> Windows Syscalls
ntoskrnl.exeT1106

NtCreateKeyedEvent

Crée un objet keyed event — primitive de synchronisation noyau légère appariant attentes et réveils par clé d'adresse virtuelle.

Prototype

NTSTATUS NtCreateKeyedEvent(
  PHANDLE            KeyedEventHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  ULONG              Flags
);

Arguments

NameTypeDirDescription
KeyedEventHandlePHANDLEoutReçoit un handle vers le nouvel objet keyed event.
DesiredAccessACCESS_MASKinKEYEDEVENT_WAIT (1), KEYEDEVENT_WAKE (2), ou KEYEDEVENT_ALL_ACCESS.
ObjectAttributesPOBJECT_ATTRIBUTESinNom optionnel (ex. \KernelObjects\CritSecOutOfMemoryEvent) + descripteur de sécurité. NULL pour une instance anonyme.
FlagsULONGinRéservé — doit être 0.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070xA4win10-1507
Win10 16070xA6win10-1607
Win10 17030xA9win10-1703
Win10 17090xAAwin10-1709
Win10 18030xABwin10-1803
Win10 18090xABwin10-1809
Win10 19030xACwin10-1903
Win10 19090xACwin10-1909
Win10 20040xB0win10-2004
Win10 20H20xB0win10-20h2
Win10 21H10xB0win10-21h1
Win10 21H20xB1win10-21h2
Win10 22H20xB1win10-22h2
Win11 21H20xB4win11-21h2
Win11 22H20xB5win11-22h2
Win11 23H20xB5win11-23h2
Win11 24H20xB7win11-24h2
Server 20160xA6winserver-2016
Server 20190xABwinserver-2019
Server 20220xB3winserver-2022
Server 20250xB7winserver-2025

Module noyau

ntoskrnl.exeNtCreateKeyedEvent

APIs liées

NtOpenKeyedEventNtWaitForKeyedEventNtReleaseKeyedEventRtlInitializeCriticalSectionWaitOnAddressWakeByAddressSingle

Stub du syscall

4C 8B D1            mov r10, rcx
B8 B7 00 00 00      mov eax, 0xB7
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Les keyed events sont une primitive de synchronisation Windows volontairement minimale : un unique keyed event peut servir un nombre illimité de waiters car le rendez-vous se fait sur une *clé* (toute valeur de la taille d'un pointeur, conventionnellement une adresse virtuelle) plutôt que sur l'objet event lui-même. Le noyau maintient une table de hachage par event indexée par `(process, key)` ; `NtWaitForKeyedEvent` bloque jusqu'à ce qu'un *autre thread* appelle `NtReleaseKeyedEvent` avec la même clé. En pratique, quasiment chaque processus utilise l'unique instance globale à `\KernelObjects\CritSecOutOfMemoryEvent`, que `ntdll.dll` ouvre au démarrage et stocke dans `peb->KeyedEventHandle`. Créer un keyed event neuf avec `NtCreateKeyedEvent` est rare hors outils de diagnostic et d'une poignée d'allocateurs historiques (l'event global gère la contention depuis Vista).

Usage courant par les malwares

Signal faible. L'attrait principal pour l'usage offensif est *l'absence de nom* : un keyed event créé avec `ObjectAttributes` NULL ne produit aucun objet noyau nommé, aucun handle de fichier, aucune empreinte réseau, et un sleep-mask ou stage gate bâti sur `NtWaitForKeyedEvent` (apparié à `NtReleaseKeyedEvent` depuis un thread pair) est invisible à l'énumération d'events / sémaphores / mutexes nommés qu'effectuent certains détecteurs de sandbox. Quelques designs d'obfuscation de sommeil (famille Ekko / similaires, certains Foliage / TimerHandler) utilisent l'event global `\KernelObjects\CritSecOutOfMemoryEvent` comme point de synchro plutôt que de créer le leur — ce chemin n'implique même pas `NtCreateKeyedEvent`. Les appels directs à `NtCreateKeyedEvent` depuis du code non Microsoft sont inhabituels mais pas accablants.

Opportunités de détection

Essentiellement indétectable en tant que syscall. Aucun événement Sysmon pour la création de keyed event, aucun provider ETW ne le surface proprement. L'énumération forensique via `!handle` dans WinDbg ou la vue handles de SystemInformer montre des objets `KeyedEvent` par processus, mais l'event global est détenu par presque chaque processus — le seul artefact utile est donc un handle `KeyedEvent` *anonyme* dans un processus qui n'a rien à faire avec l'infrastructure de critical section bas niveau. Et même là, les faux positifs d'allocateurs in-process et de bibliothèques d'instrumentation sont nombreux.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtCreateKeyedEvent (SSN 0xB7 on Win11 24H2)
NtCreateKeyedEvent PROC
    mov  r10, rcx          ; KeyedEventHandle
    mov  eax, 0B7h         ; SSN — drifts per build
    syscall
    ret
NtCreateKeyedEvent ENDP

cPrivate unnamed keyed event

// No public Win32 wrapper. Almost all callers use the global instance instead.
#include <windows.h>
#include <winternl.h>

#define KEYEDEVENT_ALL_ACCESS (STANDARD_RIGHTS_REQUIRED | 0x3)

typedef NTSTATUS (NTAPI *pNtCreateKeyedEvent)(
    PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, ULONG);

HANDLE MakePrivateKeyedEvent(void) {
    HANDLE h = NULL;
    pNtCreateKeyedEvent fn = (pNtCreateKeyedEvent)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtCreateKeyedEvent");
    fn(&h, KEYEDEVENT_ALL_ACCESS, NULL /* unnamed */, 0);
    return h;
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20