> Windows Syscalls
ntoskrnl.exeT1542.001T1106

NtSetSystemEnvironmentValue

Écrit une variable d'environnement système BIOS/NV-RAM x86 héritée (interface pré-UEFI).

Prototype

NTSTATUS NtSetSystemEnvironmentValue(
  PUNICODE_STRING VariableName,
  PUNICODE_STRING VariableValue
);

Arguments

NameTypeDirDescription
VariableNamePUNICODE_STRINGinUNICODE_STRING désignant la variable à écrire. Résolu via les stockages NV-RAM privés au HAL.
VariableValuePUNICODE_STRINGinUNICODE_STRING portant la nouvelle valeur. Une longueur nulle supprime généralement l'entrée.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x18Cwin10-1507
Win10 16070x195win10-1607
Win10 17030x19Bwin10-1703
Win10 17090x19Ewin10-1709
Win10 18030x1A0win10-1803
Win10 18090x1A1win10-1809
Win10 19030x1A2win10-1903
Win10 19090x1A2win10-1909
Win10 20040x1A8win10-2004
Win10 20H20x1A8win10-20h2
Win10 21H10x1A8win10-21h1
Win10 21H20x1AAwin10-21h2
Win10 22H20x1AAwin10-22h2
Win11 21H20x1B3win11-21h2
Win11 22H20x1B7win11-22h2
Win11 23H20x1B7win11-23h2
Win11 24H20x1BAwin11-24h2
Server 20160x195winserver-2016
Server 20190x1A1winserver-2019
Server 20220x1B0winserver-2022
Server 20250x1BAwinserver-2025

Module noyau

ntoskrnl.exeNtSetSystemEnvironmentValue

APIs liées

SetFirmwareEnvironmentVariableWNtSetSystemEnvironmentValueExNtQuerySystemEnvironmentValueRtlAdjustPrivilege

Stub du syscall

4C 8B D1            mov r10, rcx
B8 BA 01 00 00      mov eax, 0x1BA
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Écrivain compagnon de NtQuerySystemEnvironmentValue : persistance BIOS NV-RAM héritée, sans espace GUID et avec un champ de longueur 16 bits. Nécessite SeSystemEnvironmentPrivilege, détenu par défaut uniquement par SYSTEM et par les administrateurs après activation explicite via RtlAdjustPrivilege. Sur les machines UEFI modernes, la couche de transition firmware refuse ou ignore souvent ces écritures ; le vrai travail de persistance a migré vers NtSetSystemEnvironmentValueEx.

Usage courant par les malwares

Valeur offensive moderne marginale. La surface de persistance intéressante (écriture de variables EFI que le chargeur d'OS approuve, ex. le modèle LoJax) est dans la contrepartie Ex. Des implants anciens/machines héritées et quelques PoC d'implants firmware ont utilisé cet appel pour basculer des paramètres BIOS, mais il est rare dans le tradecraft de production actuel.

Opportunités de détection

Considérez tout appel réussi comme un signal à haute fidélité : les écrivains légitimes se limitent aux outils de classe bcdedit et à la gestion firmware OEM. Auditer la transition d'activation de privilège (ajustement de SeSystemEnvironmentPrivilege via NtAdjustPrivilegesToken) — c'est le premier point de contrôle blue-team. ETW Microsoft-Windows-Kernel-General émet des événements d'accès firmware.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtSetSystemEnvironmentValue (SSN 0x1BA, Win11 24H2)
NtSetSystemEnvironmentValue PROC
    mov  r10, rcx
    mov  eax, 1BAh
    syscall
    ret
NtSetSystemEnvironmentValue ENDP

cPrivilege enable + legacy write

// Enable SeSystemEnvironmentPrivilege first — otherwise the syscall returns STATUS_PRIVILEGE_NOT_HELD.
BOOLEAN was;
RtlAdjustPrivilege(SE_SYSTEM_ENVIRONMENT_PRIVILEGE, TRUE, FALSE, &was);

UNICODE_STRING name, value;
RtlInitUnicodeString(&name,  L"BootOrder");
RtlInitUnicodeString(&value, L"0001000200030004");

NTSTATUS s = NtSetSystemEnvironmentValue(&name, &value);
// On a UEFI box prefer NtSetSystemEnvironmentValueEx with a vendor GUID — modern firmware
// will not honour legacy-namespace writes.

Mappings MITRE ATT&CK

Last verified: 2026-05-20