> Windows Syscalls
ntoskrnl.exeT1057T1622T1106

NtQueryVirtualMemory

Récupère des informations sur les pages de l'espace d'adressage virtuel d'un processus cible.

Prototype

NTSTATUS NtQueryVirtualMemory(
  HANDLE                   ProcessHandle,
  PVOID                    BaseAddress,
  MEMORY_INFORMATION_CLASS MemoryInformationClass,
  PVOID                    MemoryInformation,
  SIZE_T                   MemoryInformationLength,
  PSIZE_T                  ReturnLength
);

Arguments

NameTypeDirDescription
ProcessHandleHANDLEinHandle vers le processus dont l'espace VA est interrogé. Requiert PROCESS_QUERY_INFORMATION.
BaseAddressPVOIDinAdresse à l'intérieur de la région à interroger. Pas besoin d'être alignée à la page.
MemoryInformationClassMEMORY_INFORMATION_CLASSinClasse d'information à retourner (MemoryBasicInformation, MemoryMappedFilenameInformation, MemoryRegionInformation, MemoryWorkingSetExInformation, ...).
MemoryInformationPVOIDoutTampon alloué par l'appelant qui reçoit la structure interrogée.
MemoryInformationLengthSIZE_TinTaille du tampon de sortie en octets.
ReturnLengthPSIZE_ToutOptionnel. Reçoit le nombre d'octets écrits ou requis.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x23win10-1507
Win10 16070x23win10-1607
Win10 17030x23win10-1703
Win10 17090x23win10-1709
Win10 18030x23win10-1803
Win10 18090x23win10-1809
Win10 19030x23win10-1903
Win10 19090x23win10-1909
Win10 20040x23win10-2004
Win10 20H20x23win10-20h2
Win10 21H10x23win10-21h1
Win10 21H20x23win10-21h2
Win10 22H20x23win10-22h2
Win11 21H20x23win11-21h2
Win11 22H20x23win11-22h2
Win11 23H20x23win11-23h2
Win11 24H20x23win11-24h2
Server 20160x23winserver-2016
Server 20190x23winserver-2019
Server 20220x23winserver-2022
Server 20250x23winserver-2025

Module noyau

ntoskrnl.exeNtQueryVirtualMemory

APIs liées

VirtualQueryVirtualQueryExNtQueryInformationProcessNtReadVirtualMemoryNtProtectVirtualMemory

Stub du syscall

4C 8B D1            mov r10, rcx
B8 23 00 00 00      mov eax, 0x23
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

NtQueryVirtualMemory garde le SSN `0x23` sur tous les builds Windows 10 / 11 / Server. C'est l'envers noyau de VirtualQuery / VirtualQueryEx mais expose une surface d'information bien plus riche : MemoryBasicInformation (état, type, protection), MemoryMappedFilenameInformation (l'image / fichier de backing sous forme de chemin NT), MemoryRegionInformation (info sur la sous-arborescence VAD complète depuis Win10 1803), MemoryImageInformation, MemoryWorkingSetExInformation (bits par page valide / lock / partagé / partageable). Chaque classe correspond à une branche distincte de MmQueryVirtualMemory.

Usage courant par les malwares

Outil de reconnaissance incontournable. Énumérer l'espace d'adressage pour (a) localiser le mapping AMSI/ETWTI dans le processus hôte avant de le patcher, (b) trouver les en-têtes PE propres de ntdll/kernel32 pour un unhooking style `Perun's Fart`, (c) balayer un processus distant à la recherche de régions RWX ou RW récemment allouées, (d) confirmer que la section d'une image mappée manuellement n'a pas été démappée par un EDR. MemoryMappedFilenameInformation permet aussi d'identifier les DLL d'EDR chargées dans l'hôte sans toucher à la liste loader du PEB.

Opportunités de détection

Les taux d'appel élevés sont normaux — débogueurs, profilers et même Defender parcourent les espaces d'adressage en continu. La télémétrie intéressante : les requêtes cross-process (ProcessHandle != courant) depuis des binaires non instrumentaux, particulièrement suivies en quelques millisecondes par NtProtectVirtualMemory ou NtWriteVirtualMemory sur la même cible. Le provider ETW Threat Intelligence (`Microsoft-Windows-Threat-Intelligence`) émet des événements ProtectVirtualMemory et AllocVirtualMemory pour les actions cross-process ; corréler query-puis-write est une heuristique d'injection forte.

Exemples de syscalls directs

asmx64 direct stub

; Direct syscall stub for NtQueryVirtualMemory (SSN 0x23, all builds)
NtQueryVirtualMemory PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 23h          ; SSN
    syscall
    ret
NtQueryVirtualMemory ENDP

cAMSI mapping locator

// Walk the host VA space and locate amsi.dll's image mapping using
// MemoryMappedFilenameInformation -> AmsiScanBuffer can then be patched.
#include <windows.h>

#define MemoryMappedFilenameInformation 2

typedef NTSTATUS (NTAPI *pNtQueryVirtualMemory)(
    HANDLE, PVOID, ULONG, PVOID, SIZE_T, PSIZE_T);

PVOID FindAmsi(void) {
    pNtQueryVirtualMemory NtQueryVirtualMemory =
        (pNtQueryVirtualMemory)GetProcAddress(
            GetModuleHandleA("ntdll.dll"), "NtQueryVirtualMemory");

    BYTE buf[1024];
    SIZE_T ret;
    for (ULONG_PTR addr = 0x10000; addr < 0x7FFFFFFFFFFF; addr += 0x10000) {
        if (NtQueryVirtualMemory((HANDLE)-1, (PVOID)addr,
                MemoryMappedFilenameInformation, buf, sizeof buf, &ret) == 0) {
            UNICODE_STRING *us = (UNICODE_STRING*)buf;
            if (wcsstr(us->Buffer, L"\\amsi.dll"))
                return (PVOID)addr;
        }
    }
    return NULL;
}

rustMEMORY_BASIC_INFORMATION sweep

// Cargo: windows-sys = "0.59" (Win32_System_Memory, Win32_Foundation)
use windows_sys::Win32::System::Memory::*;
use windows_sys::Win32::Foundation::HANDLE;

// Find RWX regions in a remote process — implant validation, EDR audit, or victim recon.
pub unsafe fn find_rwx(proc_handle: HANDLE) -> Vec<usize> {
    let mut out = Vec::new();
    let mut addr: usize = 0;
    let mut mbi: MEMORY_BASIC_INFORMATION = core::mem::zeroed();
    while VirtualQueryEx(proc_handle, addr as _, &mut mbi,
                         core::mem::size_of_val(&mbi)) != 0 {
        if mbi.State == MEM_COMMIT && mbi.Protect == PAGE_EXECUTE_READWRITE {
            out.push(mbi.BaseAddress as usize);
        }
        addr = mbi.BaseAddress as usize + mbi.RegionSize;
    }
    out
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20