RtlSetThreadPlaceholderCompatibilityMode 函数 (ntifs.h)
RtlSetThreadPlaceholderCompatibilityMode 设置当前线程的占位符兼容性模式。 这允许线程显式请求伪装或公开占位符文件,仅覆盖该线程的应用程序默认模式。
语法
NTSYSAPI CHAR RtlSetThreadPlaceholderCompatibilityMode(
[in] CHAR Mode
);
参数
[in] Mode
指定要设置的占位符兼容性模式。
返回值
返回线程以前的占位符兼容性模式。 如果出现错误,则返回负值。 可以为下列值之一:
| 兼容模式 | 值 |
|---|---|
| PHCM_APPLICATION_DEFAULT | 0 |
| PHCM_DISGUISE_PLACEHOLDER | 1 |
| PHCM_EXPOSE_PLACEHOLDERS | 2 |
| PHCM_MAX | 2 |
| PHCM_ERROR_INVALID_PARAMETER | -1 |
| PHCM_ERROR_NO_TEB | -2 |
注解
公开占位符时,通过目录枚举和其他类型的文件信息查询可以清楚地看到重新分析点、稀疏位和脱机位等特征。 当占位符被伪装时,这些详细信息将完全隐藏,使文件看起来像一个普通文件。
默认情况下,大多数 Windows 应用程序都会看到公开的占位符。 出于兼容性原因,Windows 可能会决定某些应用程序默认看到伪装的占位符。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows 10版本 1709。 |
| 目标平台 | Windows |
| 标头 | ntifs.h (包括 Ntifs.h) |
另请参阅
RtlQueryProcessPlaceholderCompatibilityMode
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈