NtReplyPort
Envoie une réponse sur un port LPC côté serveur à une requête reçue, sans attendre.
Prototype
NTSTATUS NtReplyPort( HANDLE PortHandle, PPORT_MESSAGE ReplyMessage );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| PortHandle | HANDLE | in | Handle vers le port de communication côté serveur pour le client dont la requête est répondue. |
| ReplyMessage | PPORT_MESSAGE | in | PORT_MESSAGE dont les champs MessageId / ClientId correspondent à la requête d'origine. |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0xC | win10-1507 |
| Win10 1607 | 0xC | win10-1607 |
| Win10 1703 | 0xC | win10-1703 |
| Win10 1709 | 0xC | win10-1709 |
| Win10 1803 | 0xC | win10-1803 |
| Win10 1809 | 0xC | win10-1809 |
| Win10 1903 | 0xC | win10-1903 |
| Win10 1909 | 0xC | win10-1909 |
| Win10 2004 | 0xC | win10-2004 |
| Win10 20H2 | 0xC | win10-20h2 |
| Win10 21H1 | 0xC | win10-21h1 |
| Win10 21H2 | 0xC | win10-21h2 |
| Win10 22H2 | 0xC | win10-22h2 |
| Win11 21H2 | 0xC | win11-21h2 |
| Win11 22H2 | 0xC | win11-22h2 |
| Win11 23H2 | 0xC | win11-23h2 |
| Win11 24H2 | 0xC | win11-24h2 |
| Server 2016 | 0xC | winserver-2016 |
| Server 2019 | 0xC | winserver-2019 |
| Server 2022 | 0xC | winserver-2022 |
| Server 2025 | 0xC | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 0C 00 00 00 mov eax, 0x0C F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
NtReplyPort complète la moitié serveur d'un échange LPC synchrone initié par un client via NtRequestWaitReplyPort. Le `MessageId` correspondant dans la réponse permet au noyau de livrer la réponse au bon appelant. Un serveur n'appelle généralement *pas* NtReplyPort dans une boucle chaude — il utilise NtReplyWaitReceivePort qui répond atomiquement à la requête précédente et attend la suivante. Le SSN `0x0C` est gelé sur toutes les builds Windows 10/11, reflet du statut legacy de LPC, à faible numéro et quasiment intouché par Microsoft.
Usage courant par les malwares
L'usage de NtReplyPort spécifiquement est *très rare* en malware et co-occurre presque toujours avec un serveur LPC custom enregistré via NtCreatePort. Intérêt historique uniquement : rootkits user-mode pré-Vista exposant un faux port noyau pour recevoir des commandes d'un composant co-résident puis répondant via NtReplyPort. Le code offensif moderne choisit majoritairement ALPC ou les named pipes pour ce pattern.
Opportunités de détection
Pas de provider ETW dédié au LPC historique. Le signal le plus fort est en amont : tout processus non signé Microsoft qui détient un port serveur LPC (visible via SystemInformer / WinObj ou un filtre kernel ObRegisterCallbacks pour le type `Port`) et atteint NtReplyPort est hautement anormal sur Windows 10/11. Corréler la pile du thread appelant avec un NtCreatePort observé en amont permet d'identifier le serveur.
Exemples de syscalls directs
asmx64 direct stub
; Direct syscall stub for NtReplyPort (SSN 0x0C, stable Win10 1507+)
NtReplyPort PROC
mov r10, rcx ; PortHandle
mov eax, 0Ch ; SSN
syscall
ret
NtReplyPort ENDPcReply to a single LPC request
// Send a one-shot reply to an LPC request whose MessageId we've stashed.
#include <windows.h>
#include <winternl.h>
typedef NTSTATUS (NTAPI *pNtReplyPort)(HANDLE, PVOID /*PPORT_MESSAGE*/);
NTSTATUS LpcReply(HANDLE serverPort, void *replyMsg) {
pNtReplyPort fn = (pNtReplyPort)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtReplyPort");
return fn(serverPort, replyMsg);
}Mappings MITRE ATT&CK
Last verified: 2026-05-20