123
返回列表 发新帖
楼主: 大漠笛声
收起左侧

[技巧] 微软1个罕为人知的无敌命令 结束进程

[复制链接]
xtbetop
发表于 2007-12-15 03:21:34 | 显示全部楼层
看着直犯迷糊啊???
yueruiyue
发表于 2007-12-16 18:53:12 | 显示全部楼层
我是菜鸟……看不懂啊
twm17
发表于 2007-12-17 12:04:37 | 显示全部楼层
不太明白…………期待具体详解
mycgz2001
发表于 2007-12-17 12:14:08 | 显示全部楼层
13楼正解!   谢谢
鼠标右键
发表于 2007-12-17 16:04:55 | 显示全部楼层
en  ntsd   确实相当强悍~   我也是近期才知道的




ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。ntsd会新开一个调试窗口,本来在纯命令行下无法控制,但如果只是简单的命令,比如退出(q),用-c参数从命令行传递就行了
【ntsd -c q -p pid】
如果能知道进程的pid,比如explorer.exe的pid为196,运行cmd后输入"ntsd -c q -p 136"即可杀掉
【ntsd -c q -pn 进程名】
只要知道了进程的名称,比如explorer.exe,运行cmd后输入"ntsd -c q -pn explorer.exe"即可杀掉
但是,如果同一个进程(比如iexplorer.exe)开了多个,就会出现错误
所以,ntsd 每次只能结束一个单独出现的进程
下面为ntsd的用法和帮助
ntsd
usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w]
            [-r BreakErrorLevel]  [-t PrintErrorLevel]
            [-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i} <event>]
            [-- | -p pid | -pn name | command-line | -z CrashDmpFile]
            [-zp CrashPageFile] [-premote transport] [-robp]
            [-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath]
            [-clines #] [-srcpath SourcePath] [-QR \\machine] [-wake <pid>]
            [-remote transport:server=name,portid] [-server transport:portid]
            [-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]
以下为俺翻译的帮助文件,仅供参考。需要源文件的,直接cmd下ntsd/?就可以了

【command-line】 在dubugger模式下运行
【--】 默认为执行【-G -g -o -p -1 -d -pd】参数
【-aDllName】设置默认的扩展dll
【-c】执行后面的dubugger命令
【-clines】 number of lines of output history retrieved by a remote client
【-failinc】失败时产生不完全的符号和模型
【-d】 通过DbgPrint向kernel(核心)发送debugger输出信息
    注: -d  不可与debugger remoting同用
         -d  只能在kernel(核心)debugger 可以用时才能使用
【-g】在debuggee下忽略初始化断点
【-G】忽略程序结束时的最终断点
【-hd】规定debug命令集不能用于(dubuggee)创建的程序。该参数只能作用在Windows Whistler(windows xp的测试版本)系统上
【-o】 debug所有由debuggee载入的程序
【-p pid】指定要绑定的进程的十进制ID(就是pid)
【-pd】 指定debugger自动与绑定的程序分离
【-pe】 规定任何绑定都要对应一个存在的debug端口
【-pt #】指定中断超时时间
【-pv】 指定任何绑定都是封闭的,不对外共享
【-r】 指定0-3等级的中断(SeeSetErrorLevel)
【-robp】允许在只读内存中设置断点
【-t】 指定显示0-3级的错误(SeeSetErrorLevel)
【-w】 指定在一个单独的VDM(DOS虚拟机)中debug 16位应用程序
【-x】 在AV排除项中设置第二个可选断点
     -x{e|d|n|i} <event> 为指定的事件设置中断状态
【-2】 为debuggee创建一个单独核心的窗口

[ 本帖最后由 鼠标右键 于 2007-12-17 16:06 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-15 00:01 , Processed in 0.091995 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表