> Windows Syscalls
ntoskrnl.exeT1486T1491.001T1106

NtSetVolumeInformationFile

Modifie les propriétés volume modifiables — principalement le label — du volume associé à un handle de fichier.

Prototype

NTSTATUS NtSetVolumeInformationFile(
  HANDLE                 FileHandle,
  PIO_STATUS_BLOCK       IoStatusBlock,
  PVOID                  FsInformation,
  ULONG                  Length,
  FS_INFORMATION_CLASS   FsInformationClass
);

Arguments

NameTypeDirDescription
FileHandleHANDLEinHandle vers la racine du volume ou un fichier dessus ; ouvert avec FILE_WRITE_ATTRIBUTES.
IoStatusBlockPIO_STATUS_BLOCKoutReçoit le statut de complétion de l'opération set.
FsInformationPVOIDinBuffer d'entrée fourni par l'appelant contenant la structure correspondant à FsInformationClass (ex. FILE_FS_LABEL_INFORMATION).
LengthULONGinTaille en octets du buffer FsInformation.
FsInformationClassFS_INFORMATION_CLASSinClasse à définir ; en pratique presque toujours FileFsLabelInformation (2) ou FileFsControlInformation (6).

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x196win10-1507
Win10 16070x19Fwin10-1607
Win10 17030x1A5win10-1703
Win10 17090x1A8win10-1709
Win10 18030x1AAwin10-1803
Win10 18090x1ABwin10-1809
Win10 19030x1ACwin10-1903
Win10 19090x1ACwin10-1909
Win10 20040x1B2win10-2004
Win10 20H20x1B2win10-20h2
Win10 21H10x1B2win10-21h1
Win10 21H20x1B4win10-21h2
Win10 22H20x1B4win10-22h2
Win11 21H20x1BDwin11-21h2
Win11 22H20x1C1win11-22h2
Win11 23H20x1C1win11-23h2
Win11 24H20x1C4win11-24h2
Server 20160x19Fwinserver-2016
Server 20190x1ABwinserver-2019
Server 20220x1BAwinserver-2022
Server 20250x1C4winserver-2025

Module noyau

ntoskrnl.exeNtSetVolumeInformationFile

APIs liées

SetVolumeLabelWGetVolumeInformationWNtQueryVolumeInformationFileFSCTL_SET_OBJECT_IDNtSetInformationFile

Stub du syscall

4C 8B D1            mov r10, rcx
B8 C4 01 00 00      mov eax, 0x1C4
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Bien plus rare que son frère `Query` car les valeurs FS_INFORMATION_CLASS que les filesystems acceptent réellement sur le chemin `Set` sont limitées : `FileFsLabelInformation` (renommer le volume), `FileFsControlInformation` (politique de quota sur NTFS), et `FileFsObjectIdInformation` (attribution d'object-id NTFS). La plupart des autres classes renvoient `STATUS_INVALID_INFO_CLASS`. L'IRP passe par `IRP_MJ_SET_VOLUME_INFORMATION` et atteint NTFS à `NtfsFsdSetVolumeInformation`. Renommer un volume requiert le privilège `SE_MANAGE_VOLUME_NAME`, détenu par les administrateurs interactifs et `LocalSystem` — pas par les utilisateurs standards — donc l'usage de ce syscall depuis un contexte non-admin est en soi une télémétrie inhabituelle.

Usage courant par les malwares

Niche mais visible. Une poignée de familles ransomware — notamment **Petya/NotPetya** (2017, chiffreur MBR) et certains affiliés **Babuk** / **DarkSide** — émettent `FileFsLabelInformation` pour écraser le nom du volume avec leur marque ou une chaîne `READ_ME_*`, afin que tout écran de récupération pre-boot ou `dir C:\` montre le marqueur de rançon avant que l'utilisateur n'ouvre la note. **BlackMatter** (2021) renommait les labels en un court hash correspondant à son ransom ID. Au-delà du ransomware, l'appel est essentiellement inutilisé par les malwares commodity — il n'y a pas de primitive offensive ici, seulement du branding.

Opportunités de détection

Microsoft Defender for Endpoint expose les changements de label via `DeviceEvents` ActionType `VolumeMounted` / `VolumeRenamed`. Sysmon ne couvre *pas* cela directement mais les traces IRP ETW `Microsoft-Windows-Kernel-File` montrent `IRP_MJ_SET_VOLUME_INFORMATION` avec classe 2 (`FileFsLabelInformation`). Parce que le chemin privilégié est si étroit, *tout* `NtSetVolumeInformationFile(FileFsLabelInformation)` depuis un processus non-fiable — tout ce qui n'est pas `explorer.exe`, `cmd.exe label`, `format.com`, ou un produit de backup connu — doit être considéré comme indication ransomware à haute confiance, surtout enchaîné avec une énumération `NtQueryVolumeInformationFile` de toutes les lettres de lecteur quelques secondes plus tôt.

Exemples de syscalls directs

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtSetVolumeInformationFile (SSN 0x1C4 on Win11 24H2 / Server 2025)
NtSetVolumeInformationFile PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 1C4h         ; SSN — drifts; resolve dynamically for portability
    syscall
    ret
NtSetVolumeInformationFile ENDP

cPetya-style volume relabel

// Requires SE_MANAGE_VOLUME_NAME privilege. Petya/NotPetya stamped
// volume labels with their ransom marker — visible in pre-boot UI.
#include <ntstatus.h>

typedef struct _FILE_FS_LABEL_INFORMATION {
    ULONG VolumeLabelLength;        // bytes, not chars
    WCHAR VolumeLabel[1];
} FILE_FS_LABEL_INFORMATION;

WCHAR  label[] = L"READ_ME_NOW";
SIZE_T bytes   = sizeof(label) - sizeof(WCHAR);
BYTE   buf[sizeof(FILE_FS_LABEL_INFORMATION) + sizeof(label)];
FILE_FS_LABEL_INFORMATION* p = (FILE_FS_LABEL_INFORMATION*)buf;
p->VolumeLabelLength = (ULONG)bytes;
memcpy(p->VolumeLabel, label, bytes);

IO_STATUS_BLOCK iosb;
NTSTATUS st = NtSetVolumeInformationFile(
    hVolumeRoot, &iosb, p,
    (ULONG)(sizeof(FILE_FS_LABEL_INFORMATION) + bytes),
    2 /* FileFsLabelInformation */);

rustSetVolumeLabelW wrapper (windows-sys)

// Cargo: windows-sys = "0.59" (Win32_Storage_FileSystem)
use windows_sys::Win32::Storage::FileSystem::SetVolumeLabelW;
use std::ffi::OsStr;
use std::os::windows::ffi::OsStrExt;

// Internally calls NtSetVolumeInformationFile(FileFsLabelInformation).
fn relabel(root: &str, label: &str) -> bool {
    let to_wide = |s: &str| -> Vec<u16> { OsStr::new(s).encode_wide().chain(Some(0)).collect() };
    let r = to_wide(root);
    let l = to_wide(label);
    unsafe { SetVolumeLabelW(r.as_ptr(), l.as_ptr()) != 0 }
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20