ntsd是一个dos命令,它的作用是结束一些无法正常结束的死进程。 用法是打开cmd输入以下命令结束进程:
方法一:使用进程的PID结束进程
命令格式:ntsd -cq -p pid
命令示例:ntsd -cq -p 1332(结束PID为1332的.exe进程)
例子详解:.exe的pid是1332,但是如何获取进程的pid呢? CMD下输入即可获取当前任务管理器中所有进程的PID(并非所有.exe进程都是1332)
方法二:使用进程名结束进程
命令格式:ntsd -cq -pn ***.exe(***.exe为进程名,exe不能省略)
命令示例:ntsd -cq -pn .exe
其他可以结束进程的 DOS 命令包括:
命令格式:/pid 1234 /f (也可以达到同样的效果)
如果以上还不足以满足您的求知欲,这里还有一些:
ntsd详细解释
有一些高级进程可能无法终止,所以我们有一个更强大的工具,那就是系统调试。
级别 ntsd。 准确的说,ntsd是一个系统调试工具,只有系统开发级管理员才能使用,但是对于我们杀进程来说,还是很酷的。 基本上,ntsd可以杀掉除系统自身管理进程之外的所有东西。 失去。
当然,有些级别的超级神还是无能为力的。 好在这个级别的***还是很少的。
ntsd 调试器要求用户在启动时指定要连接的进程。使用 TLIST 或者可以获得现有的
进程的进程ID,然后输入ntsd -p pid 来调试该进程。 ntsd 命令行使用以下语法:
ntsd[]
其中 是要调试的映像的名称,并且是以下选项之一:
选项说明 -2 打开新窗口来调试字符模式应用程序 -d 将输出重定向到调试终端 -g 自动执行
传递第一个断点 -G 会导致 ntsd 在子例程终止时立即退出。 启用多个进程的调试。 默认值是调试器派生的值。
进程 -p 指定调试由进程 ID 标识的进程 -v 生成详细输出
例如,假设 .exe 的进程 ID 为 104。键入以下命令将 ntsd 调试器附加到该进程 (IIS)。
ntsd-p 104
您还可以使用ntsd启动一个新进程进行调试。例如ntsd.exe将启动一个新的.exe
处理并与其建立连接。
连接到进程后,您可以使用各种命令来查看堆栈、设置断点、转储内存等。
命令含义~显示所有线程的列表 KB 显示当前线程的堆栈跟踪~*KB 显示所有线程的堆栈跟踪 R 显示当前
帧的寄存器输出 U 反汇编代码并显示过程名称和偏移量 D[type][<range>] 转储内存 BP[#] 五亚教程网:
设置断点 BC[] 清除一个或多个断点 BD[] 禁用一个或多个断点 BE[<bp>] 启用一个或多个断点 BL[] 列出一个
或多个断点
个人认为,一个非常重要的参数就是-v参数,通过它我们可以发现某个进程附加了哪些连接库文件。
有很多病毒、***或者恶意软件喜欢把自己做成动态库,然后注册到系统中正常程序的加载库列表中来隐藏自己。
首先,我们需要设置ntsd的输出重定向。 最好将其重定向到文本文件,以方便我们分析和研究。
c:\>设置 PPEND=c:\pdw.txt
请注意,虽然输出被重定向,但我们的输出将继续显示在屏幕上并进入调试模式。 我们使用-c
q参数可以避免这个问题。
c:\>ntsd -cq -v .exe
现在在我们的pdw.txt文件中,可以看到.exe文件的调试信息。
ntsd 使用以下参数终止进程。
c:\>ntsd -cq -p PID 只要你能提供进程的PID,那么你就可以杀死该进程。