> Windows Syscalls
ntoskrnl.exeT1106

NtCompressKey

Fuerza la desfragmentación / compactación del archivo de respaldo de una colmena de registro cargada.

Prototipo

NTSTATUS NtCompressKey(
  HANDLE Key
);

Argumentos

NameTypeDirDescription
KeyHANDLEinHandle a una clave de registro dentro de la colmena a compactar; toda la colmena que contiene esta clave se reescribe.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x98win10-1507
Win10 16070x99win10-1607
Win10 17030x9Bwin10-1703
Win10 17090x9Cwin10-1709
Win10 18030x9Dwin10-1803
Win10 18090x9Dwin10-1809
Win10 19030x9Dwin10-1903
Win10 19090x9Dwin10-1909
Win10 20040x9Fwin10-2004
Win10 20H20x9Fwin10-20h2
Win10 21H10x9Fwin10-21h1
Win10 21H20x9Fwin10-21h2
Win10 22H20x9Fwin10-22h2
Win11 21H20xA1win11-21h2
Win11 22H20xA1win11-22h2
Win11 23H20xA1win11-23h2
Win11 24H20xA3win11-24h2
Server 20160x99winserver-2016
Server 20190x9Dwinserver-2019
Server 20220xA1winserver-2022
Server 20250xA3winserver-2025

Módulo del kernel

ntoskrnl.exeNtCompressKey

APIs relacionadas

NtLoadKeyNtLoadKeyExNtSaveKeyNtSaveKeyExNtFlushKey

Stub del syscall

4C 8B D1            mov r10, rcx
B8 A3 00 00 00      mov eax, 0xA3
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

`NtCompressKey` es una primitiva de mantenimiento que reescribe el archivo de colmena en disco que contiene la clave dada para recuperar el espacio dejado por celdas eliminadas. Es la contraparte de kernel de lo que `regedit` hace cuando ofrece compactar una colmena al importar. La implementación en `ntoskrnl.exe` (`CmpCompressKey` → `CmpDoCompressKey`) recorre el cell map, construye un nuevo archivo contiguo, lo fsynchroniza y lo intercambia atómicamente. No existe wrapper Win32 público; los consumidores deben `GetProcAddress("NtCompressKey")` desde `ntdll.dll`.

Uso común por malware

Prácticamente sin señal ofensiva. El syscall no lee, escribe ni expone contenido de la colmena de forma útil para un atacante, y requiere un handle escribible a una colmena ya cargada — quien lo tenga ya posee acceso completo lectura/escritura a los datos. Ocasionalmente aparece en herramientas red-team como *cleanup* — tras cargar una colmena offline, recolectar datos y dejar claves temporales, un `NtCompressKey` final encoge el archivo para que el revisor post-incidente no note una colmena sobredimensionada. A lo sumo una curiosidad anti-forense.

Oportunidades de detección

No vale la pena detectarlo por sí solo — el volumen de falsos positivos de herramientas legítimas de mantenimiento de registro (`regedit /a`, compactadores de terceros, algunos utilitarios de imagen OEM) ahoga la señal. Si hace falta: el proveedor ETW `Microsoft-Windows-Kernel-Registry` emite un evento HiveCompression y `Microsoft-Windows-Kernel-File` mostrará el archivo `.compress` / `.tmp` temporal escrito junto al original. Sysmon no lo expone directamente.

Ejemplos de syscalls directos

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtCompressKey (SSN 0xA3 on Win11 24H2)
NtCompressKey PROC
    mov  r10, rcx          ; Key
    mov  eax, 0A3h         ; SSN — drifts per build
    syscall
    ret
NtCompressKey ENDP

cCompact a hive after offline editing

// No public Win32 wrapper — resolve from ntdll directly.
#include <windows.h>
#include <winternl.h>

typedef NTSTATUS (NTAPI *pNtCompressKey)(HANDLE);

NTSTATUS CompactHive(HKEY hMountedHiveRoot) {
    pNtCompressKey fn = (pNtCompressKey)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtCompressKey");
    return fn ? fn((HANDLE)hMountedHiveRoot) : STATUS_NOT_IMPLEMENTED;
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20