> Windows Syscalls
ntoskrnl.exeT1562.001T1106

NtTerminateJobObject

Termina atómicamente cada proceso actualmente asignado a un job object.

Prototipo

NTSTATUS NtTerminateJobObject(
  HANDLE   JobHandle,
  NTSTATUS ExitStatus
);

Argumentos

NameTypeDirDescription
JobHandleHANDLEinHandle al job object, requiriendo acceso JOB_OBJECT_TERMINATE. Todos los procesos del job — y de cualquier job hijo anidado — son terminados.
ExitStatusNTSTATUSinCódigo de salida reportado para cada proceso terminado vía GetExitCodeProcess.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x1A2win10-1507
Win10 16070x1ABwin10-1607
Win10 17030x1B1win10-1703
Win10 17090x1B5win10-1709
Win10 18030x1B7win10-1803
Win10 18090x1B8win10-1809
Win10 19030x1B9win10-1903
Win10 19090x1B9win10-1909
Win10 20040x1BFwin10-2004
Win10 20H20x1BFwin10-20h2
Win10 21H10x1BFwin10-21h1
Win10 21H20x1C1win10-21h2
Win10 22H20x1C1win10-22h2
Win11 21H20x1CBwin11-21h2
Win11 22H20x1CFwin11-22h2
Win11 23H20x1CFwin11-23h2
Win11 24H20x1D2win11-24h2
Server 20160x1ABwinserver-2016
Server 20190x1B8winserver-2019
Server 20220x1C7winserver-2022
Server 20250x1D2winserver-2025

Módulo del kernel

ntoskrnl.exeNtTerminateJobObject

APIs relacionadas

TerminateJobObjectNtTerminateProcessNtCreateJobObjectNtAssignProcessToJobObjectNtIsProcessInJob

Stub del syscall

4C 8B D1            mov r10, rcx
B8 D2 01 00 00      mov eax, 0x1D2
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

NtTerminateJobObject es el lado kernel de `TerminateJobObject`. El kernel recorre la lista de procesos del job (bajo PspJobLock) y emite `PspTerminateProcess` contra cada uno, así que el kill es efectivamente atómico desde el punto de vista de un proceso individual — sin ventana de carrera donde un hijo pueda salir del job. El SSN se mueve en cada release mayor (`0x1B9` Win10 1903, `0x1BF` 2004, `0x1D2` Win11 24H2 / Server 2025), la resolución dinámica es obligatoria para payloads cross-build. El caller legítimo emblemático es el proceso del navegador Chromium reciclando sus jobs renderer / GPU / utility, y `cmd /c taskkill /T /F` sobre una raíz de árbol de procesos en job.

Uso común por malware

Comparativamente raro en herramienta ofensiva — la mayoría de atacantes prefieren `NtTerminateProcess` contra procesos EDR nombrados individualmente (Conti, LockBit, BlackCat lo hacen así). Donde NtTerminateJobObject *aparece* es en (1) ransomware anti-análisis que, una vez detectado y obtenido un handle a su job contenedor Cuckoo / Joe Sandbox, mata toda la cohorte sandbox para interrumpir la recolección de artefactos; (2) backdoors custom que envuelven helpers user-mode víctima en un job precisamente para poder desmantelarlos con un único syscall al desinstalar; (3) tooling red-team que, habiendo abusado PROCESS_SET_QUOTA / JOB_OBJECT_ASSIGN_PROCESS para meter un sensor EDR en un job controlado, mata el job entero para evadir la autoprotección por proceso. La técnica es ruidosa, fácil de detectar y casi nunca vista en loaders de commodity.

Oportunidades de detección

ETW `Microsoft-Windows-Kernel-Process/ProcessStop` se dispara una vez por proceso muerto con un cluster de timestamps muy próximos y compartidos — la pista clara de una terminación a nivel de job versus un loop `taskkill` secuencial. Los callbacks PsSetCreateProcessNotifyRoutineEx ven el mismo patrón. Sysmon Event ID 5 (`ProcessTerminate`) carece del campo PID terminador pero la ráfaga temporal sigue siendo característica. Regla de alta fidelidad: 5+ procesos del mismo job acabando en una ventana de 50 ms, terminados por un proceso fuera de su cadena padre. La autoprotección EDR (PPL en `MsMpEng.exe`, flag de proceso protegido de Defender en `MsSense.exe`) impide que NtTerminateJobObject mate a Defender / MDE incluso desde SYSTEM — haciendo de esta técnica un callejón sin salida conocido contra los EDR modernos protected-process.

Ejemplos de syscalls directos

asmx64 stub (Win11 24H2 SSN 0x1D2)

; Direct syscall stub for NtTerminateJobObject
NtTerminateJobObject PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 1D2h         ; SSN (Win11 24H2 / Server 2025)
    syscall
    ret
NtTerminateJobObject ENDP

cBrowser-style sandbox recycle

// Recycle a renderer cohort: open the named job we own and terminate it.
#include <windows.h>

DWORD RecycleSandbox(const wchar_t *job_name) {
    HANDLE h = OpenJobObjectW(JOB_OBJECT_TERMINATE, FALSE, job_name);
    if (!h) return GetLastError();
    DWORD err = 0;
    if (!TerminateJobObject(h, 0xDEAD0001))  // STATUS-style exit
        err = GetLastError();
    CloseHandle(h);
    return err;
}

cAnti-sandbox: tear down Cuckoo monitor cohort

// Hostile (defensive PoC): if we detect we're inside a sandbox job and
// can open a handle to it with TERMINATE rights, kill every sibling.
// In practice the monitor strips JOB_OBJECT_TERMINATE from descendants —
// this rarely works, hence why ransomware prefers per-process killing.
#include <windows.h>

typedef NTSTATUS (NTAPI *pNtTerminateJobObject)(HANDLE, NTSTATUS);

BOOL NukeContainingJob(void) {
    // Acquire a handle via OpenProcess + duplicating the job from a sibling
    // is a non-trivial dance; abbreviated here.
    HANDLE h_job = /* ... */ NULL;
    if (!h_job) return FALSE;
    pNtTerminateJobObject NtTerminateJobObject = (pNtTerminateJobObject)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtTerminateJobObject");
    return NtTerminateJobObject(h_job, 0) == 0;
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20