NtWriteVirtualMemory
Schreibt einen Puffer des Aufrufers in den virtuellen Adressraum eines Zielprozesses.
Prototyp
NTSTATUS NtWriteVirtualMemory( HANDLE ProcessHandle, PVOID BaseAddress, PVOID Buffer, SIZE_T NumberOfBytesToWrite, PSIZE_T NumberOfBytesWritten );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| ProcessHandle | HANDLE | in | Handle auf den Zielprozess mit den Rechten PROCESS_VM_WRITE | PROCESS_VM_OPERATION. |
| BaseAddress | PVOID | in | Zieladresse im virtuellen Adressraum des Zielprozesses. |
| Buffer | PVOID | in | Zeiger auf den Quellpuffer im Adressraum des Aufrufers. |
| NumberOfBytesToWrite | SIZE_T | in | Anzahl der zu kopierenden Bytes von Buffer nach BaseAddress. |
| NumberOfBytesWritten | PSIZE_T | out | Optional. Erhält die Anzahl der tatsächlich geschriebenen Bytes. Darf NULL sein. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x3A | win10-1507 |
| Win10 1607 | 0x3A | win10-1607 |
| Win10 1703 | 0x3A | win10-1703 |
| Win10 1709 | 0x3A | win10-1709 |
| Win10 1803 | 0x3A | win10-1803 |
| Win10 1809 | 0x3A | win10-1809 |
| Win10 1903 | 0x3A | win10-1903 |
| Win10 1909 | 0x3A | win10-1909 |
| Win10 2004 | 0x3A | win10-2004 |
| Win10 20H2 | 0x3A | win10-20h2 |
| Win10 21H1 | 0x3A | win10-21h1 |
| Win10 21H2 | 0x3A | win10-21h2 |
| Win10 22H2 | 0x3A | win10-22h2 |
| Win11 21H2 | 0x3A | win11-21h2 |
| Win11 22H2 | 0x3A | win11-22h2 |
| Win11 23H2 | 0x3A | win11-23h2 |
| Win11 24H2 | 0x3A | win11-24h2 |
| Server 2016 | 0x3A | winserver-2016 |
| Server 2019 | 0x3A | winserver-2019 |
| Server 2022 | 0x3A | winserver-2022 |
| Server 2025 | 0x3A | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 3A 00 00 00 mov eax, 0x3A F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Implementiert von `MmCopyVirtualMemory` in ntoskrnl.exe mit `PreviousMode = UserMode`, was ein vollständiges Probe-and-Lock beider Puffer erzwingt. Die SSN `0x3A` ist auf jedem ausgelieferten Win10/11-Build unverändert geblieben — das Tabellenlayout hat diesen Eintrag schlicht nicht verschoben. Der Kernel führt die Kopie über ein transientes Mapping aus; die Zielseite muss aus dem Userland nicht beschreibbar sein, nur die Section-Permissions müssen Kernel-Schreibzugriffe zulassen. Daher gelingt das Injizieren in nur-lesbare Seiten in vielen Fällen dennoch.
Häufige Malware-Nutzung
Der `Write`-Schritt der klassischen OpenProcess → VirtualAllocEx → WriteProcessMemory → CreateRemoteThread-Kette. Wird verwendet, um Shellcode, ein PE mit bereits aufgelöster IAT oder einen Reflective-Loader-Stub in einen Remote-Prozess zu schreiben. Über reine Shellcode-Injection hinaus dient er auch zum Überschreiben von Funktionsprologen für Inline-Hooks, zum Patchen von `AMSI.dll!AmsiScanBuffer` oder `clr.jit!compileMethod` für AMSI/ETW-Bypasses sowie als Schreibprimitive in PPID-Spoofing- und Process-Doppelgänging-Varianten. Brute Ratel, Cobalt Strike, Sliver, Qakbot und IcedID setzen ihn in ihrer Loader-Kette ein.
Erkennungsmöglichkeiten
Cross-Process-Writes werden hauptsächlich über Sysmon Event ID 10 (`ProcessAccess`) sichtbar, wenn die angefragte Zugriffsmaske `PROCESS_VM_WRITE` (0x0020) oder `PROCESS_VM_OPERATION` (0x0008) enthält. Der ETW-Threat-Intelligence-Provider emittiert zusätzlich Schreib-Notifications für bestimmte geschützte Prozesse. EDRs hooken `NtWriteVirtualMemory` in ntdll; direkte Syscalls umgehen den Hook, doch der Kernel aktualisiert nach wie vor die VAD-Referenzzähler des Ziels und kann über `PsSetCreateProcessNotifyRoutineEx`-Callbacks beobachtet werden, falls der Write später eine Thread-Erzeugung auslöst. Writes, die auf Prozesse einer anderen Session zielen oder `lsass.exe` bzw. Browser-Binaries treffen, verdienen erhöhte Bewertung.
Direkte Syscall-Beispiele
asmx64 direct stub
; Direct syscall stub for NtWriteVirtualMemory (SSN 0x3A, stable across all Win10/11)
NtWriteVirtualMemory PROC
mov r10, rcx ; syscall convention
mov eax, 3Ah ; SSN
syscall
ret
NtWriteVirtualMemory ENDPcRemote shellcode injection
// Write shellcode into a previously-allocated remote region.
SIZE_T written = 0;
NTSTATUS st = NtWriteVirtualMemory(hRemote, remote_base,
shellcode, shellcode_len, &written);
if (!NT_SUCCESS(st) || written != shellcode_len) {
// partial write: typically PAGE_NOACCESS encountered halfway
return st;
}rustHell's Gate indirect syscall
// Cargo: ntapi = "0.4"
use std::arch::asm;
#[unsafe(naked)]
unsafe extern "system" fn nt_write_virtual_memory_stub() {
// SSN 0x3A across every supported build.
asm!(
"mov r10, rcx",
"mov eax, 0x3A",
"syscall",
"ret",
options(noreturn),
);
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20