RtlSetThreadPlaceholderCompatibilityMode 函数 (ntifs.h)
RtlSetThreadPlaceholderCompatibilityMode 设置当前线程的占位符兼容性模式。 这允许线程显式请求占位符文件是伪装或公开的,只覆盖该应用程序的默认模式。
语法
NTSYSAPI CHAR RtlSetThreadPlaceholderCompatibilityMode(
[in] CHAR Mode
);
参数
[in] Mode
指定要设置的占位符兼容性模式。
返回值
返回线程以前的占位符兼容性模式。 如果出现错误,则返回负值。 它可以是以下值之一:
| 兼容性模式 | 价值 |
|---|---|
| PHCM_APPLICATION_DEFAULT | 0 |
| PHCM_DISGUISE_PLACEHOLDER | 1 |
| PHCM_EXPOSE_PLACEHOLDERS | 2 |
| PHCM_MAX | 2 |
| PHCM_ERROR_INVALID_PARAMETER | -1 |
| PHCM_ERROR_NO_TEB | -2 |
言论
当占位符公开时,诸如存在重新分析点、稀疏位和脱机位等特征通过目录枚举和其他类型的文件信息查询可见。 当占位符伪装时,这些详细信息将完全隐藏,从而使该文件看起来像普通文件。
默认情况下,大多数 Windows 应用程序都会看到公开的占位符。 出于兼容性原因,Windows 可能会决定某些应用程序默认看到伪装占位符。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | Windows 10 版本 1709。 |
| 目标平台 | 窗户 |
| 标头 | ntifs.h (include Ntifs.h) |
另请参阅
RtlQueryProcessPlaceholderCompatibilityMode