> Windows Syscalls
ntoskrnl.exeT1106

NtCompareTokens

Détermine si deux tokens accordent les mêmes accès — même utilisateur, mêmes groupes, mêmes SIDs restreints, mêmes privilèges.

Prototype

NTSTATUS NtCompareTokens(
  HANDLE   FirstTokenHandle,
  HANDLE   SecondTokenHandle,
  PBOOLEAN Equal
);

Arguments

NameTypeDirDescription
FirstTokenHandleHANDLEinHandle vers le premier token. Nécessite TOKEN_QUERY.
SecondTokenHandleHANDLEinHandle vers le second token. Nécessite TOKEN_QUERY.
EqualPBOOLEANoutTRUE si les tokens accordent un accès identique pour l'ensemble comparé, FALSE sinon.

IDs de syscalls par version de Windows

Version de WindowsID de syscallBuild
Win10 15070x96win10-1507
Win10 16070x97win10-1607
Win10 17030x99win10-1703
Win10 17090x9Awin10-1709
Win10 18030x9Bwin10-1803
Win10 18090x9Bwin10-1809
Win10 19030x9Bwin10-1903
Win10 19090x9Bwin10-1909
Win10 20040x9Dwin10-2004
Win10 20H20x9Dwin10-20h2
Win10 21H10x9Dwin10-21h1
Win10 21H20x9Dwin10-21h2
Win10 22H20x9Dwin10-22h2
Win11 21H20x9Fwin11-21h2
Win11 22H20x9Fwin11-22h2
Win11 23H20x9Fwin11-23h2
Win11 24H20xA1win11-24h2
Server 20160x97winserver-2016
Server 20190x9Bwinserver-2019
Server 20220x9Fwinserver-2022
Server 20250xA1winserver-2025

Module noyau

ntoskrnl.exeNtCompareTokens

APIs liées

CompareObjectHandlesAccessCheckByTypeAndAuditAlarmNtQueryInformationTokenNtDuplicateTokenNtAccessCheck

Stub du syscall

4C 8B D1            mov r10, rcx
B8 A1 00 00 00      mov eax, 0xA1
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notes non documentées

Compare la décision d'accès *effective* de deux tokens, pas leur identité brute. La routine noyau SepCompareTokens parcourt les tableaux User SID, Groups, RestrictedSids et Privileges et renvoie Equal=TRUE seulement si chaque ensemble correspond élément par élément. La MandatoryPolicy, le niveau d'intégrité et le niveau d'impersonation ne sont *pas* inclus dans la comparaison — deux tokens à des niveaux d'intégrité différents peuvent donc être considérés équivalents. Microsoft documente l'API surtout pour les logiciels de sécurité qui veulent savoir si deux tokens d'impersonation sont interchangeables (ex. : un handle de ressource caché est-il encore valide). C'est un des syscalls token à plus faible trafic — un poste émet typiquement quelques appels par minute, surtout depuis svchost.exe et lsass.exe.

Usage courant par les malwares

Rare en offensif ; quasi exclusivement vu dans les logiciels défensifs. Les navigateurs (Edge, Chrome) l'appellent via `CompareObjectHandles` pour vérifier que le token du renderer sandboxé correspond toujours à celui que le broker a forgé, parade aux attaques de token-swap pendant l'IPC. Les hôtes AppContainer l'utilisent pour valider la continuité du token enfant. Les rares usages malicieux sont de la reco : un implant duplique plusieurs tokens capturés et les compare pour détecter des doublons ou dédupliquer les candidats d'impersonation avant un `SetThreadToken`. Pas de recette offensive canonique.

Opportunités de détection

Plutôt une *non-détection* — les appelants légitimes (lsass.exe, MsMpEng.exe, RuntimeBroker.exe, msedge.exe) dominent. Un processus non système appelant `NtCompareTokens` sur deux tokens fraîchement acquis via `NtOpenProcessToken` contre des processus sans rapport est un faible signal de reco credentials, à coupler avec la télémétrie `NtDuplicateToken` et `NtImpersonateAnonymousToken`. Pas d'événement ETW Threat-Intelligence dédié ; s'appuyer sur les hooks EDR de `ntdll!NtCompareTokens` filtrés par `actor_image NOT IN (navigateurs/AV/runtime brokers)`.

Exemples de syscalls directs

cSandbox token-swap defense (browser pattern)

// Pattern used by AppContainer hosts: a broker reopens the renderer's token
// and confirms it still matches the one it issued, defending against an attacker
// who swapped the renderer's primary token via cross-process injection.
typedef NTSTATUS(NTAPI* fnNtCompareTokens)(HANDLE, HANDLE, PBOOLEAN);

BOOL TokenStillMine(HANDLE issued, HANDLE currentRendererToken) {
    HMODULE n = GetModuleHandleA("ntdll.dll");
    fnNtCompareTokens p = (fnNtCompareTokens)GetProcAddress(n, "NtCompareTokens");
    BOOLEAN eq = FALSE;
    return p(issued, currentRendererToken, &eq) == 0 && eq;
}

asmx64 direct stub (Win11 24H2 SSN)

; SSN 0xA1 on win11-24h2 / winserver-2025.
NtCompareTokens PROC
    mov  r10, rcx
    mov  eax, 0A1h
    syscall
    ret
NtCompareTokens ENDP

rustImplant-side dedup of stolen tokens

// Implant collected N tokens via NtOpenProcessToken. Before bothering to
// SetThreadToken into each, drop duplicates that grant the same access.
use windows_sys::Win32::System::LibraryLoader::{GetModuleHandleA, GetProcAddress};

type NtCompareTokens = unsafe extern "system" fn(a: isize, b: isize, eq: *mut u8) -> i32;

pub unsafe fn dedup_tokens(mut tokens: Vec<isize>) -> Vec<isize> {
    let n = GetModuleHandleA(b"ntdll.dll\0".as_ptr());
    let addr = GetProcAddress(n, b"NtCompareTokens\0".as_ptr()).unwrap();
    let f: NtCompareTokens = std::mem::transmute(addr);
    let mut out: Vec<isize> = Vec::new();
    for t in tokens.drain(..) {
        let mut is_dup = false;
        for &kept in &out {
            let mut eq: u8 = 0;
            if f(t, kept, &mut eq) == 0 && eq != 0 { is_dup = true; break; }
        }
        if !is_dup { out.push(t); }
    }
    out
}

Mappings MITRE ATT&CK

Last verified: 2026-05-20