在使用CreateFile()调用打开文件时,可以使用多个标志和属性(dwFlagsAndAttributes)。其中一个标志是FILE_FLAG_SEQUENTIAL_SCAN。我想知道,是否有可能以某种方式检测/猜测是否已使用此标志创建了文件句柄,如果你唯一拥有的是句柄本身并且没有关于其CreateFile参数的信息可用?
答案 0 :(得分:2)
您可以从内核模式调用NtQueryInformationFile(或ZwQueryInformationFile)来检索FILE_OBJECT结构。其 Flags 成员提供您正在寻找的信息。