q
-p
是一个WINDOWS的内部命令,很少有人知道的,也很少用到,你打开任务管理器,查一下PID为****(就是出现在ntsd-c
q
-p之后的数字)的是个什么进程,再追踪一下d出NTSD的程序地址,应该是个批处理才对,删除试试。
要是不行,你就打开命令提示符(开始--运行--CMD),输入
DOSKEY
NTSD=1
就可以把它屏蔽了,如果你要恢复,再输入
DOSKEY
NTSD=
所有文件夹都变成了1KB的快捷方式的解决方法...(有点麻烦,但不想格盘的话就受累了)
1)先用杀毒软件或U盘专杀等清除Autoran病毒
2)重装系统(或备份还原系统),完成后重启电脑,注意:启动后,千万不要打开任何分区
3)右击“我的电脑”,用“资源管理器”打开,执行“工具”-->“文件夹选项”,显示隐藏系统文件和隐藏文件,在各分区根目录下找到所有以.vbs为扩展名的文件(重装系统或还原系统后除了C盘外各分区下都有一个),彻底删除后重启电脑。
4)重启电脑进入系统后,右击“我的电脑”,同样用“资源管理器”打开,会发现除系统盘外其他各分区根目录下都有一个相同文件名的文件夹和1KB的文件夹快捷方式(*.link),且文件夹都是隐藏的,并且隐藏属性为灰色不可更改,1KB的文件夹快捷方式的文件属性为不隐藏的。
5)选中所有的1KB文件夹快捷方式,彻底删除,同时删除所有根目录下的Autoran.inf。
6)更改文件夹的隐藏属性,使隐藏属性为不隐藏,具体 *** 作是:
依次打开“开始”----“运行”,输入cmd后回车,打开MS-DOS,在命令提示行中输入以下命令:
attrib
/d
/s
d:\*
-h
attrib
/d
/s
e:\*
-h
如果有f盘、g盘等的话可以依次输入:
attrib
/d
/s
f:\*
-h
attrib
/d
/s
g:\*
-h
其他的依次类推.(注:有的在MS-DOS下无法更改文件的隐藏属性,那就安装一个DOS工具或者使用带DOS引导的系统盘吧。)
注:如果您使用DOS还是无法更改文件夹的隐藏属性,那你还可以通过新建一个文件夹,然后把为隐藏属性的文件夹下的文件复制过去后,将原文件删除也可(在文件夹下会有一个Desktop.ini文件,可以将其删除,不影响系统正常运行),只不过,当文件夹数量大时,需要做的工作就越多。真要使用这种方法,千万要有耐心!
以上方法我没试过,不过希望能解决你的问题...
命令格式:ntsd -c q -p pid命令范例: ntsd -c q -p 4 (结束System进程。当然,System进程是杀不掉的)
范例详解:System的pid为4,但是如何获取进程的pid呢?在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID。或者打开任务管理器,在菜单栏,选择“查看”—“选择列”,在打开的选择项窗口中将“PID(进程标识符)”项选择钩上,这样任务管理器的进程中就会多出PID一项了。(PID的分配并不固定,是在进程启动是由系统随机分配的,所以进程每次启动的进程一般都不会一样。)
可使用以下批处理:
=================================================
rem 复制以下内容到记事本,另存为pid.bat
@echo off
mode con cols=30 lines=5
color 1e
echo.
set /p t=请输入进程名:
tasklist /fo csv>2.txt
find "%t%" 2.txt>1.txt
for /f "delims=, tokens=2" %%i in (1.txt) do set a=%%i
ntsd -c q -p %a%
echo PID NAME
echo ============
echo %a% %T%
del 1.txt
del 2.txt
pause >nul
exit
=================================================
利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
命令范例:ntsd -c q -pn explorer.exe
另外的能结束进程的DOS命令还有taskkill和tskill命令:
命令格式: taskkill /pid 1234 /f ( 也可以达到同样的效果。)
[编辑本段]Ntsd详解
有一些高等级的进程,tskill和taskkill或许无法结束,那么我们还有一个更强大的工具,那就是系统debug级的ntsd.准确的说,ntsd是一个系统调试工具,只提供给系统开发级的管理员使用,但是对我们杀掉进程还是很爽的.基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉。NTSD 调试程序在启动时要求用户指定一个要连接的进程。使用 TLIST 或 PVIEWER,您可以获得某个现有进程的进程 ID,然后键入 NTSD -p pid 来调试这个进程。NTSD 命令行使用如下的句法:
NTSD [options] imagefile
其中,imagefile 是要调试的映像名称。
用法usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w]
[-r BreakErrorLevel] [-t PrintErrorLevel]
[-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i} <event>]
[-- | -p pid | -pn name | command-line | -z CrashDmpFile]
[-zp CrashPageFile] [-premote transport] [-robp]
[-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath]
[-clines #] [-srcpath SourcePath] [-QR \\machine] [-wake ]
[-remote transport:server=name,portid] [-server transport:portid]
[-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]
where: -? displays this help text
command-line is the command to run under the debugger
-- is the same as -G -g -o -p -1 -d -pd
-aDllName sets the default extension DLL
-c executes the following debugger command
-clines number of lines of output history retrieved by a remote client
-failinc causes incomplete symbol and module loads to fail
-d sends all debugger output to kernel debugger via DbgPrint
-d cannot be used with debugger remoting
-d can only be used when the kernel debugger is enabled
-g ignores initial breakpoint in debuggee
-G ignores final breakpoint at process termination
-hd specifies that the debug heap should not be used
for created processes. This only works on Windows Whistler.
-o debugs all processes launched by debuggee
-p pid specifies the decimal process Id to attach to
-pd specifies that the debugger should automatically detach
-pe specifies that any attach should be to an existing debug port
-pn name specifies the name of the process to attach to
-pt # specifies the interrupt timeout
-pv specifies that any attach should be noninvasive
-r specifies the (0-3) error level to break on (SeeSetErrorLevel)
-robp allows breakpoints to be set in read-only memory
-t specifies the (0-3) error level to display (SeeSetErrorLevel)
-w specifies to debug 16 bit applications in a separate VDM
-x sets second-chance break on AV exceptions
-x{e|d|n|i} <event>sets the break status for the specified event
-2 creates a separate console window for debuggee
-i ImagePath specifies the location of the executables that generated
the fault (see _NT_EXECUTABLE_IMAGE_PATH)
-lines requests that line number information be used if present
-myob ignores version mismatches in DBGHELP.DLL
-n enables verbose output from symbol handler
-noio disables all I/O for dedicated remoting servers
-noshell disables the .shell (!!) command
-QR <\\machine>queries for remote servers
-s disables lazy symbol loading
-ses enables strict symbol loading
-sfce fails critical errors encountered during file searching
-sicv ignores the CV record when symbol loading
-snul disables automatic symbol loading for unqualified names
-srcpath <SourcePath>specifies the source search path
-v enables verbose output from debugger
-wake wakes up a sleeping debugger and exits
-y <SymbolsPath>specifies the symbol search path (see _NT_SYMBOL_PATH)
-z <CrashDmpFile>specifies the name of a crash dump file to debug
-zp <CrashPageFile>specifies the name of a page.dmp file
to use with a crash dump
-remote lets you connect to a debugger session started with -server
must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
name: machine name on which the debug server was created
portid: id of the port the debugger server was created on
for tcp use: port=<socket port #>
for npipe use: pipe=<name of pipe>
for 1394 use: channel=<channel #>
for com use: port=<COM port>,baud=<baud rate>,
channel=<channel #>
for ssl and spipe see the documentation
example: ... -remote npipe:server=yourmachine,pipe=foobar
-server creates a debugger session other people can connect to
must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
portid: id of the port remote users can connect to
for tcp use: port=<socket port #>
for npipe use: pipe=<name of pipe>
for 1394 use: channel=<channel #>
for com use: port=<COM port>,baud=<baud rate>,
channel=<channel #>
for ssl and spipe see the documentation
example: ... -server npipe:pipe=foobar
-premote transport specifies the process server to connect to
transport arguments are given as with remoting
Environment Variables:
_NT_SYMBOL_PATH=[Drive:][Path]
Specify symbol image path.
_NT_ALT_SYMBOL_PATH=[Drive:][Path]
Specify an alternate symbol image path.
_NT_DEBUGGER_EXTENSION_PATH=[Drive:][Path]
Specify a path which should be searched first for extensions dlls
_NT_EXECUTABLE_IMAGE_PATH=[Drive:][Path]
Specify executable image path.
_NT_SOURCE_PATH=[Drive:][Path]
Specify source file path.
_NT_DEBUG_LOG_FILE_OPEN=filename
If specified, all output will be written to this file from offset 0.
_NT_DEBUG_LOG_FILE_APPEND=filename
If specified, all output will be APPENDed to this file.
_NT_DEBUG_HISTORY_SIZE=size
Specifies the size of a server's output history in kilobytes
Control Keys:
<Ctrl-B><Enter>Quit debugger
<Ctrl-C>Break into Target
<Ctrl-F><Enter>Force a break into debuggee (same as Ctrl-C)
<Ctrl-P><Enter>Debug Current debugger
<Ctrl-V><Enter>Toggle Verbose mode
<Ctrl-W><Enter>Print version information
ntsd: exiting - press enter ---
选项option:
-2打开一个用于调试字符模式的应用程序的新窗口
-d将输出重定向到调试终端-g 使执行自动通过第一个断点
-G使 NTSD 在子程序终止时立即退出o启用多个进程的调试,默认值为由调试程序衍生的一个进程
-p指定调试由进程 ID 标识的进程
-v产生详细的输出。
例如,假设 inetinfo.exe 的进程 ID 为 104。键入命令“NTSD -p 104”将 NTSD 调试程序连接到 inetinfo 进程 (IIS)。也可使用 NTSD 启动一个新进程来进行调试。例如,NTSD notepad.exe 将启动一个新的 notepad.exe 进程,并与它建立连接。一旦连接到某个进程,您就可以用各种命令来查看堆栈、设置断点、转储内存,等等。
命令含义~显示所有线程的一个列表KB 显示当前线程的堆栈轨迹~*KB显示所有线程的堆栈轨迹R显示当前
帧的寄存器输出U反汇编代码并显示过程名和偏移量D[type][<range>]转储内存BP设置断点BC[]清除一个或多个断点BD[]禁用一个或多个断点BE[<bp>]启用一个或多个断点BL[]列出一个或多个断点。
个人意见,有一个非常重要的参数就是-v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件。有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达到隐藏自己的目的.
首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究.
c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt
注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到debug模式,我们使用-c q参数,就可以避免这个问题.
c:\>ntsd -c q -v notepad.exe
现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息.
可以知道,ntsd的软件终止能力是很好很强大的,一些taskkill都无法终止的软件(如Student.exe这一类或木马)可以用ntsd轻易终止
但是它仍有缺点,因为技术在不断更新,在对付最新的有很强防护的病毒等程序时
,仍建议使用IceSword等专业工具。可以试一下ntsd拿360,IceSword,nod32等杀软程序毫无办法。
ntsd -c q -pn 直接结束进程命令!ntsd -c q -p 不带n参数是结束PID图像名称!
目的都是为了结束进程! 开始菜单--长鸡拜课之酒瓣旬抱莫-运行---cmd---tasklist可以查看当前所有进程PID值!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)