http://blog.yam.com/jingshun/article/26733757 [轉貼]dos 指令ntsd的用法 jingshun 在天空部落發表於22:07:36 | 作業系統 ntsd的用法 ntsd 是一條dos命令,功能是用於結束一些常規下結束不了的死進程。 ntsd詳解 有一些高等級的進程,tskill和taskkill或許無法結束,那麼我們還有一個更強大的工具,那就是系統debug 級的ntsd.準確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,但是對我們殺掉進程還是很爽的.基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉. 當然咯,有些rootkit級別的超級木馬,還是無能為力,幸好這種牛牛級別的木馬還是很少的. ntsd的用法 ntsd 是一條dos命令,功能是用於結束一些常規下結束不了的死進程。用法為打開cmd 後輸入以下命令就可以結束進程: 方法一:利用進程的PID結束進程 命令格式:ntsd -c q -p pid 命令範例: ntsd -c q -p 1332 (結束PID為1332的explorer.exe進程) 範例詳解:explorer.exe的pid為1332,但是如何獲取進程的pid呢?在CMD下輸入TASKLIST就可以獲取當前任務管理器所有進程的PID(並不是所有的exploer.exe進程都是1332) 方法二:利用進程名結束進程 命令格式:ntsd -c q -pn ***.exe (***.exe 為進程名,exe不能省) 命令範例:ntsd -c q -pn explorer.exe 另外的能結束進程的DOS命令還有taskkill: 命令格式: taskkill /pid 1234 /f ( 也可以達到同樣的效果。) 如果上面這些還不能滿足您的求知欲,下面還有: ntsd詳解 有一些高等級的進程,tskill和taskkill或許無法結束,那麼我們還有一個更強大的工具,那就是系統debug 級的ntsd.準確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,但是對我們殺掉進程還是很爽的.基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉. 當然咯,有些rootkit級別的超級木馬,還是無能為力,幸好這種牛牛級別的木馬還是很少的. ntsd 調試程式在啟動時要求用戶指定一個要連接的進程。使用 TLIST 或 PVIEWER,您可以獲得某個現有 進程的進程 ID,然後鍵入 ntsd -p pid 來調試這個進程。ntsd 命令行使用如下的句法: ntsd [options] imagefile 其中,imagefile 是要調試的映射名稱,options 是下麵選項之一: 選項說明-2打開一個用於調試字元模式的應用程式的新視窗-d將輸出重定向到調試終端-g 使執行自動通 過第一個中斷點-G使 ntsd 在副程式終止時立即退出o啟用多個進程的調試,預設值為由調試程式衍生的一 個進程-p指定調試由進程 ID 標識的進程-v產生詳細的輸出 例如,假設 inetinfo.exe 的進程 ID 為 104。鍵入以下命令將 ntsd 調試程式連接到 inetinfo 進程(IIS)。 ntsd -p 104 也可使用 ntsd 啟動一個新進程來進行調試。例如,ntsd notepad.exe 將啟動一個新的 notepad.exe 進 程,並與它建立連接。 一旦連接到某個進程,您就可以用各種命令來查看堆疊、設置中斷點、轉儲記憶體,等等。 命令含義~顯示所有線程的一個列表KB 顯示當前線程的堆疊軌跡~*KB顯示所有線程的堆疊軌跡R顯示當前 幀的寄存器輸出U反彙編代碼並顯示過程名和偏移量D[type][< range>]轉儲記憶體BP[#] 無涯教程網:http://www.wuyapc.com 設置中斷點BC[]清除一個或多個中斷點BD[]禁用一個或多個中斷點BE[< bp>]啟用一個或多個中斷點BL[]列出一個 或多個中斷點 個人意見,有一個非常重要的參數就是-v參數,我們可以通過它發現一個進程下面掛接了哪些連接庫檔. 有很多病毒,木馬,或者惡意軟體,都喜歡把自己做成動態庫,然後註冊到系統正常程式的載入庫列表中,達到隱藏自己的目的. 首先我們需要設置一下ntsd的輸出重定向,最好是重定向到一個文字檔案,方便我們分析研究. c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt 注意,雖然輸出重定向了,但是我們的輸出依然會繼續顯示在螢幕上,而且會進入到debug模式,我們使用-c q參數,就可以避免這個問題. c:\>ntsd -c q -v notepad.exe 現在我們的pdw.txt檔中,就可以看見notepad.exe檔的調試資訊. ntsd使用以下參數殺死進程. c:\>ntsd -c q -p PID 只要你能提供進程的PID,那麼你就可以幹掉進程。 看看我其他的文章: XP 瘦身 大法 sql檔案內容(96*96矩陣) [轉貼]般若波羅蜜多心經講記 Subfunction of Octave 在octave下的子涵數(副程式) 回 · 搞怪電腦基本常識 這一篇文章封面 |
本站公告:〔您越需要我們,我們就越有創意〕 | 本站說明書:〔發現故鄉還有改進的地方,請來信告訴原丁們〕 |
觀察應用學習點數 :〔咱的故鄉有您的參與,會使我們有更大的發揮空間,展現更豐富精彩的學習畫面〕 | 〔期待藉由無障礙網頁設計,能讓視障小朋友更愛看書、更愛寫作且更愛學習〕:盲用電腦「心得分享」 |