RtlSetProcessPlaceholderCompatibilityMode 函数 (ntifs.h)
RtlSetProcessPlaceholderCompatibilityMode 设置当前进程的占位符兼容性模式。
语法
NTSYSAPI CHAR RtlSetProcessPlaceholderCompatibilityMode(
CHAR Mode
);
参数
Mode
要设置的占位符兼容性模式。
返回值
此函数返回进程以前的占位符兼容性模式 (PHCM_xxx) ,或者在错误 (PCHM_ERROR_xxx) 返回负值。
可以为下列值之一:
| 兼容模式 | 值 |
|---|---|
| PHCM_APPLICATION_DEFAULT | 0 |
| PHCM_DISGUISE_PLACEHOLDER | 1 |
| PHCM_EXPOSE_PLACEHOLDERS | 2 |
| PHCM_MAX | 2 |
| PHCM_ERROR_INVALID_PARAMETER | -1 |
| PHCM_ERROR_NO_TEB | -2 |
注解
公开占位符时,通过目录枚举和其他类型的文件信息查询可以清楚地看到重新分析点、稀疏位和脱机位等特征。 当占位符被伪装时,这些详细信息将完全隐藏,使文件看起来像一个普通文件。
默认情况下,大多数 Windows 应用程序都会看到公开的占位符。 出于兼容性原因,Windows 可能会决定某些应用程序默认看到伪装的占位符。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows 10 (版本 1803) |
| 目标平台 | 通用 |
| 标头 | ntifs.h |
另请参阅
RtlQueryProcessPlaceholderCompatibilityMode