NtQueryInformationToken
Ruft eine angegebene Informationsklasse zu einem Zugriffstoken ab.
Prototyp
NTSTATUS NtQueryInformationToken( HANDLE TokenHandle, TOKEN_INFORMATION_CLASS TokenInformationClass, PVOID TokenInformation, ULONG TokenInformationLength, PULONG ReturnLength );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| TokenHandle | HANDLE | in | Handle auf das abzufragende Token. Benötigt TOKEN_QUERY (0x8); einige Klassen benötigen TOKEN_QUERY_SOURCE (0x10). |
| TokenInformationClass | TOKEN_INFORMATION_CLASS | in | Abzurufende Informationsklasse, z. B. TokenUser, TokenGroups, TokenPrivileges, TokenIntegrityLevel, TokenElevation. |
| TokenInformation | PVOID | out | Vom Aufrufer allokierter Puffer, der die angeforderten Informationen aufnimmt. |
| TokenInformationLength | ULONG | in | Größe des TokenInformation-Puffers in Bytes. |
| ReturnLength | PULONG | out | Erhält die geschriebenen Bytes oder die benötigte Größe, falls STATUS_BUFFER_TOO_SMALL zurückgegeben wird. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x21 | win10-1507 |
| Win10 1607 | 0x21 | win10-1607 |
| Win10 1703 | 0x21 | win10-1703 |
| Win10 1709 | 0x21 | win10-1709 |
| Win10 1803 | 0x21 | win10-1803 |
| Win10 1809 | 0x21 | win10-1809 |
| Win10 1903 | 0x21 | win10-1903 |
| Win10 1909 | 0x21 | win10-1909 |
| Win10 2004 | 0x21 | win10-2004 |
| Win10 20H2 | 0x21 | win10-20h2 |
| Win10 21H1 | 0x21 | win10-21h1 |
| Win10 21H2 | 0x21 | win10-21h2 |
| Win10 22H2 | 0x21 | win10-22h2 |
| Win11 21H2 | 0x21 | win11-21h2 |
| Win11 22H2 | 0x21 | win11-22h2 |
| Win11 23H2 | 0x21 | win11-23h2 |
| Win11 24H2 | 0x21 | win11-24h2 |
| Server 2016 | 0x21 | winserver-2016 |
| Server 2019 | 0x21 | winserver-2019 |
| Server 2022 | 0x21 | winserver-2022 |
| Server 2025 | 0x21 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 21 00 00 00 mov eax, 0x21 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NtQueryInformationToken ist das Lese-Gegenstück zu NtSetInformationToken und das, was `advapi32!GetTokenInformation` umhüllt. Der SSN ist von Windows 10 1507 bis Windows 11 24H2 **stabil bei `0x21`**. Operativ wichtige Klassen sind `TokenUser` (User-SID), `TokenGroups` (Gruppen-SIDs — verraten Administrators, BUILTIN\Backup Operators usw.), `TokenPrivileges`, `TokenStatistics` (enthält die LUID, die für eine `NtFilterToken`-artige Impersonations-Verknüpfung benötigt wird), `TokenIntegrityLevel`, `TokenElevation` sowie `TokenLinkedToken` (der elevierte Zwilling des Tokens, den Make-Me-Admin-UAC-Bypässe nutzen).
Häufige Malware-Nutzung
Implants verwenden NtQueryInformationToken zur Situational Awareness direkt nach der Landung: Sind wir elevated? Sind wir SYSTEM? In welchen Gruppen sind wir? Welche Privilegien sind aktiv? `TokenLinkedToken` ist der Dreh- und Angelpunkt der stillen Make-Me-Admin-UAC-Bypass-Familie (`AppInfo!RAiLaunchAdminProcess`-Ketten): Ein Medium-IL-Admin-Prozess fragt sein eigenes verknüpftes Token ab, um ein Handle auf das High-IL-Token zu erhalten, dupliziert und impersoniert dann, ohne consent.exe auszulösen. Mimikatz' `token::list` zählt einfach Handles auf und ruft NtQueryInformationToken mit `TokenUser` und `TokenStatistics` auf.
Erkennungsmöglichkeiten
NtQueryInformationToken ist in legitimer Software außerordentlich verrauscht — jeder COM-Aufruf, jede Shell-Extension, jede `whoami`-artige Operation berührt ihn. Allein ist er keine nützliche Detection. Sinnvoll wird er erst in Korrelation: `TokenLinkedToken`-Abfragen aus Medium-IL-Prozessen kurz gefolgt von NtDuplicateToken + CreateProcessWithTokenW (Make-Me-Admin-Muster) oder `TokenStatistics`-Abfragen gefolgt von `NtSetInformationThread(ThreadImpersonationToken)` (Impersonationskette). Der ETW-Provider `Microsoft-Windows-Kernel-Audit-API-Calls` loggt Token-Abfragen nicht spezifisch; Verteidiger verlassen sich typischerweise auf den User-Mode-Hook des EDR auf `ntdll!NtQueryInformationToken`.
Direkte Syscall-Beispiele
asmx64 direct stub (stable SSN 0x21)
NtQueryInformationToken PROC
mov r10, rcx ; TokenHandle
mov eax, 21h ; SSN stable across all builds
syscall
ret
NtQueryInformationToken ENDPcAm I SYSTEM? (TokenUser + well-known SID compare)
// Check if the current token belongs to NT AUTHORITY\SYSTEM.
BOOL IsRunningAsSystem(HANDLE hToken) {
BYTE buf[256];
ULONG ret = 0;
if (!NT_SUCCESS(NtQueryInformationToken(
hToken, TokenUser, buf, sizeof(buf), &ret)))
return FALSE;
PTOKEN_USER tu = (PTOKEN_USER)buf;
PSID systemSid = NULL;
SID_IDENTIFIER_AUTHORITY ntAuth = SECURITY_NT_AUTHORITY;
AllocateAndInitializeSid(&ntAuth, 1, SECURITY_LOCAL_SYSTEM_RID,
0,0,0,0,0,0,0, &systemSid);
BOOL eq = EqualSid(tu->User.Sid, systemSid);
FreeSid(systemSid);
return eq;
}rustMake-Me-Admin scout: locate linked elevated token
// Locate the elevated split-token sibling of an elevated-but-filtered process.
// If present, a high-IL token handle can be duplicated without UAC prompt.
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::Security::{
TOKEN_LINKED_TOKEN, TOKEN_INFORMATION_CLASS,
};
const TOKEN_LINKED_TOKEN_CLASS: TOKEN_INFORMATION_CLASS = 19; // TokenLinkedToken
extern "system" {
fn NtQueryInformationToken(
h: HANDLE, class: TOKEN_INFORMATION_CLASS,
buf: *mut u8, len: u32, ret: *mut u32) -> i32;
}
pub unsafe fn try_get_linked_token(h: HANDLE) -> Option<HANDLE> {
let mut lt = TOKEN_LINKED_TOKEN { LinkedToken: 0 };
let mut ret = 0u32;
let s = NtQueryInformationToken(
h, TOKEN_LINKED_TOKEN_CLASS,
&mut lt as *mut _ as *mut u8,
std::mem::size_of::<TOKEN_LINKED_TOKEN>() as u32,
&mut ret);
if s == 0 && lt.LinkedToken != 0 { Some(lt.LinkedToken) } else { None }
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20