> Windows Syscalls
ntoskrnl.exeT1106

NtCompressKey

Force la défragmentation / compactage du fichier source d'une ruche de registre chargée.

Prototype

NTSTATUS NtCompressKey(
  HANDLE Key
);

Arguments

NameTypeDirDescription
KeyHANDLEinHandle vers une clé de registre dans la ruche à compacter ; toute la ruche contenant cette clé est réécrite.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x98win10-1507
Win10 16070x99win10-1607
Win10 17030x9Bwin10-1703
Win10 17090x9Cwin10-1709
Win10 18030x9Dwin10-1803
Win10 18090x9Dwin10-1809
Win10 19030x9Dwin10-1903
Win10 19090x9Dwin10-1909
Win10 20040x9Fwin10-2004
Win10 20H20x9Fwin10-20h2
Win10 21H10x9Fwin10-21h1
Win10 21H20x9Fwin10-21h2
Win10 22H20x9Fwin10-22h2
Win11 21H20xA1win11-21h2
Win11 22H20xA1win11-22h2
Win11 23H20xA1win11-23h2
Win11 24H20xA3win11-24h2
Server 20160x99winserver-2016
Server 20190x9Dwinserver-2019
Server 20220xA1winserver-2022
Server 20250xA3winserver-2025

Module noyau

ntoskrnl.exeNtCompressKey

APIs liées

NtLoadKeyNtLoadKeyExNtSaveKeyNtSaveKeyExNtFlushKey

Stub du syscall

4C 8B D1            mov r10, rcx
B8 A3 00 00 00      mov eax, 0xA3
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

`NtCompressKey` est une primitive de maintenance qui réécrit le fichier ruche sur disque contenant la clé fournie pour récupérer l'espace laissé par les cellules supprimées. C'est le pendant noyau de ce que `regedit` fait quand il propose de compacter une ruche à l'import. L'implémentation dans `ntoskrnl.exe` (`CmpCompressKey` → `CmpDoCompressKey`) parcourt le cell map, construit un nouveau fichier ruche contigu, le fsync et l'échange atomiquement. Aucun wrapper Win32 public ; les consommateurs doivent `GetProcAddress("NtCompressKey")` depuis `ntdll.dll`.

Usage courant par les malwares

Pratiquement aucun signal offensif. Le syscall ne lit, n'écrit ni n'expose le contenu de la ruche d'une manière utile à un attaquant, et il exige un handle écrivable sur une ruche déjà chargée — quiconque l'a possède déjà un accès lecture/écriture complet aux données. Parfois vu dans des outils red-team en *cleanup* — après avoir chargé une ruche hors-ligne, récolté les données et déposé des clés temporaires, un dernier `NtCompressKey` rétrécit le fichier pour qu'un examen post-incident ne remarque pas une ruche surdimensionnée. C'est tout au plus une curiosité anti-forensique.

Opportunités de détection

Pas digne d'être détecté seul — le volume de faux positifs issus d'outils de maintenance registre légitimes (`regedit /a`, compacteurs tiers, certains utilitaires d'imagerie OEM) noie le signal. Si besoin : le provider ETW `Microsoft-Windows-Kernel-Registry` émet un événement HiveCompression et `Microsoft-Windows-Kernel-File` montrera le fichier ruche temporaire `.compress` / `.tmp` écrit à côté de l'original. Sysmon ne surface pas cela directement.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtCompressKey (SSN 0xA3 on Win11 24H2)
NtCompressKey PROC
    mov  r10, rcx          ; Key
    mov  eax, 0A3h         ; SSN — drifts per build
    syscall
    ret
NtCompressKey ENDP

cCompact a hive after offline editing

// No public Win32 wrapper — resolve from ntdll directly.
#include <windows.h>
#include <winternl.h>

typedef NTSTATUS (NTAPI *pNtCompressKey)(HANDLE);

NTSTATUS CompactHive(HKEY hMountedHiveRoot) {
    pNtCompressKey fn = (pNtCompressKey)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtCompressKey");
    return fn ? fn((HANDLE)hMountedHiveRoot) : STATUS_NOT_IMPLEMENTED;
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20