NtCreateKeyedEvent
Crée un objet keyed event — primitive de synchronisation noyau légère appariant attentes et réveils par clé d'adresse virtuelle.
Prototype
NTSTATUS NtCreateKeyedEvent( PHANDLE KeyedEventHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, ULONG Flags );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| KeyedEventHandle | PHANDLE | out | Reçoit un handle vers le nouvel objet keyed event. |
| DesiredAccess | ACCESS_MASK | in | KEYEDEVENT_WAIT (1), KEYEDEVENT_WAKE (2), ou KEYEDEVENT_ALL_ACCESS. |
| ObjectAttributes | POBJECT_ATTRIBUTES | in | Nom optionnel (ex. \KernelObjects\CritSecOutOfMemoryEvent) + descripteur de sécurité. NULL pour une instance anonyme. |
| Flags | ULONG | in | Réservé — doit être 0. |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0xA4 | win10-1507 |
| Win10 1607 | 0xA6 | win10-1607 |
| Win10 1703 | 0xA9 | win10-1703 |
| Win10 1709 | 0xAA | win10-1709 |
| Win10 1803 | 0xAB | win10-1803 |
| Win10 1809 | 0xAB | win10-1809 |
| Win10 1903 | 0xAC | win10-1903 |
| Win10 1909 | 0xAC | win10-1909 |
| Win10 2004 | 0xB0 | win10-2004 |
| Win10 20H2 | 0xB0 | win10-20h2 |
| Win10 21H1 | 0xB0 | win10-21h1 |
| Win10 21H2 | 0xB1 | win10-21h2 |
| Win10 22H2 | 0xB1 | win10-22h2 |
| Win11 21H2 | 0xB4 | win11-21h2 |
| Win11 22H2 | 0xB5 | win11-22h2 |
| Win11 23H2 | 0xB5 | win11-23h2 |
| Win11 24H2 | 0xB7 | win11-24h2 |
| Server 2016 | 0xA6 | winserver-2016 |
| Server 2019 | 0xAB | winserver-2019 |
| Server 2022 | 0xB3 | winserver-2022 |
| Server 2025 | 0xB7 | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 B7 00 00 00 mov eax, 0xB7 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
Les keyed events sont une primitive de synchronisation Windows volontairement minimale : un unique keyed event peut servir un nombre illimité de waiters car le rendez-vous se fait sur une *clé* (toute valeur de la taille d'un pointeur, conventionnellement une adresse virtuelle) plutôt que sur l'objet event lui-même. Le noyau maintient une table de hachage par event indexée par `(process, key)` ; `NtWaitForKeyedEvent` bloque jusqu'à ce qu'un *autre thread* appelle `NtReleaseKeyedEvent` avec la même clé. En pratique, quasiment chaque processus utilise l'unique instance globale à `\KernelObjects\CritSecOutOfMemoryEvent`, que `ntdll.dll` ouvre au démarrage et stocke dans `peb->KeyedEventHandle`. Créer un keyed event neuf avec `NtCreateKeyedEvent` est rare hors outils de diagnostic et d'une poignée d'allocateurs historiques (l'event global gère la contention depuis Vista).
Usage courant par les malwares
Signal faible. L'attrait principal pour l'usage offensif est *l'absence de nom* : un keyed event créé avec `ObjectAttributes` NULL ne produit aucun objet noyau nommé, aucun handle de fichier, aucune empreinte réseau, et un sleep-mask ou stage gate bâti sur `NtWaitForKeyedEvent` (apparié à `NtReleaseKeyedEvent` depuis un thread pair) est invisible à l'énumération d'events / sémaphores / mutexes nommés qu'effectuent certains détecteurs de sandbox. Quelques designs d'obfuscation de sommeil (famille Ekko / similaires, certains Foliage / TimerHandler) utilisent l'event global `\KernelObjects\CritSecOutOfMemoryEvent` comme point de synchro plutôt que de créer le leur — ce chemin n'implique même pas `NtCreateKeyedEvent`. Les appels directs à `NtCreateKeyedEvent` depuis du code non Microsoft sont inhabituels mais pas accablants.
Opportunités de détection
Essentiellement indétectable en tant que syscall. Aucun événement Sysmon pour la création de keyed event, aucun provider ETW ne le surface proprement. L'énumération forensique via `!handle` dans WinDbg ou la vue handles de SystemInformer montre des objets `KeyedEvent` par processus, mais l'event global est détenu par presque chaque processus — le seul artefact utile est donc un handle `KeyedEvent` *anonyme* dans un processus qui n'a rien à faire avec l'infrastructure de critical section bas niveau. Et même là, les faux positifs d'allocateurs in-process et de bibliothèques d'instrumentation sont nombreux.
Exemples de syscalls directs
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtCreateKeyedEvent (SSN 0xB7 on Win11 24H2)
NtCreateKeyedEvent PROC
mov r10, rcx ; KeyedEventHandle
mov eax, 0B7h ; SSN — drifts per build
syscall
ret
NtCreateKeyedEvent ENDPcPrivate unnamed keyed event
// No public Win32 wrapper. Almost all callers use the global instance instead.
#include <windows.h>
#include <winternl.h>
#define KEYEDEVENT_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED | 0x3)
typedef NTSTATUS (NTAPI *pNtCreateKeyedEvent)(
PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, ULONG);
HANDLE MakePrivateKeyedEvent(void) {
HANDLE h = NULL;
pNtCreateKeyedEvent fn = (pNtCreateKeyedEvent)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtCreateKeyedEvent");
fn(&h, KEYEDEVENT_ALL_ACCESS, NULL /* unnamed */, 0);
return h;
}Mappings MITRE ATT&CK
Last verified: 2026-05-20