> Windows Syscalls
ntoskrnl.exeT1529T1485T1497

NtInitiatePowerAction

Demande au power manager d'effectuer une action d'alimentation système (veille, hibernation, arrêt, redémarrage).

Prototype

NTSTATUS NtInitiatePowerAction(
  POWER_ACTION       SystemAction,
  SYSTEM_POWER_STATE MinSystemState,
  ULONG              Flags,
  BOOLEAN            Asynchronous
);

Arguments

NameTypeDirDescription
SystemActionPOWER_ACTIONinAction à effectuer : Sleep, Hibernate, Shutdown, ShutdownReset, ShutdownOff, WarmEject, DisplayOff.
MinSystemStateSYSTEM_POWER_STATEinÉtat cible minimal acceptable (PowerSystemWorking..PowerSystemShutdown).
FlagsULONGinFlags POWER_ACTION_* contrôlant la politique : QUERY_ALLOWED, UI_ALLOWED, OVERRIDE_APPS, DISABLE_WAKES, CRITICAL.
AsynchronousBOOLEANinTRUE renvoie immédiatement ; FALSE bloque jusqu'à ce que l'action soit complètement arbitrée.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070xF1win10-1507
Win10 16070xF5win10-1607
Win10 17030xF8win10-1703
Win10 17090xF9win10-1709
Win10 18030xFAwin10-1803
Win10 18090xFBwin10-1809
Win10 19030xFCwin10-1903
Win10 19090xFCwin10-1909
Win10 20040x101win10-2004
Win10 20H20x101win10-20h2
Win10 21H10x101win10-21h1
Win10 21H20x102win10-21h2
Win10 22H20x102win10-22h2
Win11 21H20x107win11-21h2
Win11 22H20x108win11-22h2
Win11 23H20x108win11-23h2
Win11 24H20x10Awin11-24h2
Server 20160xF5winserver-2016
Server 20190xFBwinserver-2019
Server 20220x106winserver-2022
Server 20250x10Awinserver-2025

Module noyau

ntoskrnl.exeNtInitiatePowerAction

APIs liées

InitiatePowerActionWSetSuspendStateExitWindowsExInitiateShutdownWNtSetSystemPowerStateSetSystemPowerState

Stub du syscall

4C 8B D1            mov r10, rcx
B8 0A 01 00 00      mov eax, 0x10A
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Point d'entrée haut niveau des actions d'alimentation : `InitiatePowerActionW`, `SetSuspendState` (via powrprof.dll), `ExitWindowsEx` (pour les variantes shutdown/reboot) et les chemins rapides Modern Standby passent tous par ici. Contrairement à `NtSetSystemPowerState`, cette fonction passe par le **power policy manager** : elle diffuse WM_POWERBROADCAST / PBT_APMQUERYSUSPEND aux processus en cours, honore `QUERY_ALLOWED` (les apps peuvent refuser) et ne délègue ensuite à `NtSetSystemPowerState` que si la politique le permet. Requiert `SeShutdownPrivilege`. Le paramètre `Asynchronous` est le bouton opérationnel critique — async revient immédiatement et l'appelant ne peut pas détecter un refus ; sync bloque jusqu'à reprise ou veto d'un driver/app.

Usage courant par les malwares

**Le reboot post-chiffrement ransomware** est l'abus dominant. Royal, BlackCat/ALPHV, Conti, LockBit 3.0 et BlackSuit émettent tous un reboot de classe InitiatePowerAction après avoir écrit la note de rançon — l'objectif est de pousser les utilisateurs vers l'écran de récupération ou Windows RE, ce qui met de manière fiable la note de rançon à l'écran et empêche un rollback rapide via les Volume Shadow Copies encore en mémoire. **Les wipers** (HermeticWiper, IsaacWiper, WhisperGate, CaddyWiper) déclenchent de même un ShutdownReset pour faire redémarrer la machine avec des données de boot corrompues. Une classe plus restreinte de loaders red-team appelle PowerActionSleep avec `DISABLE_WAKES | CRITICAL` pour évader des sessions sandbox de courte durée. L'exigence de privilège (SeShutdownPrivilege) est triviale pour du malware en admin ou LocalSystem, mais pour du code utilisateur peu privilégié le check échoue — la plupart des ransomwares embarquent une primitive d'élévation préalable.

Opportunités de détection

Le provider ETW Microsoft-Windows-Kernel-Power émet des événements structurés pour chaque initiate-power-action : PID source, action, flags, succès/échec. Journal d'événements : le log System enregistre l'Event ID 1074 pour le processus initiateur de tout shutdown/reboot user-initiated (propre), 6005/6006 pour l'init service pack, 6008 pour les shutdowns sales. La règle comportementale la plus actionnable : un processus qui a fait >N écritures/modifications de fichiers dans les 60 dernières secondes puis appelle une action d'alimentation de classe Shutdown/Reset — c'est un indicateur ransomware quasi parfait. L'ajustement de SeShutdownPrivilege depuis un token non-interactif est en lui-même inhabituel et mérite une alerte. Les EDR qui hookent ntdll voient cet appel directement ; les variantes en syscall direct contournent ntdll mais laissent quand même la trace ETW.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtInitiatePowerAction (SSN 0x10A on Win11 24H2)
NtInitiatePowerAction PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 10Ah         ; SSN — varies per build
    syscall
    ret
NtInitiatePowerAction ENDP

cRansomware post-encryption reboot

// Final step after the encryption pass and ransom-note drop.
// PowerActionShutdownReset = 6 (reboot), PowerSystemShutdown = 6.
// Flags = POWER_ACTION_DISABLE_WAKES | POWER_ACTION_CRITICAL
//          | POWER_ACTION_OVERRIDE_APPS  bypass app refusal.
#include <windows.h>
#include <winternl.h>

typedef NTSTATUS (NTAPI *pNtInitiatePowerAction)(ULONG, ULONG, ULONG, BOOLEAN);

VOID PostEncryptReboot(VOID) {
    pNtInitiatePowerAction NtInitiatePowerAction = (pNtInitiatePowerAction)
        GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtInitiatePowerAction");
    // SeShutdownPrivilege assumed already enabled
    NtInitiatePowerAction(
        /* SystemAction   */ 6,
        /* MinSystemState */ 6,
        /* Flags          */ 0xC0010000, // CRITICAL | DISABLE_WAKES | OVERRIDE_APPS
        /* Asynchronous   */ FALSE);
}

rustSandbox evasion via critical sleep

// Cargo: windows-sys = "0.59"
// Try to put the analysis VM into S3 sleep before the loader's real work runs.
// Async + DISABLE_WAKES prevents most sandbox harnesses from resuming it cleanly.
use windows_sys::Win32::Security::*;
use windows_sys::Win32::System::Threading::*;
use windows_sys::Win32::Foundation::*;

extern "system" {
    fn NtInitiatePowerAction(action: u32, min_state: u32, flags: u32, asynch: u8) -> i32;
}

pub unsafe fn evade_via_sleep() -> i32 {
    let mut tok: HANDLE = std::mem::zeroed();
    OpenProcessToken(GetCurrentProcess(),
        TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &mut tok);
    // (omitted: LookupPrivilegeValueW + AdjustTokenPrivileges for SeShutdownPrivilege)
    // PowerActionSleep = 2, PowerSystemSleeping3 = 5
    NtInitiatePowerAction(2, 5, 0x40000000 /* DISABLE_WAKES */, 1)
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20