> Windows Syscalls
ntoskrnl.exeT1134T1033T1548.002

NtQueryInformationToken

Ruft eine angegebene Informationsklasse zu einem Zugriffstoken ab.

Prototyp

NTSTATUS NtQueryInformationToken(
  HANDLE                  TokenHandle,
  TOKEN_INFORMATION_CLASS TokenInformationClass,
  PVOID                   TokenInformation,
  ULONG                   TokenInformationLength,
  PULONG                  ReturnLength
);

Argumente

NameTypeDirDescription
TokenHandleHANDLEinHandle auf das abzufragende Token. Benötigt TOKEN_QUERY (0x8); einige Klassen benötigen TOKEN_QUERY_SOURCE (0x10).
TokenInformationClassTOKEN_INFORMATION_CLASSinAbzurufende Informationsklasse, z. B. TokenUser, TokenGroups, TokenPrivileges, TokenIntegrityLevel, TokenElevation.
TokenInformationPVOIDoutVom Aufrufer allokierter Puffer, der die angeforderten Informationen aufnimmt.
TokenInformationLengthULONGinGröße des TokenInformation-Puffers in Bytes.
ReturnLengthPULONGoutErhält die geschriebenen Bytes oder die benötigte Größe, falls STATUS_BUFFER_TOO_SMALL zurückgegeben wird.

Syscall-IDs pro Windows-Version

Windows-VersionSyscall-IDBuild
Win10 15070x21win10-1507
Win10 16070x21win10-1607
Win10 17030x21win10-1703
Win10 17090x21win10-1709
Win10 18030x21win10-1803
Win10 18090x21win10-1809
Win10 19030x21win10-1903
Win10 19090x21win10-1909
Win10 20040x21win10-2004
Win10 20H20x21win10-20h2
Win10 21H10x21win10-21h1
Win10 21H20x21win10-21h2
Win10 22H20x21win10-22h2
Win11 21H20x21win11-21h2
Win11 22H20x21win11-22h2
Win11 23H20x21win11-23h2
Win11 24H20x21win11-24h2
Server 20160x21winserver-2016
Server 20190x21winserver-2019
Server 20220x21winserver-2022
Server 20250x21winserver-2025

Kernel-Modul

ntoskrnl.exeNtQueryInformationToken

Verwandte APIs

GetTokenInformationNtSetInformationTokenNtAdjustPrivilegesTokenNtDuplicateTokenCheckTokenMembershipNtAccessCheck

Syscall-Stub

4C 8B D1            mov r10, rcx
B8 21 00 00 00      mov eax, 0x21
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Undokumentierte Hinweise

NtQueryInformationToken ist das Lese-Gegenstück zu NtSetInformationToken und das, was `advapi32!GetTokenInformation` umhüllt. Der SSN ist von Windows 10 1507 bis Windows 11 24H2 **stabil bei `0x21`**. Operativ wichtige Klassen sind `TokenUser` (User-SID), `TokenGroups` (Gruppen-SIDs — verraten Administrators, BUILTIN\Backup Operators usw.), `TokenPrivileges`, `TokenStatistics` (enthält die LUID, die für eine `NtFilterToken`-artige Impersonations-Verknüpfung benötigt wird), `TokenIntegrityLevel`, `TokenElevation` sowie `TokenLinkedToken` (der elevierte Zwilling des Tokens, den Make-Me-Admin-UAC-Bypässe nutzen).

Häufige Malware-Nutzung

Implants verwenden NtQueryInformationToken zur Situational Awareness direkt nach der Landung: Sind wir elevated? Sind wir SYSTEM? In welchen Gruppen sind wir? Welche Privilegien sind aktiv? `TokenLinkedToken` ist der Dreh- und Angelpunkt der stillen Make-Me-Admin-UAC-Bypass-Familie (`AppInfo!RAiLaunchAdminProcess`-Ketten): Ein Medium-IL-Admin-Prozess fragt sein eigenes verknüpftes Token ab, um ein Handle auf das High-IL-Token zu erhalten, dupliziert und impersoniert dann, ohne consent.exe auszulösen. Mimikatz' `token::list` zählt einfach Handles auf und ruft NtQueryInformationToken mit `TokenUser` und `TokenStatistics` auf.

Erkennungs­möglichkeiten

NtQueryInformationToken ist in legitimer Software außerordentlich verrauscht — jeder COM-Aufruf, jede Shell-Extension, jede `whoami`-artige Operation berührt ihn. Allein ist er keine nützliche Detection. Sinnvoll wird er erst in Korrelation: `TokenLinkedToken`-Abfragen aus Medium-IL-Prozessen kurz gefolgt von NtDuplicateToken + CreateProcessWithTokenW (Make-Me-Admin-Muster) oder `TokenStatistics`-Abfragen gefolgt von `NtSetInformationThread(ThreadImpersonationToken)` (Impersonationskette). Der ETW-Provider `Microsoft-Windows-Kernel-Audit-API-Calls` loggt Token-Abfragen nicht spezifisch; Verteidiger verlassen sich typischerweise auf den User-Mode-Hook des EDR auf `ntdll!NtQueryInformationToken`.

Direkte Syscall-Beispiele

asmx64 direct stub (stable SSN 0x21)

NtQueryInformationToken PROC
    mov  r10, rcx          ; TokenHandle
    mov  eax, 21h          ; SSN stable across all builds
    syscall
    ret
NtQueryInformationToken ENDP

cAm I SYSTEM? (TokenUser + well-known SID compare)

// Check if the current token belongs to NT AUTHORITY\SYSTEM.
BOOL IsRunningAsSystem(HANDLE hToken) {
    BYTE buf[256];
    ULONG ret = 0;
    if (!NT_SUCCESS(NtQueryInformationToken(
            hToken, TokenUser, buf, sizeof(buf), &ret)))
        return FALSE;

    PTOKEN_USER tu = (PTOKEN_USER)buf;
    PSID systemSid = NULL;
    SID_IDENTIFIER_AUTHORITY ntAuth = SECURITY_NT_AUTHORITY;
    AllocateAndInitializeSid(&ntAuth, 1, SECURITY_LOCAL_SYSTEM_RID,
                             0,0,0,0,0,0,0, &systemSid);
    BOOL eq = EqualSid(tu->User.Sid, systemSid);
    FreeSid(systemSid);
    return eq;
}

rustMake-Me-Admin scout: locate linked elevated token

// Locate the elevated split-token sibling of an elevated-but-filtered process.
// If present, a high-IL token handle can be duplicated without UAC prompt.
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::Security::{
    TOKEN_LINKED_TOKEN, TOKEN_INFORMATION_CLASS,
};

const TOKEN_LINKED_TOKEN_CLASS: TOKEN_INFORMATION_CLASS = 19; // TokenLinkedToken

extern "system" {
    fn NtQueryInformationToken(
        h: HANDLE, class: TOKEN_INFORMATION_CLASS,
        buf: *mut u8, len: u32, ret: *mut u32) -> i32;
}

pub unsafe fn try_get_linked_token(h: HANDLE) -> Option<HANDLE> {
    let mut lt = TOKEN_LINKED_TOKEN { LinkedToken: 0 };
    let mut ret = 0u32;
    let s = NtQueryInformationToken(
        h, TOKEN_LINKED_TOKEN_CLASS,
        &mut lt as *mut _ as *mut u8,
        std::mem::size_of::<TOKEN_LINKED_TOKEN>() as u32,
        &mut ret);
    if s == 0 && lt.LinkedToken != 0 { Some(lt.LinkedToken) } else { None }
}

MITRE ATT&CK-Mappings

Last verified: 2026-05-20