方法一:使用进程的PID结束进程
命令格式:ntsd -c q -p pid
示例命令:ntsd -c q -p 1332(使用 PID 1332 结束.exe进程)。
示例::.exe 的 PID 是 1332,但如何获取进程的 PID?在 CMD 中输入它以获取当前任务管理器中所有进程的 PID(并非所有.exe进程都是 1332)。
方法 2:使用进程名称结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名称,exe 无法保存)。
示例命令:ntsd -c q -pn .exe
其他可以结束进程的 DOS 命令包括:
命令格式:/pid 1234 /f(可以达到同样的效果。
如果以上都不能满足你的求知欲,那么还有什么可以的:
NTSD解释
有一些高级流程,也许它们无法完成,那么我们有一个更强大的工具,那就是系统调试
准确地说,NTSD是一个系统调试工具,只有系统开发管理员才能使用,但是对于我们来说,杀过程还是很酷的
当然,也有一定等级的超级木马,但这样的公牛级木马还是很少
ntsd 调试器要求用户指定要在启动时连接到的进程。使用 TLIST 或 ,您可以获得一个现有的
进程的进程 ID,然后键入 ntsd -p pid 来调试进程。ntsd 命令行使用以下语法:
NTSD的 []
其中 是要调试的映像的名称,是以下选项之一:
选项 -2 的说明打开了一个新窗口,用于在字符模式下调试应用程序 -d 将输出重定向到调试终端 -g 以使执行自动
传递第一个断点 -G 会导致 ntsd 在子例程终止时立即退出 o 启用多个进程的调试,默认值是从调试器派生的值
-p 指定调试由进程 ID -v 标识的进程将生成详细输出
例如,假设 .exe 的进程 ID 为 104。键入以下命令以将 ntsd 调试器连接到进程 (IIS)。
NTSD -P 104
还可以使用 ntsd 启动新的调试过程。例如,NTSD .exe将开始新的.exe进步
编程并与之建立联系。
连接到进程后,您可以使用各种命令来查看堆栈、设置断点、转储内存等。
命令含义 ~ 显示所有线程的列表 KB 显示当前线程的堆栈跟踪 ~ *KB 显示所有线程的堆栈跟踪 R 显示当前
帧输出 U 的寄存器反汇编代码并显示过程名称和偏移量 D[type][< range>] dump BP[#]。
设置断点:BC[],清除一个或多个断点,BD[],禁用一个或多个断点,BE[< bp>],启用一个或多个断点,BL[],列出一个
或多个断点
在我看来,有一个非常重要的参数是 -v 参数,它允许我们找出在进程下挂钩了哪些连接库文件
有很多病毒、木马或者恶意软件喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,以达到隐藏自己的目的
首先,我们需要设置NTSD的输出重定向,最好是文本文件,以便我们可以分析和研究
c:\>设置 PPEND=c:\pdw.txt
请注意,尽管输出被重定向,但我们的输出将继续显示在屏幕上,并将使用 -c 进入调试模式
q参数,可以避免这个问题
c:\>ntsd -c q -v .exe
现在在我们的pdw.txt文件中,我们可以看到.exe文件的调试信息
ntsd 使用以下参数终止进程
c:\>ntsd -c q -p PID 只要能提供进程的 PID,就可以终止进程。