NtDeleteBootEntry
Elimina una BOOT_ENTRY del BCD por ID, borrando la variable de firmware correspondiente en UEFI.
Prototipo
NTSTATUS NtDeleteBootEntry( ULONG Id );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| Id | ULONG | in | Identificador asignado por el BCD de la entrada de arranque a eliminar (el valor devuelto previamente por NtAddBootEntry o visto vía NtEnumerateBootEntries). |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0xC2 | win10-1507 |
| Win10 1607 | 0xC5 | win10-1607 |
| Win10 1703 | 0xC8 | win10-1703 |
| Win10 1709 | 0xC9 | win10-1709 |
| Win10 1803 | 0xCA | win10-1803 |
| Win10 1809 | 0xCB | win10-1809 |
| Win10 1903 | 0xCC | win10-1903 |
| Win10 1909 | 0xCC | win10-1909 |
| Win10 2004 | 0xD0 | win10-2004 |
| Win10 20H2 | 0xD0 | win10-20h2 |
| Win10 21H1 | 0xD0 | win10-21h1 |
| Win10 21H2 | 0xD1 | win10-21h2 |
| Win10 22H2 | 0xD1 | win10-22h2 |
| Win11 21H2 | 0xD6 | win11-21h2 |
| Win11 22H2 | 0xD7 | win11-22h2 |
| Win11 23H2 | 0xD7 | win11-23h2 |
| Win11 24H2 | 0xD9 | win11-24h2 |
| Server 2016 | 0xC5 | winserver-2016 |
| Server 2019 | 0xCB | winserver-2019 |
| Server 2022 | 0xD5 | winserver-2022 |
| Server 2025 | 0xD9 | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 D9 00 00 00 mov eax, 0xD9 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
Syscall de un único argumento — solo el ID del BCD. Mapea a `BcdDeleteObject` en modo usuario y a `bcdedit /delete {GUID}` en la línea de comandos. Requiere SeSystemEnvironmentPrivilege. En UEFI, el kernel emite un `EFI_SET_VARIABLE` con `DataSize = 0` contra la variable NVRAM `Boot####` correspondiente, que es la semántica de eliminación definida por el firmware.
Uso común por malware
Los bootkits usan NtDeleteBootEntry para **limpieza forense** y **anti-recuperación**. Limpieza forense: tras usar una entrada de arranque temporal para flashear un implante UEFI (patrón LoJax / MosaicRegressor), borrar la entrada auxiliar para que un `bcdedit /enum FIRMWARE` post-incidente no muestre nada. Anti-recuperación: los ransomware (notablemente un derivado de TrickBoot) borran las entradas `{recovery}` y Windows RE para que las víctimas no puedan arrancar WinRE y restaurar desde VSS o reparar MBR/GPT. Los wipers van más lejos y borran `{bootmgr}` para inutilizar el host tras el cifrado.
Oportunidades de detección
ETW Microsoft-Windows-Kernel-Boot es la fuente principal; el evento de eliminación identifica el GUID retirado. Combinar con una instantánea de enumeración periódica — si una entrada presente en el `bcdedit /enum FIRMWARE` de anoche no aparece hoy **sin** un ticket de acción admin correspondiente, es una alerta de alta confianza. La eliminación de `{default}`, `{bootmgr}` o cualquier GUID `{recovery*}` debe tratarse como indicador de ataque destructivo (playbook de ransomware con BCDEdit) y disparar una comprobación inmediata de integridad VSS/copias de seguridad.
Ejemplos de syscalls directos
asmx64 direct stub (Win11 24H2, SSN 0xD9)
NtDeleteBootEntry PROC
mov r10, rcx ; ULONG Id
mov eax, 0D9h ; Win11 24H2
syscall
ret
NtDeleteBootEntry ENDPcAnti-recovery sweep (DO NOT RUN)
// Mirrors what ransomware does after encryption to prevent WinRE-based recovery.
// Public defensive analysis only.
NTSTATUS sweep_recovery(void) {
// IDs harvested from NtEnumerateBootEntries; filter on FriendlyName == "Windows Recovery Environment".
ULONG recovery_ids[] = { 0x10, 0x11 };
for (size_t i = 0; i < ARRAYSIZE(recovery_ids); ++i) {
NTSTATUS s = NtDeleteBootEntry(recovery_ids[i]);
if (!NT_SUCCESS(s)) return s;
}
return STATUS_SUCCESS;
}rustNaked stub
use std::arch::asm;
#[unsafe(naked)]
unsafe extern "system" fn nt_delete_boot_entry(_id: u32) -> i32 {
asm!(
"mov r10, rcx",
"mov eax, 0xD9", // Win11 24H2
"syscall",
"ret",
options(noreturn),
);
}Mapeos MITRE ATT&CK
Last verified: 2026-05-20