《系统NTSD讲解(手动结束进程法)》由会员分享,可在线阅读,更多相关《系统NTSD讲解(手动结束进程法)(1页珍藏版)》请在金锄头文库上搜索。
1、NtsdNtsdNtsdNtsd 简介简介 ntsd 从 Windows 2000 开始就是系统自带的进程调试工具,在 system32 目录下。 NTSD 的 功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。 NtsdNtsdNtsdNtsd 用法用法 Ntsd 在 Windows 中只有 System、SMSS.EXE 和 CSRSS.EXE 不能杀。前两个是纯内核 态的,最后那个是 Win32 子系统,ntsd 本身需要它。lsass.exe 也不要杀掉,它是负责本地账 户安全的。被调试器附着的进程会随调试器一起退出,所以可以用来在命令行下终止进程。 打开打开
2、cmdcmdcmdcmd 后输入以下命令就可以结束进程: 利用进程利用进程 PIDPIDPIDPID 结束进程结束进程 (PID=进程 ID, 进任务管理器查看选择列PID) 命令格式: ntsdntsdntsdntsd-c -c -c -c q q q q-p-p-p-ppidpidpidpid命 令范例: ntsd -c q -p 4 (结束 System 进程。当然,System 进程是杀不掉的)范例详 解:System 的 pid 为 4,但是如何获取进程的 pid 呢?在 CMD 下输入 TASKLIST 就可以获 取当前任务管理器所有进程的 PID。或者打开任务管理器,在菜单栏,选
3、择“查看”“选 择列”,在打开的选择项窗口中将“PID(进程标识符)”项选择钩上,这样任务管理器的进程 中就会多出 PID 一项了。 (PID 的分配并不固定,是在进程启动是由系统随机分配的,所以 进 程 每 次 启 动 的 进 程 一 般 都 不 会 一 样 。)可 使 用 以 下 批 处 理 : =rem 复制以下内容到 记 事 本 ,另 存 为 pid.batecho offmode con cols=30 lines=10color 1e echo.set /p t=请输入进程名:echo PID NAME& echo =for /f “tokens=2 delims=,“ %iin(
4、tasklist /fo csv /fi “imagename eq %t%.exe“ /nh) do ntsd -c q -p %i&echo%i%t%pausenulexit = 利用进程名结束进程利用进程名结束进程 命令格式:ntsdntsdntsdntsd-c -c -c -c q q q q-pn-pn-pn-pn *.exe*.exe*.exe*.exe (*.exe 为进程名,exe不能省)/ntsd -c q -p pid (pid 为表格中的“PID”。想要找到表 格 可以输入“tasklist”)命令范例:ntsd -c q -pn explorer.exe另外的能结束进程的 DOS 命令还有 taskkill 和 tskill 命令:命令格 式: taskkill /pid 1234 /f ( 也可以达到同样的效果。 ) 可以知道,ntsd 的软件终止能力是很好很强大的,一些 taskkill 都无法终止的软件(如 Student.exe这一类或木马)可以用 ntsd 轻易终止但是它仍有缺点,因为技术在不断更 新,在对付最新的有很强防护的病毒等程序时,仍建议使用 IceSword 等专业工具。 可 以试一下 ntsd 拿 360,IceSword,nod32 等杀软程序毫无办法。
