> Windows Syscalls
ntoskrnl.exeT1559T1106

NtReplyPort

Envoie une réponse sur un port LPC côté serveur à une requête reçue, sans attendre.

Prototype

NTSTATUS NtReplyPort(
  HANDLE         PortHandle,
  PPORT_MESSAGE  ReplyMessage
);

Arguments

NameTypeDirDescription
PortHandleHANDLEinHandle vers le port de communication côté serveur pour le client dont la requête est répondue.
ReplyMessagePPORT_MESSAGEinPORT_MESSAGE dont les champs MessageId / ClientId correspondent à la requête d'origine.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070xCwin10-1507
Win10 16070xCwin10-1607
Win10 17030xCwin10-1703
Win10 17090xCwin10-1709
Win10 18030xCwin10-1803
Win10 18090xCwin10-1809
Win10 19030xCwin10-1903
Win10 19090xCwin10-1909
Win10 20040xCwin10-2004
Win10 20H20xCwin10-20h2
Win10 21H10xCwin10-21h1
Win10 21H20xCwin10-21h2
Win10 22H20xCwin10-22h2
Win11 21H20xCwin11-21h2
Win11 22H20xCwin11-22h2
Win11 23H20xCwin11-23h2
Win11 24H20xCwin11-24h2
Server 20160xCwinserver-2016
Server 20190xCwinserver-2019
Server 20220xCwinserver-2022
Server 20250xCwinserver-2025

Module noyau

ntoskrnl.exeNtReplyPort

APIs liées

NtReplyWaitReceivePortNtRequestWaitReplyPortNtCreatePortNtAcceptConnectPortNtAlpcSendWaitReceivePort

Stub du syscall

4C 8B D1            mov r10, rcx
B8 0C 00 00 00      mov eax, 0x0C
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

NtReplyPort complète la moitié serveur d'un échange LPC synchrone initié par un client via NtRequestWaitReplyPort. Le `MessageId` correspondant dans la réponse permet au noyau de livrer la réponse au bon appelant. Un serveur n'appelle généralement *pas* NtReplyPort dans une boucle chaude — il utilise NtReplyWaitReceivePort qui répond atomiquement à la requête précédente et attend la suivante. Le SSN `0x0C` est gelé sur toutes les builds Windows 10/11, reflet du statut legacy de LPC, à faible numéro et quasiment intouché par Microsoft.

Usage courant par les malwares

L'usage de NtReplyPort spécifiquement est *très rare* en malware et co-occurre presque toujours avec un serveur LPC custom enregistré via NtCreatePort. Intérêt historique uniquement : rootkits user-mode pré-Vista exposant un faux port noyau pour recevoir des commandes d'un composant co-résident puis répondant via NtReplyPort. Le code offensif moderne choisit majoritairement ALPC ou les named pipes pour ce pattern.

Opportunités de détection

Pas de provider ETW dédié au LPC historique. Le signal le plus fort est en amont : tout processus non signé Microsoft qui détient un port serveur LPC (visible via SystemInformer / WinObj ou un filtre kernel ObRegisterCallbacks pour le type `Port`) et atteint NtReplyPort est hautement anormal sur Windows 10/11. Corréler la pile du thread appelant avec un NtCreatePort observé en amont permet d'identifier le serveur.

Exemples de syscalls directs

asmx64 direct stub

; Direct syscall stub for NtReplyPort (SSN 0x0C, stable Win10 1507+)
NtReplyPort PROC
    mov  r10, rcx          ; PortHandle
    mov  eax, 0Ch          ; SSN
    syscall
    ret
NtReplyPort ENDP

cReply to a single LPC request

// Send a one-shot reply to an LPC request whose MessageId we've stashed.
#include <windows.h>
#include <winternl.h>

typedef NTSTATUS (NTAPI *pNtReplyPort)(HANDLE, PVOID /*PPORT_MESSAGE*/);

NTSTATUS LpcReply(HANDLE serverPort, void *replyMsg) {
    pNtReplyPort fn = (pNtReplyPort)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtReplyPort");
    return fn(serverPort, replyMsg);
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20