NtClose
Cierra un handle de objeto del kernel (archivo, clave, evento, proceso, hilo, sección, etc.).
Prototipo
NTSTATUS NtClose( HANDLE Handle );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| Handle | HANDLE | in | Handle al objeto del kernel a cerrar. Debe ser un handle válido y abierto en el proceso actual. |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0xF | win10-1507 |
| Win10 1607 | 0xF | win10-1607 |
| Win10 1703 | 0xF | win10-1703 |
| Win10 1709 | 0xF | win10-1709 |
| Win10 1803 | 0xF | win10-1803 |
| Win10 1809 | 0xF | win10-1809 |
| Win10 1903 | 0xF | win10-1903 |
| Win10 1909 | 0xF | win10-1909 |
| Win10 2004 | 0xF | win10-2004 |
| Win10 20H2 | 0xF | win10-20h2 |
| Win10 21H1 | 0xF | win10-21h1 |
| Win10 21H2 | 0xF | win10-21h2 |
| Win10 22H2 | 0xF | win10-22h2 |
| Win11 21H2 | 0xF | win11-21h2 |
| Win11 22H2 | 0xF | win11-22h2 |
| Win11 23H2 | 0xF | win11-23h2 |
| Win11 24H2 | 0xF | win11-24h2 |
| Server 2016 | 0xF | winserver-2016 |
| Server 2019 | 0xF | winserver-2019 |
| Server 2022 | 0xF | winserver-2022 |
| Server 2025 | 0xF | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 0F 00 00 00 mov eax, 0xF F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
NtClose conserva el SSN `0xF` sin cambios desde Windows 10 1507 hasta Windows 11 24H2 — uno de los números más estables. Libera la referencia sobre el objeto subyacente vía ObCloseHandle y dispara la excepción de depuración STATUS_INVALID_HANDLE (0xC0000008) cuando se invoca con un handle bogus bajo un depurador y con FLG_ENABLE_CLOSE_EXCEPTIONS activo. Su forma es trivial, pero es uno de los syscalls más llamados en un sistema vivo, lo que produce una mala relación señal/ruido para detección y un excelente lugar para ocultarse.
Uso común por malware
Dos usos distintos: (1) higiene rutinaria — todo loader, injector y ladrón de credenciales debe liberar sus handles o filtrará referencias detectables; (2) anti-depuración — invocar NtClose con handle inválido (p. ej. 0xDEADBEEF) bajo un depurador en modo usuario dispara STATUS_INVALID_HANDLE que el depurador captura primero, permitiendo al malware abortar o bifurcar a lógica señuelo. La prueba es barata, no requiere imports más allá de ntdll y sobrevive a la mayoría de unpackers automáticos.
Oportunidades de detección
NtClose por sí solo es demasiado ruidoso para alertar. Pivotes útiles: secuencias a alta tasa de NtClose con retornos no SUCCESS (heurística para el sondeo anti-debug), proporciones NtOpen*/NtClose desbalanceadas por proceso (fugas de handle), y ETW Microsoft-Windows-Kernel-Audit-API-Calls. Los EDR suelen hookear NtClose en ntdll por consistencia de conteo de referencias; los syscalls directos eluden el hook pero dejan trazas de ObCloseHandle visibles desde un minifilter o callback de kernel.
Ejemplos de syscalls directos
asmx64 direct stub
; Direct syscall stub for NtClose (SSN 0xF, all builds)
NtClose PROC
mov r10, rcx ; syscall convention
mov eax, 0Fh ; SSN
syscall
ret
NtClose ENDPcINVALID_HANDLE anti-debug probe
// If a debugger is attached and FLG_ENABLE_CLOSE_EXCEPTIONS is set in the
// process flags, NtClose on a bogus handle raises STATUS_INVALID_HANDLE.
// The debugger swallows the exception first; the malware sees a return code.
#include <windows.h>
typedef NTSTATUS (NTAPI *pNtClose)(HANDLE);
BOOL IsDebuggerPresentViaNtClose(void) {
pNtClose NtClose = (pNtClose)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtClose");
__try {
NtClose((HANDLE)0xDEADBEEF);
} __except (EXCEPTION_EXECUTE_HANDLER) {
return FALSE; // exception delivered to us -> no debugger
}
return TRUE; // debugger ate the exception
}rustwindows-sys cleanup
// Cargo: windows-sys = "0.59" (Win32_Foundation, Win32_System_Threading)
use windows_sys::Win32::Foundation::{CloseHandle, HANDLE};
pub struct OwnedHandle(pub HANDLE);
impl Drop for OwnedHandle {
fn drop(&mut self) {
if !self.0.is_null() && self.0 as isize != -1 {
// CloseHandle wraps NtClose; use NtClose directly to bypass
// ntdll user-mode hooks on EDR-monitored hosts.
unsafe { CloseHandle(self.0) };
}
}
}Mapeos MITRE ATT&CK
Last verified: 2026-05-20