> Windows Syscalls
ntoskrnl.exeT1083T1014T1106

NtQueryDirectoryFile

Enumeriert ein Verzeichnis auf IRP-Ebene — von Rootkits genutzt, um Dateien durch Manipulation der Rückgabeliste zu verbergen.

Prototyp

NTSTATUS NtQueryDirectoryFile(
  HANDLE                 FileHandle,
  HANDLE                 Event,
  PIO_APC_ROUTINE        ApcRoutine,
  PVOID                  ApcContext,
  PIO_STATUS_BLOCK       IoStatusBlock,
  PVOID                  FileInformation,
  ULONG                  Length,
  FILE_INFORMATION_CLASS FileInformationClass,
  BOOLEAN                ReturnSingleEntry,
  PUNICODE_STRING        FileName,
  BOOLEAN                RestartScan
);

Argumente

NameTypeDirDescription
FileHandleHANDLEinHandle auf das Verzeichnis, geöffnet mit FILE_LIST_DIRECTORY | SYNCHRONIZE.
EventHANDLEinOptionales Event für asynchrone Fertigstellung. NULL für synchrone Handles.
ApcRoutinePIO_APC_ROUTINEinOptionale APC-Routine bei Fertigstellung. Üblicherweise NULL.
ApcContextPVOIDinKontext für ApcRoutine. NULL ohne APC.
IoStatusBlockPIO_STATUS_BLOCKoutErhält Status und gesamte in FileInformation geschriebene Bytes.
FileInformationPVOIDoutAusgabe-Puffer mit einem oder mehreren FILE_*_INFORMATION-Datensätzen.
LengthULONGinGröße von FileInformation in Bytes. STATUS_BUFFER_OVERFLOW bei zu klein.
FileInformationClassFILE_INFORMATION_CLASSinLayout: FileDirectoryInformation=1, FileFullDirectoryInformation=2, FileBothDirectoryInformation=3, FileNamesInformation=12, FileIdBothDirectoryInformation=37.
ReturnSingleEntryBOOLEANinTRUE liefert maximal einen Datensatz pro Aufruf (langsamer, einfacherer Loop).
FileNamePUNICODE_STRINGinOptionale Suchmaske mit `*` und `?` (z. B. `*.exe`). NULL = alle Einträge.
RestartScanBOOLEANinTRUE setzt die Enumeration zurück. TRUE beim ersten Aufruf, danach FALSE.

Syscall-IDs pro Windows-Version

Windows-VersionSyscall-IDBuild
Win10 15070x35win10-1507
Win10 16070x35win10-1607
Win10 17030x35win10-1703
Win10 17090x35win10-1709
Win10 18030x35win10-1803
Win10 18090x35win10-1809
Win10 19030x35win10-1903
Win10 19090x35win10-1909
Win10 20040x35win10-2004
Win10 20H20x35win10-20h2
Win10 21H10x35win10-21h1
Win10 21H20x35win10-21h2
Win10 22H20x35win10-22h2
Win11 21H20x35win11-21h2
Win11 22H20x35win11-22h2
Win11 23H20x35win11-23h2
Win11 24H20x35win11-24h2
Server 20160x35winserver-2016
Server 20190x35winserver-2019
Server 20220x35winserver-2022
Server 20250x35winserver-2025

Kernel-Modul

ntoskrnl.exeNtQueryDirectoryFile

Verwandte APIs

FindFirstFileWFindNextFileWFindFirstFileExWNtQueryDirectoryFileExNtQueryInformationFileNtCreateFile

Syscall-Stub

4C 8B D1            mov r10, rcx
B8 35 00 00 00      mov eax, 0x35
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Undokumentierte Hinweise

NtQueryDirectoryFile ist das, was User-Mode-`FindFirstFileW`/`FindNextFileW` letztlich aufrufen, aber wesentlich schneller, weil viele Datensätze pro Kernel-Übergang zurückgegeben werden — gepackt als verkettete Liste über `NextEntryOffset`. Die Information Class steuert das Layout: `FileBothDirectoryInformation` (3) ist die Voreinstellung von `FindFirstFile` und enthält 8.3-Kurznamen; `FileIdBothDirectoryInformation` (37) liefert zusätzlich die File-Referenznummer (MFT-Index unter NTFS), womit USN-Journal-Einträge ohne erneutes Öffnen referenziert werden. SSN `0x35` ist seit Windows 10 1507 stabil.

Häufige Malware-Nutzung

Zwei klar getrennte Nutzungen. (1) **Stealth-Enumeration**: Viele Forensik-Tools hooken `FindFirstFileW` im User-Mode, ein direkter Aufruf von NtQueryDirectoryFile umgeht das vollständig; mit NT-Pfaden und `FileNamesInformation` (kleinste Payload) lassen sich tiefe Bäume mit minimaler Allokation durchlaufen. (2) **Rootkit-Verstecken (T1014)** — User-Mode-Rootkits (DLL-Hook-Stil: Necurs, Ramnit, ZeroAccess) und Kernel-Mode-Rootkits (FU, TDL3/4, GrayFish von Equation) fangen diesen Aufruf ab, um eigene Dateien aus der verketteten Liste herauszuschneiden, bevor sie zurückkehrt. Klassischer Trick: Result-Buffer durchgehen und `NextEntryOffset` jedes Opfers so umschreiben, dass es übersprungen wird, und den Offset des letzten Eintrags auf 0 setzen. Varianten filtern auf der Minifilter-Ebene über `IRP_MJ_DIRECTORY_CONTROL`-Post-Callbacks.

Erkennungs­möglichkeiten

Für sich genommen wird dieser Syscall auf einem belebten Host zehntausendfach pro Sekunde aufgerufen (Explorer, Defender, Indexer). Allein Volumen ist bedeutungslos. Der Blue-Team-Winkel ist **Integrität, nicht Telemetrie**: High-Level-Enumeration (`FindFirstFile`-Kette) mit Low-Level-Enumeration vergleichen (Roh-MFT-Read via `\\.\C:` `$Mft`-Parser oder `FSCTL_GET_NTFS_FILE_RECORD`) — Differenzen weisen auf Rootkit-Splicing hin. GMER, PowerForensics und Velociraptors `parse_mft()`-Artefakt machen genau das. IRP_MJ_DIRECTORY_CONTROL-Minifilter-Callbacks lassen sich über `fltmc instances` auf unsignierte/unbekannte Filter prüfen. Kernel-Hooks auf `NtQueryDirectoryFile`/`NtQueryDirectoryFileEx` in der SSDT (32-Bit) oder via Inline-Patch (PatchGuard-Verletzung unter x64) sind direkte Rootkit-Indikatoren.

Direkte Syscall-Beispiele

cWalk a directory with FileBothDirectoryInformation

// Assumes hDir was opened with FILE_LIST_DIRECTORY | SYNCHRONIZE
//                          + FILE_SYNCHRONOUS_IO_NONALERT.
BYTE buffer[0x10000];
IO_STATUS_BLOCK iosb = {0};
BOOLEAN restart = TRUE;

for (;;) {
    NTSTATUS s = NtQueryDirectoryFile(
        hDir, NULL, NULL, NULL, &iosb,
        buffer, sizeof(buffer),
        FileBothDirectoryInformation,    // class 3
        FALSE,                            // return many entries
        NULL,                             // no mask
        restart);
    restart = FALSE;

    if (s == STATUS_NO_MORE_FILES) break;
    if (!NT_SUCCESS(s)) break;

    PFILE_BOTH_DIR_INFORMATION e = (PFILE_BOTH_DIR_INFORMATION)buffer;
    for (;;) {
        // e->FileName / e->FileNameLength / e->EndOfFile
        if (!e->NextEntryOffset) break;
        e = (PFILE_BOTH_DIR_INFORMATION)((BYTE*)e + e->NextEntryOffset);
    }
}

asmDirect stub (SSN 0x35) — 11 args

; NtQueryDirectoryFile has 11 args; first 4 via RCX/RDX/R8/R9,
; remaining 7 pushed onto the stack after the 32-byte home space.
NtQueryDirectoryFile PROC
    mov  r10, rcx
    mov  eax, 35h
    syscall
    ret
NtQueryDirectoryFile ENDP

rustIterator over FILE_NAMES_INFORMATION records

// Cargo: ntapi = "0.4", winapi = { version = "0.3", features = ["ntdef"] }
use ntapi::ntioapi::{NtQueryDirectoryFile, IO_STATUS_BLOCK, FILE_NAMES_INFORMATION};
use winapi::shared::ntdef::HANDLE;

pub unsafe fn list_names(h_dir: HANDLE) -> Vec<String> {
    let mut buf = vec![0u8; 0x4000];
    let mut iosb: IO_STATUS_BLOCK = core::mem::zeroed();
    let mut out = Vec::new();
    let mut restart = 1u8;
    loop {
        let s = NtQueryDirectoryFile(
            h_dir, core::ptr::null_mut(),
            None, core::ptr::null_mut(),
            &mut iosb,
            buf.as_mut_ptr() as *mut _, buf.len() as u32,
            12, /* FileNamesInformation */
            0, core::ptr::null_mut(), restart,
        );
        restart = 0;
        if s != 0 { break; }
        let mut off = 0usize;
        loop {
            let e = &*(buf.as_ptr().add(off) as *const FILE_NAMES_INFORMATION);
            let name = core::slice::from_raw_parts(
                e.FileName.as_ptr(), (e.FileNameLength / 2) as usize);
            out.push(String::from_utf16_lossy(name));
            if e.NextEntryOffset == 0 { break; }
            off += e.NextEntryOffset as usize;
        }
    }
    out
}

MITRE ATT&CK-Mappings

Last verified: 2026-05-20