RtlSetProcessPlaceholderCompatibilityMode 函数 (ntifs.h)
RtlSetProcessPlaceholderCompatibilityMode 设置当前进程的占位符兼容性模式。
语法
NTSYSAPI CHAR RtlSetProcessPlaceholderCompatibilityMode(
CHAR Mode
);
参数
Mode
要设置的占位符兼容性模式。
返回值
此函数返回进程的上一个占位符兼容性模式(PHCM_xxx),或错误(PCHM_ERROR_xxx)的负值。
它可以是以下值之一:
| 兼容性模式 | 价值 |
|---|---|
| PHCM_APPLICATION_DEFAULT | 0 |
| PHCM_DISGUISE_PLACEHOLDER | 1 |
| PHCM_EXPOSE_PLACEHOLDERS | 2 |
| PHCM_MAX | 2 |
| PHCM_ERROR_INVALID_PARAMETER | -1 |
| PHCM_ERROR_NO_TEB | -2 |
言论
当占位符公开时,诸如存在重新分析点、稀疏位和脱机位等特征通过目录枚举和其他类型的文件信息查询可见。 当占位符伪装时,这些详细信息将完全隐藏,从而使该文件看起来像普通文件。
默认情况下,大多数 Windows 应用程序都会看到公开的占位符。 出于兼容性原因,Windows 可能会决定某些应用程序默认看到伪装占位符。
要求
| 要求 | 价值 |
|---|---|
| 最低支持的客户端 | Windows 10 (版本 1803) |
| 目标平台 | 普遍 |
| 标头 | ntifs.h |
另请参阅
RtlQueryProcessPlaceholderCompatibilityMode