> Windows Syscalls
ntoskrnl.exeT1542.003T1490T1542

NtDeleteBootEntry

Elimina una BOOT_ENTRY del BCD por ID, borrando la variable de firmware correspondiente en UEFI.

Prototipo

NTSTATUS NtDeleteBootEntry(
  ULONG Id
);

Argumentos

NameTypeDirDescription
IdULONGinIdentificador asignado por el BCD de la entrada de arranque a eliminar (el valor devuelto previamente por NtAddBootEntry o visto vía NtEnumerateBootEntries).

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070xC2win10-1507
Win10 16070xC5win10-1607
Win10 17030xC8win10-1703
Win10 17090xC9win10-1709
Win10 18030xCAwin10-1803
Win10 18090xCBwin10-1809
Win10 19030xCCwin10-1903
Win10 19090xCCwin10-1909
Win10 20040xD0win10-2004
Win10 20H20xD0win10-20h2
Win10 21H10xD0win10-21h1
Win10 21H20xD1win10-21h2
Win10 22H20xD1win10-22h2
Win11 21H20xD6win11-21h2
Win11 22H20xD7win11-22h2
Win11 23H20xD7win11-23h2
Win11 24H20xD9win11-24h2
Server 20160xC5winserver-2016
Server 20190xCBwinserver-2019
Server 20220xD5winserver-2022
Server 20250xD9winserver-2025

Módulo del kernel

ntoskrnl.exeNtDeleteBootEntry

APIs relacionadas

BcdDeleteObject (bcd.dll)bcdedit.exe /deleteSetFirmwareEnvironmentVariableW (with size 0)NtAddBootEntryNtModifyBootEntryNtEnumerateBootEntries

Stub del syscall

4C 8B D1            mov r10, rcx
B8 D9 00 00 00      mov eax, 0xD9
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

Syscall de un único argumento — solo el ID del BCD. Mapea a `BcdDeleteObject` en modo usuario y a `bcdedit /delete {GUID}` en la línea de comandos. Requiere SeSystemEnvironmentPrivilege. En UEFI, el kernel emite un `EFI_SET_VARIABLE` con `DataSize = 0` contra la variable NVRAM `Boot####` correspondiente, que es la semántica de eliminación definida por el firmware.

Uso común por malware

Los bootkits usan NtDeleteBootEntry para **limpieza forense** y **anti-recuperación**. Limpieza forense: tras usar una entrada de arranque temporal para flashear un implante UEFI (patrón LoJax / MosaicRegressor), borrar la entrada auxiliar para que un `bcdedit /enum FIRMWARE` post-incidente no muestre nada. Anti-recuperación: los ransomware (notablemente un derivado de TrickBoot) borran las entradas `{recovery}` y Windows RE para que las víctimas no puedan arrancar WinRE y restaurar desde VSS o reparar MBR/GPT. Los wipers van más lejos y borran `{bootmgr}` para inutilizar el host tras el cifrado.

Oportunidades de detección

ETW Microsoft-Windows-Kernel-Boot es la fuente principal; el evento de eliminación identifica el GUID retirado. Combinar con una instantánea de enumeración periódica — si una entrada presente en el `bcdedit /enum FIRMWARE` de anoche no aparece hoy **sin** un ticket de acción admin correspondiente, es una alerta de alta confianza. La eliminación de `{default}`, `{bootmgr}` o cualquier GUID `{recovery*}` debe tratarse como indicador de ataque destructivo (playbook de ransomware con BCDEdit) y disparar una comprobación inmediata de integridad VSS/copias de seguridad.

Ejemplos de syscalls directos

asmx64 direct stub (Win11 24H2, SSN 0xD9)

NtDeleteBootEntry PROC
    mov  r10, rcx          ; ULONG Id
    mov  eax, 0D9h         ; Win11 24H2
    syscall
    ret
NtDeleteBootEntry ENDP

cAnti-recovery sweep (DO NOT RUN)

// Mirrors what ransomware does after encryption to prevent WinRE-based recovery.
// Public defensive analysis only.
NTSTATUS sweep_recovery(void) {
    // IDs harvested from NtEnumerateBootEntries; filter on FriendlyName == "Windows Recovery Environment".
    ULONG recovery_ids[] = { 0x10, 0x11 };
    for (size_t i = 0; i < ARRAYSIZE(recovery_ids); ++i) {
        NTSTATUS s = NtDeleteBootEntry(recovery_ids[i]);
        if (!NT_SUCCESS(s)) return s;
    }
    return STATUS_SUCCESS;
}

rustNaked stub

use std::arch::asm;

#[unsafe(naked)]
unsafe extern "system" fn nt_delete_boot_entry(_id: u32) -> i32 {
    asm!(
        "mov r10, rcx",
        "mov eax, 0xD9",   // Win11 24H2
        "syscall",
        "ret",
        options(noreturn),
    );
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20