> i32 {
let w = U16CString::from_str(svc_nt_path).unwrap();
let mut us: UNICODE_STRING = std::mem::zeroed();
RtlInitUnicodeString(&mut us, w.as_ptr());
NtUnloadDriver(&mut us)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20