> Windows Syscalls
ntoskrnl.exeT1486T1491.001T1106

NtSetVolumeInformationFile

Modifica propiedades de volumen escribibles — principalmente la etiqueta — del volumen asociado a un handle de archivo.

Prototipo

NTSTATUS NtSetVolumeInformationFile(
  HANDLE                 FileHandle,
  PIO_STATUS_BLOCK       IoStatusBlock,
  PVOID                  FsInformation,
  ULONG                  Length,
  FS_INFORMATION_CLASS   FsInformationClass
);

Argumentos

NameTypeDirDescription
FileHandleHANDLEinHandle a la raíz del volumen o un archivo en él; abierto con FILE_WRITE_ATTRIBUTES.
IoStatusBlockPIO_STATUS_BLOCKoutRecibe el estado de finalización de la operación set.
FsInformationPVOIDinBuffer de entrada suministrado por el llamador con la estructura correspondiente a FsInformationClass (p. ej. FILE_FS_LABEL_INFORMATION).
LengthULONGinTamaño en bytes del buffer FsInformation.
FsInformationClassFS_INFORMATION_CLASSinClase a establecer; en la práctica casi siempre FileFsLabelInformation (2) o FileFsControlInformation (6).

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x196win10-1507
Win10 16070x19Fwin10-1607
Win10 17030x1A5win10-1703
Win10 17090x1A8win10-1709
Win10 18030x1AAwin10-1803
Win10 18090x1ABwin10-1809
Win10 19030x1ACwin10-1903
Win10 19090x1ACwin10-1909
Win10 20040x1B2win10-2004
Win10 20H20x1B2win10-20h2
Win10 21H10x1B2win10-21h1
Win10 21H20x1B4win10-21h2
Win10 22H20x1B4win10-22h2
Win11 21H20x1BDwin11-21h2
Win11 22H20x1C1win11-22h2
Win11 23H20x1C1win11-23h2
Win11 24H20x1C4win11-24h2
Server 20160x19Fwinserver-2016
Server 20190x1ABwinserver-2019
Server 20220x1BAwinserver-2022
Server 20250x1C4winserver-2025

Módulo del kernel

ntoskrnl.exeNtSetVolumeInformationFile

APIs relacionadas

SetVolumeLabelWGetVolumeInformationWNtQueryVolumeInformationFileFSCTL_SET_OBJECT_IDNtSetInformationFile

Stub del syscall

4C 8B D1            mov r10, rcx
B8 C4 01 00 00      mov eax, 0x1C4
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

Mucho más rara que su hermana `Query` porque los valores FS_INFORMATION_CLASS que los filesystems realmente aceptan en la ruta `Set` son limitados: `FileFsLabelInformation` (renombrar el volumen), `FileFsControlInformation` (política de cuota en NTFS), y `FileFsObjectIdInformation` (asignación de object-id NTFS). La mayoría de las demás clases devuelven `STATUS_INVALID_INFO_CLASS`. El IRP pasa por `IRP_MJ_SET_VOLUME_INFORMATION` y llega a NTFS en `NtfsFsdSetVolumeInformation`. Renombrar un volumen requiere el privilegio `SE_MANAGE_VOLUME_NAME`, que tienen administradores interactivos y `LocalSystem` — no usuarios estándar — así que el uso de este syscall desde un contexto no-admin es en sí mismo telemetría inusual.

Uso común por malware

Nicho pero visible. Un puñado de familias ransomware — notoriamente **Petya/NotPetya** (2017, cifrador MBR) y algunos afiliados **Babuk** / **DarkSide** — emiten `FileFsLabelInformation` para sobrescribir el nombre del volumen con su marca o una cadena `READ_ME_*`, para que cualquier pantalla de recuperación pre-boot o `dir C:\` muestre el marcador de rescate antes de que el usuario abra la nota. **BlackMatter** (2021) renombraba etiquetas a un hash corto correspondiente a su ransom ID. Más allá del ransomware, la llamada está esencialmente sin uso por malware commodity — no hay primitiva ofensiva aquí, solo branding.

Oportunidades de detección

Microsoft Defender for Endpoint expone cambios de etiqueta vía `DeviceEvents` ActionType `VolumeMounted` / `VolumeRenamed`. Sysmon *no* cubre esto directamente pero las trazas IRP ETW `Microsoft-Windows-Kernel-File` muestran `IRP_MJ_SET_VOLUME_INFORMATION` con clase 2 (`FileFsLabelInformation`). Como la ruta privilegiada es tan estrecha, *cualquier* `NtSetVolumeInformationFile(FileFsLabelInformation)` desde un proceso no confiable — algo que no sea `explorer.exe`, `cmd.exe label`, `format.com` o un producto de backup conocido — debe considerarse indicación ransomware de alta confianza, sobre todo encadenado con enumeración `NtQueryVolumeInformationFile` de todas las letras de unidad segundos antes.

Ejemplos de syscalls directos

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtSetVolumeInformationFile (SSN 0x1C4 on Win11 24H2 / Server 2025)
NtSetVolumeInformationFile PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 1C4h         ; SSN — drifts; resolve dynamically for portability
    syscall
    ret
NtSetVolumeInformationFile ENDP

cPetya-style volume relabel

// Requires SE_MANAGE_VOLUME_NAME privilege. Petya/NotPetya stamped
// volume labels with their ransom marker — visible in pre-boot UI.
#include <ntstatus.h>

typedef struct _FILE_FS_LABEL_INFORMATION {
    ULONG VolumeLabelLength;        // bytes, not chars
    WCHAR VolumeLabel[1];
} FILE_FS_LABEL_INFORMATION;

WCHAR  label[] = L"READ_ME_NOW";
SIZE_T bytes   = sizeof(label) - sizeof(WCHAR);
BYTE   buf[sizeof(FILE_FS_LABEL_INFORMATION) + sizeof(label)];
FILE_FS_LABEL_INFORMATION* p = (FILE_FS_LABEL_INFORMATION*)buf;
p->VolumeLabelLength = (ULONG)bytes;
memcpy(p->VolumeLabel, label, bytes);

IO_STATUS_BLOCK iosb;
NTSTATUS st = NtSetVolumeInformationFile(
    hVolumeRoot, &iosb, p,
    (ULONG)(sizeof(FILE_FS_LABEL_INFORMATION) + bytes),
    2 /* FileFsLabelInformation */);

rustSetVolumeLabelW wrapper (windows-sys)

// Cargo: windows-sys = "0.59" (Win32_Storage_FileSystem)
use windows_sys::Win32::Storage::FileSystem::SetVolumeLabelW;
use std::ffi::OsStr;
use std::os::windows::ffi::OsStrExt;

// Internally calls NtSetVolumeInformationFile(FileFsLabelInformation).
fn relabel(root: &str, label: &str) -> bool {
    let to_wide = |s: &str| -> Vec<u16> { OsStr::new(s).encode_wide().chain(Some(0)).collect() };
    let r = to_wide(root);
    let l = to_wide(label);
    unsafe { SetVolumeLabelW(r.as_ptr(), l.as_ptr()) != 0 }
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20