> Windows Syscalls
ntoskrnl.exeT1622T1106

NtClose

Cierra un handle de objeto del kernel (archivo, clave, evento, proceso, hilo, sección, etc.).

Prototipo

NTSTATUS NtClose(
  HANDLE Handle
);

Argumentos

NameTypeDirDescription
HandleHANDLEinHandle al objeto del kernel a cerrar. Debe ser un handle válido y abierto en el proceso actual.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070xFwin10-1507
Win10 16070xFwin10-1607
Win10 17030xFwin10-1703
Win10 17090xFwin10-1709
Win10 18030xFwin10-1803
Win10 18090xFwin10-1809
Win10 19030xFwin10-1903
Win10 19090xFwin10-1909
Win10 20040xFwin10-2004
Win10 20H20xFwin10-20h2
Win10 21H10xFwin10-21h1
Win10 21H20xFwin10-21h2
Win10 22H20xFwin10-22h2
Win11 21H20xFwin11-21h2
Win11 22H20xFwin11-22h2
Win11 23H20xFwin11-23h2
Win11 24H20xFwin11-24h2
Server 20160xFwinserver-2016
Server 20190xFwinserver-2019
Server 20220xFwinserver-2022
Server 20250xFwinserver-2025

Módulo del kernel

ntoskrnl.exeNtClose

APIs relacionadas

CloseHandleNtDuplicateObjectNtQueryObjectNtSetInformationObject

Stub del syscall

4C 8B D1            mov r10, rcx
B8 0F 00 00 00      mov eax, 0xF
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

NtClose conserva el SSN `0xF` sin cambios desde Windows 10 1507 hasta Windows 11 24H2 — uno de los números más estables. Libera la referencia sobre el objeto subyacente vía ObCloseHandle y dispara la excepción de depuración STATUS_INVALID_HANDLE (0xC0000008) cuando se invoca con un handle bogus bajo un depurador y con FLG_ENABLE_CLOSE_EXCEPTIONS activo. Su forma es trivial, pero es uno de los syscalls más llamados en un sistema vivo, lo que produce una mala relación señal/ruido para detección y un excelente lugar para ocultarse.

Uso común por malware

Dos usos distintos: (1) higiene rutinaria — todo loader, injector y ladrón de credenciales debe liberar sus handles o filtrará referencias detectables; (2) anti-depuración — invocar NtClose con handle inválido (p. ej. 0xDEADBEEF) bajo un depurador en modo usuario dispara STATUS_INVALID_HANDLE que el depurador captura primero, permitiendo al malware abortar o bifurcar a lógica señuelo. La prueba es barata, no requiere imports más allá de ntdll y sobrevive a la mayoría de unpackers automáticos.

Oportunidades de detección

NtClose por sí solo es demasiado ruidoso para alertar. Pivotes útiles: secuencias a alta tasa de NtClose con retornos no SUCCESS (heurística para el sondeo anti-debug), proporciones NtOpen*/NtClose desbalanceadas por proceso (fugas de handle), y ETW Microsoft-Windows-Kernel-Audit-API-Calls. Los EDR suelen hookear NtClose en ntdll por consistencia de conteo de referencias; los syscalls directos eluden el hook pero dejan trazas de ObCloseHandle visibles desde un minifilter o callback de kernel.

Ejemplos de syscalls directos

asmx64 direct stub

; Direct syscall stub for NtClose (SSN 0xF, all builds)
NtClose PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 0Fh          ; SSN
    syscall
    ret
NtClose ENDP

cINVALID_HANDLE anti-debug probe

// If a debugger is attached and FLG_ENABLE_CLOSE_EXCEPTIONS is set in the
// process flags, NtClose on a bogus handle raises STATUS_INVALID_HANDLE.
// The debugger swallows the exception first; the malware sees a return code.
#include <windows.h>

typedef NTSTATUS (NTAPI *pNtClose)(HANDLE);

BOOL IsDebuggerPresentViaNtClose(void) {
    pNtClose NtClose = (pNtClose)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtClose");
    __try {
        NtClose((HANDLE)0xDEADBEEF);
    } __except (EXCEPTION_EXECUTE_HANDLER) {
        return FALSE; // exception delivered to us -> no debugger
    }
    return TRUE;      // debugger ate the exception
}

rustwindows-sys cleanup

// Cargo: windows-sys = "0.59" (Win32_Foundation, Win32_System_Threading)
use windows_sys::Win32::Foundation::{CloseHandle, HANDLE};

pub struct OwnedHandle(pub HANDLE);

impl Drop for OwnedHandle {
    fn drop(&mut self) {
        if !self.0.is_null() && self.0 as isize != -1 {
            // CloseHandle wraps NtClose; use NtClose directly to bypass
            // ntdll user-mode hooks on EDR-monitored hosts.
            unsafe { CloseHandle(self.0) };
        }
    }
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20