> Windows Syscalls
ntoskrnl.exeT1542.001T1014T1490

NtDeleteDriverEntry

Elimina una EFI_DRIVER_ENTRY registrada por ID, borrando la variable NVRAM UEFI Driver#### correspondiente.

Prototipo

NTSTATUS NtDeleteDriverEntry(
  ULONG Id
);

Argumentos

NameTypeDirDescription
IdULONGinIdentificador asignado por el firmware del controlador a eliminar (valor devuelto previamente por NtAddDriverEntry).

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070xC3win10-1507
Win10 16070xC6win10-1607
Win10 17030xC9win10-1703
Win10 17090xCAwin10-1709
Win10 18030xCBwin10-1803
Win10 18090xCCwin10-1809
Win10 19030xCDwin10-1903
Win10 19090xCDwin10-1909
Win10 20040xD1win10-2004
Win10 20H20xD1win10-20h2
Win10 21H10xD1win10-21h1
Win10 21H20xD2win10-21h2
Win10 22H20xD2win10-22h2
Win11 21H20xD7win11-21h2
Win11 22H20xD8win11-22h2
Win11 23H20xD8win11-23h2
Win11 24H20xDAwin11-24h2
Server 20160xC6winserver-2016
Server 20190xCCwinserver-2019
Server 20220xD6winserver-2022
Server 20250xDAwinserver-2025

Módulo del kernel

ntoskrnl.exeNtDeleteDriverEntry

APIs relacionadas

SetFirmwareEnvironmentVariableW (Driver#### with size 0)NtAddDriverEntryNtModifyDriverEntryNtEnumerateDriverEntriesNtSetSystemEnvironmentValueEx (DriverOrder)

Stub del syscall

4C 8B D1            mov r10, rcx
B8 DA 00 00 00      mov eax, 0xDA
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

Syscall de un único argumento. En UEFI el kernel emite un `EFI_SET_VARIABLE` con `DataSize = 0` contra la variable NVRAM `Driver####` correspondiente, semántica de eliminación definida por el firmware. Se requiere SeSystemEnvironmentPrivilege. El slot DriverOrder correspondiente debe limpiarse por separado vía NtSetSystemEnvironmentValueEx o seguirá referenciando una variable vacía.

Uso común por malware

Dos abusos complementarios. (1) **Limpieza**: tras un payload DXE que ha flasheado su segunda etapa a flash SPI o a un blob NVRAM oculto, el atacante elimina la DRIVER_ENTRY de bootstrap visible para que los `bcdedit /enum FIRMWARE` del defensor y los escaneos CHIPSEC ya no muestren una entrada anómala — el implante vive completamente en el firmware. (2) **Sabotaje**: el ransomware puede borrar entradas de controladores OEM recovery/diagnóstico (controladores DXE de actualización BIOS del proveedor) para inutilizar la ruta de actualización de firmware que la víctima usaría para restaurar la plataforma, complementando los wipers de MBR/GPT.

Oportunidades de detección

ETW Microsoft-Windows-Kernel-Boot registra la eliminación. La heurística de alto valor es la correlación a través de la flota: si un solo host de pronto tiene *menos* DRIVER_ENTRYs que sus pares idénticos en hardware en tu CMDB, ese delta es sospechoso. `tools.uefi.uefivar_fuzz`/`platform.smm_dma` de CHIPSEC y la baseline de Eclypsium pueden señalar la ausencia de entradas OEM esperadas. Auditar 4673 (SeSystemEnvironmentPrivilege) en el host donde ocurrió la eliminación para fijar el proceso padre.

Ejemplos de syscalls directos

asmx64 direct stub (Win11 24H2, SSN 0xDA)

NtDeleteDriverEntry PROC
    mov  r10, rcx          ; ULONG Id
    mov  eax, 0DAh         ; Win11 24H2
    syscall
    ret
NtDeleteDriverEntry ENDP

cPost-flash cleanup pattern

// Conceptual: after the DXE driver has executed once and written its persistent
// payload into SPI/NVRAM, remove the visible bootstrap entry.
extern NTSTATUS NTAPI NtDeleteDriverEntry(ULONG);

NTSTATUS hide_tracks(ULONG bootstrap_id) {
    NTSTATUS s = NtDeleteDriverEntry(bootstrap_id);
    // Caller must also rewrite DriverOrder via NtSetSystemEnvironmentValueEx.
    return s;
}

rustNaked stub

use std::arch::asm;

#[unsafe(naked)]
unsafe extern "system" fn nt_delete_driver_entry(_id: u32) -> i32 {
    asm!(
        "mov r10, rcx",
        "mov eax, 0xDA",   // Win11 24H2
        "syscall",
        "ret",
        options(noreturn),
    );
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20