NtCompareTokens
Entscheidet, ob zwei Tokens denselben Zugriff gewähren — gleicher Benutzer, gleiche Gruppen, gleiche Restricted-SIDs, gleiche Privilegien.
Prototyp
NTSTATUS NtCompareTokens( HANDLE FirstTokenHandle, HANDLE SecondTokenHandle, PBOOLEAN Equal );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| FirstTokenHandle | HANDLE | in | Handle auf das erste Token. Erfordert TOKEN_QUERY. |
| SecondTokenHandle | HANDLE | in | Handle auf das zweite Token. Erfordert TOKEN_QUERY. |
| Equal | PBOOLEAN | out | TRUE, wenn die Tokens für die verglichene Menge identischen Zugriff gewähren, sonst FALSE. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x96 | win10-1507 |
| Win10 1607 | 0x97 | win10-1607 |
| Win10 1703 | 0x99 | win10-1703 |
| Win10 1709 | 0x9A | win10-1709 |
| Win10 1803 | 0x9B | win10-1803 |
| Win10 1809 | 0x9B | win10-1809 |
| Win10 1903 | 0x9B | win10-1903 |
| Win10 1909 | 0x9B | win10-1909 |
| Win10 2004 | 0x9D | win10-2004 |
| Win10 20H2 | 0x9D | win10-20h2 |
| Win10 21H1 | 0x9D | win10-21h1 |
| Win10 21H2 | 0x9D | win10-21h2 |
| Win10 22H2 | 0x9D | win10-22h2 |
| Win11 21H2 | 0x9F | win11-21h2 |
| Win11 22H2 | 0x9F | win11-22h2 |
| Win11 23H2 | 0x9F | win11-23h2 |
| Win11 24H2 | 0xA1 | win11-24h2 |
| Server 2016 | 0x97 | winserver-2016 |
| Server 2019 | 0x9B | winserver-2019 |
| Server 2022 | 0x9F | winserver-2022 |
| Server 2025 | 0xA1 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 A1 00 00 00 mov eax, 0xA1 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
Vergleicht die *effektive* Zugriffsentscheidung zweier Tokens, nicht die Roh-Identität. Die Kernel-Routine SepCompareTokens läuft über User-SID, Groups, RestrictedSids und Privileges beider Tokens und liefert Equal=TRUE nur, wenn jede Menge elementweise übereinstimmt. MandatoryPolicy, Integritätslevel und Impersonation-Level sind *nicht* Teil des Vergleichs — zwei Tokens auf unterschiedlichen Integritätsstufen können daher gleich sein. Microsoft dokumentiert die API vor allem für Sicherheitssoftware, die wissen muss, ob zwei Impersonation-Tokens austauschbar sind (z. B. ob ein gecachtes Ressourcen-Handle noch gültig ist). Es ist einer der trafficärmsten Token-Syscalls — eine typische Workstation emittiert pro Minute nur wenige, meist aus svchost.exe und lsass.exe.
Häufige Malware-Nutzung
Im offensiven Einsatz selten; nahezu ausschließlich in Defensiv-Software. Browser (Edge, Chrome) rufen es via `CompareObjectHandles` auf, um zu prüfen, dass das Token eines sandboxed Renderers noch dem entspricht, das der Broker geprägt hat — Schutz gegen Token-Swap-Angriffe während IPC. AppContainer-Hosts nutzen es zur Validierung der Token-Kontinuität des Childs. Die wenigen bösartigen Nutzungen sind Recon: Ein Implant dupliziert mehrere erbeutete Tokens und vergleicht sie, um Duplikate zu erkennen oder Impersonation-Kandidaten vor einem `SetThreadToken` zu deduplizieren. Kein kanonisches offensives Rezept.
Erkennungsmöglichkeiten
Eher eine *Nicht-Detection* — legitime Aufrufer (lsass.exe, MsMpEng.exe, RuntimeBroker.exe, msedge.exe) dominieren. Ein Nicht-System-Prozess, der `NtCompareTokens` auf zwei frisch über `NtOpenProcessToken` von fremden Prozessen geholten Tokens aufruft, ist ein schwaches Credential-Recon-Signal, am besten mit `NtDuplicateToken`- und `NtImpersonateAnonymousToken`-Telemetrie gepaart. Es gibt kein dediziertes ETW-Threat-Intelligence-Event; auf EDR-Hooks von `ntdll!NtCompareTokens` setzen, gefiltert auf `actor_image NOT IN (Browser/AV/Runtime-Broker)`.
Direkte Syscall-Beispiele
cSandbox token-swap defense (browser pattern)
// Pattern used by AppContainer hosts: a broker reopens the renderer's token
// and confirms it still matches the one it issued, defending against an attacker
// who swapped the renderer's primary token via cross-process injection.
typedef NTSTATUS(NTAPI* fnNtCompareTokens)(HANDLE, HANDLE, PBOOLEAN);
BOOL TokenStillMine(HANDLE issued, HANDLE currentRendererToken) {
HMODULE n = GetModuleHandleA("ntdll.dll");
fnNtCompareTokens p = (fnNtCompareTokens)GetProcAddress(n, "NtCompareTokens");
BOOLEAN eq = FALSE;
return p(issued, currentRendererToken, &eq) == 0 && eq;
}asmx64 direct stub (Win11 24H2 SSN)
; SSN 0xA1 on win11-24h2 / winserver-2025.
NtCompareTokens PROC
mov r10, rcx
mov eax, 0A1h
syscall
ret
NtCompareTokens ENDPrustImplant-side dedup of stolen tokens
// Implant collected N tokens via NtOpenProcessToken. Before bothering to
// SetThreadToken into each, drop duplicates that grant the same access.
use windows_sys::Win32::System::LibraryLoader::{GetModuleHandleA, GetProcAddress};
type NtCompareTokens = unsafe extern "system" fn(a: isize, b: isize, eq: *mut u8) -> i32;
pub unsafe fn dedup_tokens(mut tokens: Vec<isize>) -> Vec<isize> {
let n = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
let addr = GetProcAddress(n, b"NtCompareTokens\0".as_ptr()).unwrap();
let f: NtCompareTokens = std::mem::transmute(addr);
let mut out: Vec<isize> = Vec::new();
for t in tokens.drain(..) {
let mut is_dup = false;
for &kept in &out {
let mut eq: u8 = 0;
if f(t, kept, &mut eq) == 0 && eq != 0 { is_dup = true; break; }
}
if !is_dup { out.push(t); }
}
out
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20