本篇文章为大家展示了如何在cmd中使用NTSD命令,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。
用法为打开cmd后输入以下命令就可以结束进程:
<强>方法一:利用进程的PID结束进程
命令格式:ntsd q - c - p PID
命令范例:ntsd - c q - p 1332(结束PID为1332年的探险家。exe进程)
范例详解:资源管理器的pid为1332年,但是如何获取进程的pid呢?在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的pid(并不是所有的exploer。exe进程都是1332)
<强>方法二:利用进程名结束进程
强命令格式:ntsd - c q pn * * *。exe (* * *。exe为进程名,exe不能省)
命令范例:ntsd - c问pn探险家。exe
另外的能结束进程的DOS命令还有taskkill:
命令格式:taskkill/pid 1234/f(也可以达到同样的效果)。
如果上面这些还不能满足您的求知欲,下面还有:
<强> ntsd详解
有一些高等级的进程,tskill和taskkill或许无法结束,那么我们还有一个更强大的工具,那就是系统调试
级的ntsd。准确的说,ntsd是一个系统调试工具,只提供给系统开发级的管理员使用,但是对我们杀掉进程还是很爽的。基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉。
当然咯,有些rootkit级别的超级木马,还是无能为力,幸好这种牛牛级别的木马还是很少的。
ntsd调试程序在启动时要求用户指定一个要连接的进程。使用TLIST或PVIEWER,您可以获得某个现有
进程的进程ID,然后键入ntsd - p pid来调试这个进程.ntsd命令行使用如下的句法:
ntsd[选项]imagefile
其中,imagefile是要调试的映像名称,选项是下面选项之一:
选项说明2打开一个用于调试字符模式的应用程序的新窗口- d将输出重定向到调试终端- g使执行自动通
过第一个断点- g使ntsd在子程序终止时立即退出阿启用多个进程的调试,默认值为由调试程序衍生的一
个进程- p指定调试由进程ID标识的进程- v产生详细的输出
例如,假设inetinfo。exe的进程ID为104。键入以下命令将ntsd调试程序连接到inetinfo进程(IIS)。
ntsd - p 104
也可使用ntsd启动一个新进程来进行调试。例如,ntsd记事本。exe将启动一个新的记事本。exe进
程,并与它建立连接。
一旦连接到某个进程,您就可以用各种命令来查看堆栈,设置断点,转储内存,等等。
命令含义~显示所有线程的一个列表KB显示当前线程的堆栈轨迹~ * KB显示所有线程的堆栈轨迹R显示当前
帧的寄存器输出U反汇编代码并显示过程名和偏移量D[型][& lt;range>]转储内存BP [#]
设置断公元前点[]清除一个或多个断点BD[]禁用一个或多个断点是[& lt;bp>]启用一个或多个断点提单[]列出一个
或多个断点
个人意见,有一个非常重要的参数就是- v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件。
有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达到隐藏自己的目的。
首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究。
c: \祝辞设置_NT_DEBUG_LOG_FILE_APPEND=c: \血栓。txt
注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到调试模式,我们使用- c
问参数,就可以避免这个问题。
c: \祝辞ntsd q - c - v记事本。exe
现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息。
ntsd使用以下参数杀死进程。
c: \祝辞ntsd q - c - p PID只要你能提供进程的PID,那么你就可以干掉进程。
上述内容就是如何在cmd中使用ntsd命令,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注行业资讯频道。
