NtQueryEaFile
Lee atributos extendidos NTFS (EA) desde un handle de archivo, con filtro/paginación opcionales.
Prototipo
NTSTATUS NtQueryEaFile( HANDLE FileHandle, PIO_STATUS_BLOCK IoStatusBlock, PVOID Buffer, ULONG Length, BOOLEAN ReturnSingleEntry, PVOID EaList, ULONG EaListLength, PULONG EaIndex, BOOLEAN RestartScan );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| FileHandle | HANDLE | in | Handle a un archivo abierto (debe incluir acceso FILE_READ_EA). |
| IoStatusBlock | PIO_STATUS_BLOCK | out | Recibe el estado de finalización y bytes escritos en Buffer. |
| Buffer | PVOID | out | Recibe un arreglo de registros FILE_FULL_EA_INFORMATION. |
| Length | ULONG | in | Tamaño de Buffer en bytes. |
| ReturnSingleEntry | BOOLEAN | in | Si TRUE, devuelve solo el primer EA coincidente, aunque quepan más en Buffer. |
| EaList | PVOID | in | Lista opcional de FILE_GET_EA_INFORMATION que nombra EAs específicos (NULL = todos). |
| EaListLength | ULONG | in | Tamaño de EaList en bytes, o 0 si EaList es NULL. |
| EaIndex | PULONG | in | Índice opcional (base 1) en la lista de EAs del archivo donde comenzar la enumeración. |
| RestartScan | BOOLEAN | in | Si TRUE, reinicia la enumeración desde el primer EA; FALSE continúa desde la llamada previa. |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x12D | win10-1507 |
| Win10 1607 | 0x133 | win10-1607 |
| Win10 1703 | 0x138 | win10-1703 |
| Win10 1709 | 0x13B | win10-1709 |
| Win10 1803 | 0x13D | win10-1803 |
| Win10 1809 | 0x13E | win10-1809 |
| Win10 1903 | 0x13F | win10-1903 |
| Win10 1909 | 0x13F | win10-1909 |
| Win10 2004 | 0x145 | win10-2004 |
| Win10 20H2 | 0x145 | win10-20h2 |
| Win10 21H1 | 0x145 | win10-21h1 |
| Win10 21H2 | 0x146 | win10-21h2 |
| Win10 22H2 | 0x146 | win10-22h2 |
| Win11 21H2 | 0x14C | win11-21h2 |
| Win11 22H2 | 0x14E | win11-22h2 |
| Win11 23H2 | 0x14E | win11-23h2 |
| Win11 24H2 | 0x150 | win11-24h2 |
| Server 2016 | 0x133 | winserver-2016 |
| Server 2019 | 0x13E | winserver-2019 |
| Server 2022 | 0x14B | winserver-2022 |
| Server 2025 | 0x150 | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 50 01 00 00 mov eax, 0x150 ; Win11 24H2 SSN F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
Contraparte de `NtSetEaFile`. Con 9 argumentos, dos de ellos pasados por pila en x64, es uno de los syscalls de archivo más pesados — los sitios de llamada suelen envolverlo en un pequeño helper que pasa `NULL/0/NULL/FALSE` para el trío opcional filtro/índice/reinicio cuando se quiere "todo". El kernel devuelve `STATUS_NO_EAS_ON_FILE` para archivos sin flujo EA y `STATUS_NONEXISTENT_EA_ENTRY` para una búsqueda nominada inexistente — ambos oráculos negativos útiles al sondear.
Uso común por malware
El lado de lectura del patrón de sigilo EA: un implante que previamente ocultó configuración o shellcode vía `NtSetEaFile` lo recarga después con `NtQueryEaFile`. Nombrar el EA explícitamente vía el parámetro `EaList` es preferible a una enumeración completa porque deja una huella telemétrica menor y evita activar escáneres que recorren todos los EAs del archivo. Algunos loaders también usan la ruta EA como canal lateral de integridad — la presencia del payload y su tamaño exacto actúan como detector de manipulación antes de descifrar.
Oportunidades de detección
`NtQueryEaFile` por sí solo es benigno — el propio SO lo invoca sobre comparticiones de perfiles itinerantes y cada vez que se leen EAs de permisos WSL/Cygwin. La señal está en el *patrón*: un proceso que abre un archivo no-WSL con FILE_READ_EA e inmediatamente descifra/salta al blob devuelto. El evento ETW Microsoft-Windows-Kernel-File `FileQueryEa`, emparejado con un VirtualProtect→RX posterior sobre una región recién escrita desde ese búfer, es la correlación de alta fidelidad. Consultas EA aisladas desde `svchost.exe`, `lsass.exe` o cualquier binario Microsoft firmado contra un archivo escribible por usuario merecen elevarse.
Ejemplos de syscalls directos
cTargeted single-EA read
// Fetch only the 'CONFIG.BIN' EA — avoids a noisy full enumeration.
HANDLE h = CreateFileW(L"C:\\ProgramData\\update.dat", FILE_READ_EA, FILE_SHARE_READ,
NULL, OPEN_EXISTING, 0, NULL);
struct {
ULONG NextEntryOffset;
UCHAR EaNameLength;
CHAR EaName[12]; // "CONFIG.BIN\0" + padding
} eaList = { 0, 10, "CONFIG.BIN\0" };
BYTE out[4096];
IO_STATUS_BLOCK iosb;
NTSTATUS st = NtQueryEaFile(h, &iosb, out, sizeof(out),
TRUE, // single entry
&eaList, sizeof(eaList),
NULL, // no index
TRUE); // restart scan
if (NT_SUCCESS(st)) {
PFILE_FULL_EA_INFORMATION ea = (PFILE_FULL_EA_INFORMATION)out;
decrypt_and_run(ea->EaName + ea->EaNameLength + 1, ea->EaValueLength);
}asmx64 direct stub
; NtQueryEaFile direct syscall (Win11 24H2 SSN 0x150)
NtQueryEaFile PROC
mov r10, rcx
mov eax, 150h
syscall
ret
NtQueryEaFile ENDPrustEnumerate every EA on a file
// Cargo: windows-sys = "0.59"
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::LibraryLoader::*;
type NtQueryEaFileFn = unsafe extern "system" fn(
HANDLE, *mut u8, *mut u8, u32, u8, *const u8, u32, *mut u32, u8,
) -> i32;
unsafe fn dump_eas(h: HANDLE) -> Vec<(String, Vec<u8>)> {
let nt = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
let f: NtQueryEaFileFn = std::mem::transmute(
GetProcAddress(nt, b"NtQueryEaFile\0".as_ptr()).unwrap()
);
let mut buf = vec![0u8; 0x10000];
let mut iosb = [0u8; 16];
let st = f(h, iosb.as_mut_ptr(), buf.as_mut_ptr(), buf.len() as u32,
0, std::ptr::null(), 0, std::ptr::null_mut(), 1);
if st < 0 { return vec![]; }
// Walk NextEntryOffset chain ... (omitted for brevity)
Vec::new()
}Mapeos MITRE ATT&CK
Last verified: 2026-05-20