NtSerializeBoot
Löst die Serialisierung des Boot-Trace-Puffers aus — schließt die beim Systemstart erfassten Performance-Daten ab.
Prototyp
NTSTATUS NtSerializeBoot(VOID);
Argumente
| Name | Type | Dir | Description |
|---|
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x16B | win10-1507 |
| Win10 1607 | 0x173 | win10-1607 |
| Win10 1703 | 0x179 | win10-1703 |
| Win10 1709 | 0x17C | win10-1709 |
| Win10 1803 | 0x17E | win10-1803 |
| Win10 1809 | 0x17F | win10-1809 |
| Win10 1903 | 0x180 | win10-1903 |
| Win10 1909 | 0x180 | win10-1909 |
| Win10 2004 | 0x186 | win10-2004 |
| Win10 20H2 | 0x186 | win10-20h2 |
| Win10 21H1 | 0x186 | win10-21h1 |
| Win10 21H2 | 0x188 | win10-21h2 |
| Win10 22H2 | 0x188 | win10-22h2 |
| Win11 21H2 | 0x190 | win11-21h2 |
| Win11 22H2 | 0x193 | win11-22h2 |
| Win11 23H2 | 0x193 | win11-23h2 |
| Win11 24H2 | 0x195 | win11-24h2 |
| Server 2016 | 0x173 | winserver-2016 |
| Server 2019 | 0x17F | winserver-2019 |
| Server 2022 | 0x18E | winserver-2022 |
| Server 2025 | 0x195 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 95 01 00 00 mov eax, 0x195 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Performance-Diagnose-Primitiv: einmal vom Session Manager (smss.exe) und der Prefetcher-Infrastruktur aufgerufen, um zu signalisieren, dass die Bootphase abgeschlossen ist und der Kernel die im Speicher gehaltene Boot-Trace auf Disk serialisieren darf (z. B. für `xperf -on Base+Boot`-Sessions und den SuperFetch-Boot-Prefetcher). Keine Argumente, nichts zu fälschen. Aufruf außerhalb des legitimen One-Shot-Kontexts ist effektiv ein No-Op oder liefert STATUS_UNSUCCESSFUL. Microsoft-Dokumentation ist minimal, weil die Routine Teil des Prefetcher-Vertrags ist und nicht einer öffentlichen Win32-Oberfläche.
Häufige Malware-Nutzung
Minimaler Offensiv-Wert. Kein Privilege-Escalation-Primitiv, keine Informations-Disclosure jenseits dessen, was der Prefetcher ohnehin nach %SystemRoot%\Prefetch schreibt, keine Verhaltensänderung. Gelegentlich als Kuriosität in Syscall-Tabellen-Werkzeugen erwähnt, aber kein Teil dokumentierter Malware-TTPs.
Erkennungsmöglichkeiten
Als Baseline-Kuriosität behandeln. Der ETW-Provider Microsoft-Windows-Kernel-Prefetch protokolliert Prefetcher-Statusübergänge; wird NtSerializeBoot von etwas anderem als smss.exe (oder dem Prefetcher-Dienst) aufgerufen, ist das anomal, aber die praktische False-Positive-Kosten sind gering, weil der legitime Aufruferzähler eins ist. Verteidiger müssen das in der Regel nicht verfolgen — Telemetrie-Budget woanders einsetzen.
Direkte Syscall-Beispiele
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtSerializeBoot (SSN 0x195, Win11 24H2)
NtSerializeBoot PROC
mov r10, rcx
mov eax, 195h
syscall
ret
NtSerializeBoot ENDPcSmss-style finalize call
// This is what smss.exe does once the boot phase completes. Calling it again from // a user-mode process is a no-op in practice. extern NTSTATUS NTAPI NtSerializeBoot(VOID); NTSTATUS s = NtSerializeBoot(); // s == STATUS_SUCCESS only inside the one legitimate caller's lifetime.
MITRE ATT&CK-Mappings
Last verified: 2026-05-20