NtSetEaFile
Schreibt NTFS Extended Attributes (EAs), die an ein Datei-Handle gebunden sind.
Prototyp
NTSTATUS NtSetEaFile( HANDLE FileHandle, PIO_STATUS_BLOCK IoStatusBlock, PFILE_FULL_EA_INFORMATION Buffer, ULONG Length );
Argumente
| Name | Type | Dir | Description |
|---|---|---|---|
| FileHandle | HANDLE | in | Handle auf eine geöffnete Datei (muss FILE_WRITE_EA-Zugriff enthalten). |
| IoStatusBlock | PIO_STATUS_BLOCK | out | Empfängt Abschlussstatus und Anzahl verarbeiteter Bytes. |
| Buffer | PFILE_FULL_EA_INFORMATION | in | Zeiger auf eine oder mehrere FILE_FULL_EA_INFORMATION-Datensätze (Schlüssel+Wert-Blobs). |
| Length | ULONG | in | Größe des Puffers in Bytes, einschließlich Padding zwischen EA-Datensätzen. |
Syscall-IDs pro Windows-Version
| Windows-Version | Syscall-ID | Build |
|---|---|---|
| Win10 1507 | 0x175 | win10-1507 |
| Win10 1607 | 0x17E | win10-1607 |
| Win10 1703 | 0x184 | win10-1703 |
| Win10 1709 | 0x187 | win10-1709 |
| Win10 1803 | 0x189 | win10-1803 |
| Win10 1809 | 0x18A | win10-1809 |
| Win10 1903 | 0x18B | win10-1903 |
| Win10 1909 | 0x18B | win10-1909 |
| Win10 2004 | 0x191 | win10-2004 |
| Win10 20H2 | 0x191 | win10-20h2 |
| Win10 21H1 | 0x191 | win10-21h1 |
| Win10 21H2 | 0x193 | win10-21h2 |
| Win10 22H2 | 0x193 | win10-22h2 |
| Win11 21H2 | 0x19B | win11-21h2 |
| Win11 22H2 | 0x19E | win11-22h2 |
| Win11 23H2 | 0x19E | win11-23h2 |
| Win11 24H2 | 0x1A0 | win11-24h2 |
| Server 2016 | 0x17E | winserver-2016 |
| Server 2019 | 0x18A | winserver-2019 |
| Server 2022 | 0x199 | winserver-2022 |
| Server 2025 | 0x1A0 | winserver-2025 |
Kernel-Modul
Verwandte APIs
Syscall-Stub
4C 8B D1 mov r10, rcx B8 A0 01 00 00 mov eax, 0x1A0 ; Win11 24H2 SSN F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Undokumentierte Hinweise
NTFS Extended Attributes sind ein OS/2-HPFS-Überbleibsel, das in NTFS erhalten blieb: eine Liste von `Name=Wert`-Blobs (insgesamt max. ~64 KB), die an jede Datei angehängt werden kann, *getrennt* sowohl vom Hauptdatenstrom als auch von benannten Alternate Data Streams. Sie sind über `FileFullEaInformation` in `SetFileInformationByHandle` adressierbar, aber `NtSetEaFile` ist der direkte Pfad. Jeder Datensatz ist ein `FILE_FULL_EA_INFORMATION` (NextEntryOffset, Flags, EaNameLength, EaValueLength, EaName[], Wert). EAs überleben Kopien zwischen NTFS-Volumes, werden aber von FAT32/exFAT, den meisten Archivern und nahezu jedem Cloud-Sync-Agent stillschweigend entfernt — was sie für Angreifer gerade interessant macht.
Häufige Malware-Nutzung
Heimlichkeitsspeicher. Implants legen Konfiguration, verschlüsselte Payload-Fragmente oder vorbereiteten Shellcode in EAs einer unauffälligen Datei ab (oft eine System-DLL oder eine harmlose Datendatei in `%ProgramData%`), wo `dir`, Explorer und die meisten AV-Dateiscanner nie hinsehen. BlackEnergy v2/v3 speicherte seine Driver-Payload in EAs; eine frühe Stuxnet-Variante missbrauchte EAs zum Verstecken von Komponenten. Der EA-Parsing-Pfad in win32k war außerdem die Bug-Klasse hinter mehreren LPE-Familien (CVE-2022-21882 und die breitere xxxClientAllocCacheableObject-Familie). Offensiv sind EAs zudem ein TOCTOU-freundlicher Seitenkanal für IPC zwischen zwei bösartigen Prozessen.
Erkennungsmöglichkeiten
EAs sind in der Standard-Toolchain unsichtbar. Explizit suchen: `fsutil file queryEA <Pfad>`, Sysinternals `Streams` (nur ADS — deckt EAs NICHT ab), `EAExtractor` oder NTFS-Forensik-Tools, die die MFT-Attribute `$EA` und `$EA_INFORMATION` parsen. ETW Microsoft-Windows-Kernel-File liefert FileSetEa-Events. Verdächtige Indikatoren: EA-Datensätze an `.exe`/`.dll`-Dateien in `system32`, EA-Blobs größer als einige hundert Bytes, EA-Namen, die nicht zu Cygwin/WSL- oder HPFS-Legacy-Mustern passen. EDRs, die nur die Win32-Schicht (SetFileInformationByHandle) hooken, verpassen direkte `NtSetEaFile`-Aufrufe.
Direkte Syscall-Beispiele
cHide a payload chunk inside an EA
// Write a 'config.bin' EA onto an existing file. Visible only via fsutil queryEA.
HANDLE h = CreateFileW(L"C:\\ProgramData\\update.dat", FILE_WRITE_EA, 0, NULL,
OPEN_EXISTING, 0, NULL);
const char* eaName = "CONFIG.BIN"; // ASCII, will be uppercased by NTFS
UCHAR eaNameLen = (UCHAR)strlen(eaName);
USHORT eaValueLen = (USHORT)payloadLen; // <= 0xFFFF per record
ULONG bufSize = sizeof(FILE_FULL_EA_INFORMATION) + eaNameLen + 1 + eaValueLen;
bufSize = (bufSize + 3) & ~3u; // 4-byte alignment
PFILE_FULL_EA_INFORMATION ea = calloc(1, bufSize);
ea->NextEntryOffset = 0;
ea->Flags = 0;
ea->EaNameLength = eaNameLen;
ea->EaValueLength = eaValueLen;
memcpy(ea->EaName, eaName, eaNameLen + 1);
memcpy(ea->EaName + eaNameLen + 1, payload, eaValueLen);
IO_STATUS_BLOCK iosb;
NTSTATUS st = NtSetEaFile(h, &iosb, ea, bufSize);asmx64 direct stub
; NtSetEaFile direct syscall (Win11 24H2 SSN 0x1A0)
NtSetEaFile PROC
mov r10, rcx
mov eax, 1A0h
syscall
ret
NtSetEaFile ENDPrustwindows-sys + NtSetEaFile via ntdll
// Cargo: windows-sys = "0.59" (Win32_Foundation, Win32_System_LibraryLoader)
use std::ffi::CString;
use windows_sys::Win32::Foundation::*;
use windows_sys::Win32::System::LibraryLoader::*;
type NtSetEaFileFn = unsafe extern "system" fn(
HANDLE, *mut u8 /* IoStatusBlock */, *const u8 /* Buffer */, u32 /* Length */,
) -> i32;
unsafe fn write_ea(handle: HANDLE, name: &str, value: &[u8]) -> i32 {
let name_c = CString::new(name).unwrap();
let n_len = name_c.as_bytes().len() as u8;
let v_len = value.len() as u16;
let mut size = 8usize + 1 + n_len as usize + 1 + v_len as usize;
size = (size + 3) & !3;
let mut buf = vec![0u8; size];
buf[4] = 0; // Flags
buf[5] = n_len; // EaNameLength
buf[6..8].copy_from_slice(&v_len.to_le_bytes());
let off_name = 8;
buf[off_name..off_name + n_len as usize].copy_from_slice(name_c.as_bytes());
let off_val = off_name + n_len as usize + 1;
buf[off_val..off_val + value.len()].copy_from_slice(value);
let nt = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
let f: NtSetEaFileFn = std::mem::transmute(
GetProcAddress(nt, b"NtSetEaFile\0".as_ptr()).unwrap()
);
let mut iosb = [0u8; 16];
f(handle, iosb.as_mut_ptr(), buf.as_ptr(), size as u32)
}MITRE ATT&CK-Mappings
Last verified: 2026-05-20