NtQuerySystemInformation
Récupère une classe d'informations à l'échelle du système — liste des processus, table des handles noyau, liste des pilotes chargés, état d'intégrité du code, et plus.
Prototype
NTSTATUS NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| SystemInformationClass | SYSTEM_INFORMATION_CLASS | in | Enum sélectionnant l'ensemble de données. Notables : SystemProcessInformation=5, SystemModuleInformation=11, SystemHandleInformation=16, SystemExtendedHandleInformation=64, SystemBigPoolInformation=66, SystemBootEnvironmentInformation=90, SystemCodeIntegrityInformation=103. |
| SystemInformation | PVOID | out | Buffer fourni par l'appelant recevant les données retournées. Le format est spécifique à la classe. |
| SystemInformationLength | ULONG | in | Taille en octets du buffer SystemInformation. |
| ReturnLength | PULONG | out | Pointeur optionnel recevant les octets écrits, ou la taille requise sur STATUS_INFO_LENGTH_MISMATCH (pattern canonique de boucle de dimensionnement). |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x36 | win10-1507 |
| Win10 1607 | 0x36 | win10-1607 |
| Win10 1703 | 0x36 | win10-1703 |
| Win10 1709 | 0x36 | win10-1709 |
| Win10 1803 | 0x36 | win10-1803 |
| Win10 1809 | 0x36 | win10-1809 |
| Win10 1903 | 0x36 | win10-1903 |
| Win10 1909 | 0x36 | win10-1909 |
| Win10 2004 | 0x36 | win10-2004 |
| Win10 20H2 | 0x36 | win10-20h2 |
| Win10 21H1 | 0x36 | win10-21h1 |
| Win10 21H2 | 0x36 | win10-21h2 |
| Win10 22H2 | 0x36 | win10-22h2 |
| Win11 21H2 | 0x36 | win11-21h2 |
| Win11 22H2 | 0x36 | win11-22h2 |
| Win11 23H2 | 0x36 | win11-23h2 |
| Win11 24H2 | 0x36 | win11-24h2 |
| Server 2016 | 0x36 | winserver-2016 |
| Server 2019 | 0x36 | winserver-2019 |
| Server 2022 | 0x36 | winserver-2022 |
| Server 2025 | 0x36 | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 36 00 00 00 mov eax, 0x36 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
Autre poids lourd à SSN figé : 0x36 de Windows 10 1507 jusqu'à Windows 11 24H2. L'énumération de classes est énorme (200+ valeurs dans les noyaux récents) et constitue la base de presque toute API Win32 « énumérer l'état système » : EnumProcesses (classe 5), GetSystemInfo (classe 0), GetNativeSystemInfo, EnumDeviceDrivers (classe 11), et le non-officiellement-exposé NtQuerySystemInformation(SystemHandleInformation=16). La classe 16 est le format de handle 16 bits legacy ; la classe 64 (SystemExtendedHandleInformation) est la variante large moderne — les outils modernes devraient utiliser cette dernière. Le pattern d'appel canonique est une boucle de dimensionnement : appeler avec NULL/0 pour obtenir la taille requise dans ReturnLength, allouer, rappeler, recommencer si le système a grossi sous vos pieds (STATUS_INFO_LENGTH_MISMATCH sur race).
Usage courant par les malwares
Trois usages OPSEC et de reconnaissance à fort impact. (1) SystemProcessInformation (5) renvoie une liste contiguë unique de chaque processus et de *tous ses threads* — utilisée pour trouver des cibles d'injection sans toucher au chemin bruyant CreateToolhelp32Snapshot ; aussi la primitive de découverte derrière « trouver le TID lsass.exe avec attente ALERTABLE » pour Early Bird APC. (2) SystemHandleInformation / SystemExtendedHandleInformation (16/64) énumère chaque handle dans chaque processus — utilisée par les outils furtifs de credential-dumping (HandleKatz, variantes NanoDump) pour trouver un handle PROCESS_VM_READ existant vers lsass.exe détenu par un autre processus et *le dupliquer* via NtDuplicateObject, contournant complètement NtOpenProcess sur lsass. (3) SystemModuleInformation (11) énumère les modules kernel chargés avec leurs adresses de base — défait KASLR pour tout appelant non-LowIL, utilisée par les attaques BYOVD pour calculer les offsets en mémoire des fonctions de pilote ciblées, et par les détecteurs de rootkits. SystemCodeIntegrityInformation (103) permet à un payload de détecter si HVCI / DSE est appliqué avant de tenter de charger un pilote non signé. SystemBootEnvironmentInformation (90) révèle si le chemin de boot est BIOS ou UEFI Secure Boot et est échantillonné par les bootkits pour conditionner leur stratégie de persistance.
Opportunités de détection
Le volume de la classe 5 (SystemProcessInformation) est énorme en usage normal — c'est ainsi que Task Manager, Process Explorer, tout agent de monitoring et le runtime lui-même énumèrent. Le discriminateur est le numéro de classe plus la confiance du processus appelant : les classes 16/64 (énumération de handles) et 11 (énumération de modules) depuis tout processus non-système et non signé Microsoft sont suspectes. ETW Microsoft-Windows-Threat-Intelligence n'expose PAS ce syscall finement ; il faut instrumenter via ETW côté ntdll (Microsoft-Windows-Win32k-Threat-Intelligence) ou un callback noyau. Le signal le plus fort est le comportement post-appel : un processus qui appelle NtQuerySystemInformation(64) et appelle quelques millisecondes plus tard NtDuplicateObject avec un handle source dont le PID est lsass.exe fait presque certainement du credential-dumping.
Exemples de syscalls directs
cSizing loop for SystemExtendedHandleInformation
// Classic two-step: ask for size, allocate, ask for data.
ULONG len = 0x10000;
PVOID buf = NULL;
NTSTATUS st;
for (;;) {
buf = HeapAlloc(GetProcessHeap(), 0, len);
st = NtQuerySystemInformation(SystemExtendedHandleInformation /*64*/,
buf, len, &len);
if (st != STATUS_INFO_LENGTH_MISMATCH) break;
HeapFree(GetProcessHeap(), 0, buf);
len *= 2;
}
// buf now holds SYSTEM_HANDLE_INFORMATION_EX with NumberOfHandles + entries
// Iterate and find an entry with UniqueProcessId == lsass_pid and
// GrantedAccess == PROCESS_VM_READ | PROCESS_QUERY_INFORMATION -> dup it.cKASLR defeat via SystemModuleInformation
// Discloses every loaded kernel module's base address from medium-IL or higher.
// Used by BYOVD attacks to compute target driver function offsets.
RTL_PROCESS_MODULES *mods = HeapAlloc(GetProcessHeap(), 0, 0x10000);
ULONG ret = 0;
NtQuerySystemInformation(SystemModuleInformation /*11*/,
mods, 0x10000, &ret);
for (ULONG i = 0; i < mods->NumberOfModules; i++) {
if (strstr((char*)mods->Modules[i].FullPathName, "ntoskrnl.exe")) {
// mods->Modules[i].ImageBase = current ntoskrnl base — KASLR defeated.
}
}rustDetect HVCI / Code Integrity
// Returns SYSTEM_CODEINTEGRITY_INFORMATION { Length, CodeIntegrityOptions }.
// Check options for CODEINTEGRITY_OPTION_ENABLED | HVCI_ENABLED before
// even attempting an unsigned-driver load.
use windows_sys::Wdk::System::SystemInformation::*;
#[repr(C)] struct CodeIntegrityInfo { length: u32, options: u32 }
let mut ci = CodeIntegrityInfo { length: 8, options: 0 };
let mut ret = 0u32;
unsafe {
nt_query_system_information(103 /*SystemCodeIntegrityInformation*/,
&mut ci as *mut _ as *mut _, 8, &mut ret);
}
let hvci_on = ci.options & 0x400 != 0;Mappings MITRE ATT&CK
Last verified: 2026-05-20