> Windows Syscalls
ntoskrnl.exeT1564.004T1564T1106

NtQueryEaFile

Lee atributos extendidos NTFS (EA) desde un handle de archivo, con filtro/paginación opcionales.

Prototipo

NTSTATUS NtQueryEaFile(
  HANDLE           FileHandle,
  PIO_STATUS_BLOCK IoStatusBlock,
  PVOID            Buffer,
  ULONG            Length,
  BOOLEAN          ReturnSingleEntry,
  PVOID            EaList,
  ULONG            EaListLength,
  PULONG           EaIndex,
  BOOLEAN          RestartScan
);

Argumentos

NameTypeDirDescription
FileHandleHANDLEinHandle a un archivo abierto (debe incluir acceso FILE_READ_EA).
IoStatusBlockPIO_STATUS_BLOCKoutRecibe el estado de finalización y bytes escritos en Buffer.
BufferPVOIDoutRecibe un arreglo de registros FILE_FULL_EA_INFORMATION.
LengthULONGinTamaño de Buffer en bytes.
ReturnSingleEntryBOOLEANinSi TRUE, devuelve solo el primer EA coincidente, aunque quepan más en Buffer.
EaListPVOIDinLista opcional de FILE_GET_EA_INFORMATION que nombra EAs específicos (NULL = todos).
EaListLengthULONGinTamaño de EaList en bytes, o 0 si EaList es NULL.
EaIndexPULONGinÍndice opcional (base 1) en la lista de EAs del archivo donde comenzar la enumeración.
RestartScanBOOLEANinSi TRUE, reinicia la enumeración desde el primer EA; FALSE continúa desde la llamada previa.

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x12Dwin10-1507
Win10 16070x133win10-1607
Win10 17030x138win10-1703
Win10 17090x13Bwin10-1709
Win10 18030x13Dwin10-1803
Win10 18090x13Ewin10-1809
Win10 19030x13Fwin10-1903
Win10 19090x13Fwin10-1909
Win10 20040x145win10-2004
Win10 20H20x145win10-20h2
Win10 21H10x145win10-21h1
Win10 21H20x146win10-21h2
Win10 22H20x146win10-22h2
Win11 21H20x14Cwin11-21h2
Win11 22H20x14Ewin11-22h2
Win11 23H20x14Ewin11-23h2
Win11 24H20x150win11-24h2
Server 20160x133winserver-2016
Server 20190x13Ewinserver-2019
Server 20220x14Bwinserver-2022
Server 20250x150winserver-2025

Módulo del kernel

ntoskrnl.exeNtQueryEaFile

APIs relacionadas

NtSetEaFileZwQueryEaFileGetFileInformationByHandleEx (FileFullEaInformation)BackupRead (BACKUP_EA_DATA stream)FILE_FULL_EA_INFORMATIONFILE_GET_EA_INFORMATION

Stub del syscall

4C 8B D1            mov r10, rcx
B8 50 01 00 00      mov eax, 0x150     ; Win11 24H2 SSN
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

Contraparte de `NtSetEaFile`. Con 9 argumentos, dos de ellos pasados por pila en x64, es uno de los syscalls de archivo más pesados — los sitios de llamada suelen envolverlo en un pequeño helper que pasa `NULL/0/NULL/FALSE` para el trío opcional filtro/índice/reinicio cuando se quiere "todo". El kernel devuelve `STATUS_NO_EAS_ON_FILE` para archivos sin flujo EA y `STATUS_NONEXISTENT_EA_ENTRY` para una búsqueda nominada inexistente — ambos oráculos negativos útiles al sondear.

Uso común por malware

El lado de lectura del patrón de sigilo EA: un implante que previamente ocultó configuración o shellcode vía `NtSetEaFile` lo recarga después con `NtQueryEaFile`. Nombrar el EA explícitamente vía el parámetro `EaList` es preferible a una enumeración completa porque deja una huella telemétrica menor y evita activar escáneres que recorren todos los EAs del archivo. Algunos loaders también usan la ruta EA como canal lateral de integridad — la presencia del payload y su tamaño exacto actúan como detector de manipulación antes de descifrar.

Oportunidades de detección

`NtQueryEaFile` por sí solo es benigno — el propio SO lo invoca sobre comparticiones de perfiles itinerantes y cada vez que se leen EAs de permisos WSL/Cygwin. La señal está en el *patrón*: un proceso que abre un archivo no-WSL con FILE_READ_EA e inmediatamente descifra/salta al blob devuelto. El evento ETW Microsoft-Windows-Kernel-File `FileQueryEa`, emparejado con un VirtualProtect→RX posterior sobre una región recién escrita desde ese búfer, es la correlación de alta fidelidad. Consultas EA aisladas desde `svchost.exe`, `lsass.exe` o cualquier binario Microsoft firmado contra un archivo escribible por usuario merecen elevarse.

Ejemplos de syscalls directos

cTargeted single-EA read

// Fetch only the 'CONFIG.BIN' EA — avoids a noisy full enumeration.
HANDLE h = CreateFileW(L"C:\\ProgramData\\update.dat", FILE_READ_EA, FILE_SHARE_READ,
                       NULL, OPEN_EXISTING, 0, NULL);

struct {
    ULONG  NextEntryOffset;
    UCHAR  EaNameLength;
    CHAR   EaName[12];   // "CONFIG.BIN\0" + padding
} eaList = { 0, 10, "CONFIG.BIN\0" };

BYTE out[4096];
IO_STATUS_BLOCK iosb;
NTSTATUS st = NtQueryEaFile(h, &iosb, out, sizeof(out),
                            TRUE,                  // single entry
                            &eaList, sizeof(eaList),
                            NULL,                  // no index
                            TRUE);                 // restart scan
if (NT_SUCCESS(st)) {
    PFILE_FULL_EA_INFORMATION ea = (PFILE_FULL_EA_INFORMATION)out;
    decrypt_and_run(ea->EaName + ea->EaNameLength + 1, ea->EaValueLength);
}

asmx64 direct stub

; NtQueryEaFile direct syscall (Win11 24H2 SSN 0x150)
NtQueryEaFile PROC
    mov  r10, rcx
    mov  eax, 150h
    syscall
    ret
NtQueryEaFile ENDP

rustEnumerate every EA on a file

// Cargo: windows-sys = "0.59"
use windows_sys::Win32::Foundation::HANDLE;
use windows_sys::Win32::System::LibraryLoader::*;

type NtQueryEaFileFn = unsafe extern "system" fn(
    HANDLE, *mut u8, *mut u8, u32, u8, *const u8, u32, *mut u32, u8,
) -> i32;

unsafe fn dump_eas(h: HANDLE) -> Vec<(String, Vec<u8>)> {
    let nt = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
    let f: NtQueryEaFileFn = std::mem::transmute(
        GetProcAddress(nt, b"NtQueryEaFile\0".as_ptr()).unwrap()
    );
    let mut buf = vec![0u8; 0x10000];
    let mut iosb = [0u8; 16];
    let st = f(h, iosb.as_mut_ptr(), buf.as_mut_ptr(), buf.len() as u32,
               0, std::ptr::null(), 0, std::ptr::null_mut(), 1);
    if st < 0 { return vec![]; }
    // Walk NextEntryOffset chain ... (omitted for brevity)
    Vec::new()
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20