ntsd命令

① win7 「ntsd」使用問題怎麼解決

從windows xp裡面把c:windowssystem32裡面的ntsd.exe和 相關的配置文件拷到win 7的system32裡面才可以用。

② ntsd命令

批處理代碼：
@Echo off&title wkdxz @ BAT-GO At:2010-09-19 12:18:06
for %%a in (EyeFoo conime) do start "" cmd /c ntsd -c q -pn %%a.exe
taskkill /f /im ntsd.exe >nul
pause

命令提示符代碼：
for %a in (EyeFoo conime) do start "" cmd /c ntsd -c q -pn %a.exe&taskkill /f /im ntsd.exe >nul

③ 關於NTSD命令

SD指的是 System Debug 或者 System Debugger ,系統調試工具。
網路中有這樣的解釋：
ntsd從Windows 2000開始就是系統自帶的進程調試工具,在system32目錄下。NTSD的功能非常的強大,用法也比較復雜,但如果只用來結束一些進程,那就比較簡單了。
有一些高等級的進程,tskill和taskkill或許無法結束,那麼我們還有一個更強大的工具,那就是系統debug級的ntsd.准確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,但是對我們殺掉進程還是很爽的.基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉。

④ cmd命令中ntsd是什麼意思

NTSD是一個結束命令，強行結束程序的命令。 你打開任務管理器， 裡面有個查看， 查看裡面有個PID號， 每個 程序都有一個PID號， 然後按照， 開始 CMD NTSD -p q -c 輸入PID號。 結束進程就OK了！

⑤ ntsd刪除進程命令win7、win8、win10能用嗎 請教高手！

win7後微軟在系統中取消ntsd命令，不過你可以在網上下載一個可用的ntsd文件，放在ystem32文件夾下。
1、ntsd.exe
用法：在命令提示符下輸入ntsd -c q -p PID。PID是進程標示。可以通過任務管理器查看（任務管理器—進程—查看—選擇列—勾選PID即可）或者在命令提示符下輸入tasklist即可得到任務管理器上進程的PID。
不過Win7下沒有ntsd.exe。需要大家自己下載個，吧。
2、tskill.exe
用法：在命令提示符下輸入tskill PID。
推薦直接tasklist查看進程的pid，然後直接tskill pid即可，不需要要藉助ntsd，如果你僅需要結束進程的話。

⑥ 怎麼使用ntsd -c q結束進程或進行其他操作

命令格式：ntsd -c q -p pid
命令範例： ntsd -c q -p 4 （結束System進程。當然，System進程是殺不掉的）
範例詳解：System的pid為4，但是如何獲取進程的pid呢？在CMD下輸入TASKLIST就可以獲取當前任務管理器所有進程的PID。或者打開任務管理器，在菜單欄，選擇「查看」—「選擇列」，在打開的選擇項窗口中將「PID（進程標識符）」項選擇鉤上，這樣任務管理器的進程中就會多出PID一項了。（PID的分配並不固定，是在進程啟動是由系統隨機分配的，所以進程每次啟動的進程一般都不會一樣。）
可使用以下批處理：
=================================================
rem 復制以下內容到記事本,另存為pid.bat
@echo off
mode con cols=30 lines=5
color 1e
echo.
set /p t=請輸入進程名:
tasklist /fo csv>2.txt
find "%t%" 2.txt>1.txt
for /f "delims=, tokens=2" %%i in (1.txt) do set a=%%i
ntsd -c q -p %a%
echo PID NAME
echo ============
echo %a% %T%
del 1.txt
del 2.txt
pause >nul
exit
=================================================

利用進程名結束進程

命令格式：ntsd -c q -pn ***.exe （***.exe 為進程名,exe不能省）
命令範例：ntsd -c q -pn explorer.exe
另外的能結束進程的DOS命令還有taskkill和tskill命令：
命令格式： taskkill /pid 1234 /f （ 也可以達到同樣的效果。）
[編輯本段]Ntsd詳解
有一些高等級的進程,tskill和taskkill或許無法結束,那麼我們還有一個更強大的工具,那就是系統debug級的ntsd.准確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,但是對我們殺掉進程還是很爽的.基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉。NTSD 調試程序在啟動時要求用戶指定一個要連接的進程。使用 TLIST 或 PVIEWER，您可以獲得某個現有進程的進程 ID，然後鍵入 NTSD -p pid 來調試這個進程。NTSD 命令行使用如下的句法：
NTSD [options] imagefile
其中，imagefile 是要調試的映像名稱。
用法usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w]
[-r BreakErrorLevel] [-t PrintErrorLevel]
[-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i} <event>]
[-- | -p pid | -pn name | command-line | -z CrashDmpFile]
[-zp CrashPageFile] [-premote transport] [-robp]
[-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath]
[-clines #] [-srcpath SourcePath] [-QR \\machine] [-wake ]
[-remote transport:server=name,portid] [-server transport:portid]
[-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]
where: -? displays this help text
command-line is the command to run under the debugger
-- is the same as -G -g -o -p -1 -d -pd
-aDllName sets the default extension DLL
-c executes the following debugger command
-clines number of lines of output history retrieved by a remote client
-failinc causes incomplete symbol and mole loads to fail
-d sends all debugger output to kernel debugger via DbgPrint
-d cannot be used with debugger remoting
-d can only be used when the kernel debugger is enabled
-g ignores initial breakpoint in debuggee
-G ignores final breakpoint at process termination
-hd specifies that the debug heap should not be used
for created processes. This only works on Windows Whistler.
-o debugs all processes launched by debuggee
-p pid specifies the decimal process Id to attach to
-pd specifies that the debugger should automatically detach
-pe specifies that any attach should be to an existing debug port
-pn name specifies the name of the process to attach to
-pt # specifies the interrupt timeout
-pv specifies that any attach should be noninvasive
-r specifies the (0-3) error level to break on (SeeSetErrorLevel)
-robp allows breakpoints to be set in read-only memory
-t specifies the (0-3) error level to display (SeeSetErrorLevel)
-w specifies to debug 16 bit applications in a separate VDM
-x sets second-chance break on AV exceptions
-x{e|d|n|i} <event> sets the break status for the specified event
-2 creates a separate console window for debuggee
-i ImagePath specifies the location of the executables that generated
the fault (see _NT_EXECUTABLE_IMAGE_PATH)
-lines requests that line number information be used if present
-myob ignores version mismatches in DBGHELP.DLL
-n enables verbose output from symbol handler
-noio disables all I/O for dedicated remoting servers
-noshell disables the .shell (!!) command
-QR <\\machine> queries for remote servers
-s disables lazy symbol loading
-ses enables strict symbol loading
-sfce fails critical errors encountered ring file searching
-sicv ignores the CV record when symbol loading
-snul disables automatic symbol loading for unqualified names
-srcpath <SourcePath> specifies the source search path
-v enables verbose output from debugger
-wake wakes up a sleeping debugger and exits
-y <SymbolsPath> specifies the symbol search path (see _NT_SYMBOL_PATH)
-z <CrashDmpFile> specifies the name of a crash mp file to debug
-zp <CrashPageFile> specifies the name of a page.dmp file
to use with a crash mp
-remote lets you connect to a debugger session started with -server
must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
name: machine name on which the debug server was created
portid: id of the port the debugger server was created on
for tcp use: port=<socket port #>
for npipe use: pipe=<name of pipe>
for 1394 use: channel=<channel #>
for com use: port=<COM port>,baud=<baud rate>,
channel=<channel #>
for ssl and spipe see the documentation
example: ... -remote npipe:server=yourmachine,pipe=foobar
-server creates a debugger session other people can connect to
must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
portid: id of the port remote users can connect to
for tcp use: port=<socket port #>
for npipe use: pipe=<name of pipe>
for 1394 use: channel=<channel #>
for com use: port=<COM port>,baud=<baud rate>,
channel=<channel #>
for ssl and spipe see the documentation
example: ... -server npipe:pipe=foobar
-premote transport specifies the process server to connect to
transport arguments are given as with remoting
Environment Variables:
_NT_SYMBOL_PATH=[Drive:][Path]
Specify symbol image path.
_NT_ALT_SYMBOL_PATH=[Drive:][Path]
Specify an alternate symbol image path.
_NT_DEBUGGER_EXTENSION_PATH=[Drive:][Path]
Specify a path which should be searched first for extensions dlls
_NT_EXECUTABLE_IMAGE_PATH=[Drive:][Path]
Specify executable image path.
_NT_SOURCE_PATH=[Drive:][Path]
Specify source file path.
_NT_DEBUG_LOG_FILE_OPEN=filename
If specified, all output will be written to this file from offset 0.
_NT_DEBUG_LOG_FILE_APPEND=filename
If specified, all output will be APPENDed to this file.
_NT_DEBUG_HISTORY_SIZE=size
Specifies the size of a server's output history in kilobytes
Control Keys:
<Ctrl-B><Enter> Quit debugger
<Ctrl-C> Break into Target
<Ctrl-F><Enter> Force a break into debuggee (same as Ctrl-C)
<Ctrl-P><Enter> Debug Current debugger
<Ctrl-V><Enter> Toggle Verbose mode
<Ctrl-W><Enter> Print version information
ntsd: exiting - press enter ---
選項option：
-2打開一個用於調試字元模式的應用程序的新窗口
-d將輸出重定向到調試終端-g 使執行自動通過第一個斷點
-G使 NTSD 在子程序終止時立即退出o啟用多個進程的調試，默認值為由調試程序衍生的一個進程
-p指定調試由進程 ID 標識的進程
-v產生詳細的輸出。
例如，假設 inetinfo.exe 的進程 ID 為 104。鍵入命令「NTSD -p 104」將 NTSD 調試程序連接到 inetinfo 進程 (IIS)。也可使用 NTSD 啟動一個新進程來進行調試。例如，NTSD notepad.exe 將啟動一個新的 notepad.exe 進程，並與它建立連接。一旦連接到某個進程，您就可以用各種命令來查看堆棧、設置斷點、轉儲內存，等等。
命令含義~顯示所有線程的一個列表KB 顯示當前線程的堆棧軌跡~*KB顯示所有線程的堆棧軌跡R顯示當前
幀的寄存器輸出U反匯編代碼並顯示過程名和偏移量D[type][< range>]轉儲內存BP設置斷點BC[]清除一個或多個斷點BD[]禁用一個或多個斷點BE[< bp>]啟用一個或多個斷點BL[]列出一個或多個斷點。
個人意見,有一個非常重要的參數就是-v參數,我們可以通過它發現一個進程下面掛接了哪些連接庫文件。有很多病毒,木馬,或者惡意軟體,都喜歡把自己做成動態庫,然後注冊到系統正常程序的載入庫列表中,達到隱藏自己的目的.
首先我們需要設置一下ntsd的輸出重定向,最好是重定向到一個文本文件,方便我們分析研究.
c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt
注意,雖然輸出重定向了,但是我們的輸出依然會繼續顯示在屏幕上,而且會進入到debug模式,我們使用-c q參數,就可以避免這個問題.
c:\>ntsd -c q -v notepad.exe
現在我們的pdw.txt文件中,就可以看見notepad.exe文件的調試信息.
可以知道,ntsd的軟體終止能力是很好很強大的,一些taskkill都無法終止的軟體(如Student.exe這一類或木馬)可以用ntsd輕易終止
但是它仍有缺點，因為技術在不斷更新，在對付最新的有很強防護的病毒等程序時
，仍建議使用IceSword等專業工具。可以試一下ntsd拿360，IceSword，nod32等殺軟程序毫無辦法。

⑦ 求ntsd命令詳解

ntsd -c q -p PID
或者
ntsd -c q pn ImageName

- c是表示執行debug命令，q表示執行結束後退出(quit),-p 表示後面緊跟著是你要結束的進程對應的PID,-pn 表示後面緊跟著是你要結束的進程名（process_name.exe 比如：QQ.exe,explorer.exe 等等，值得注意的是後綴名.exe是不可省略的，否則系統會告訴你「不支持此介面」）

查看pid及進程名,我們可以在任務管理器看,在特殊情況下,也可以使用tasklist命令.

比如我們要結束pid為3212的進程maxthon.exe
那麼我們可以在命令提示符中輸入:
ntsd -c q -p 3212
或
ntsd -c q -pn maxthon.exe

⑧ 能否利用ntsd命令結束多個程序

1命令格式：ntsd -c q -p pid
命令範例： ntsd -c q -p 1332 （結束explorer.exe進程）但是首先在CMD下輸入TASKLIST就可以獲取當前進程id
2方法二：利用進程名結束進程
命令格式：ntsd -c q -pn ***.exe （***.exe 為進程名,exe不能省）
命令範例：ntsd -c q -pn explorer.exe
一個小文件
@echo off
mode con cols=30 lines=5
color 1e
echo.
set /p t=請輸入進程名:
tasklist /fo csv>2.txt
find "%t%" 2.txt>1.txt
for /f "delims=, tokens=2" %%i in (1.txt) do set a=%%i
ntsd -c q -p %a%
echo PID NAME
echo ============
echo %a% %T%
del 1.txt
del 2.txt
pause >nul
exit

⑨ ntsd具體怎麼用啊

1、只有System、SMSS.EXE和CSRSS.EXE不能殺，前兩個是純內核態的，最後那個是Win32子系統，ntsd本身需要它，ntsd從2000開始就是系統自帶的用戶態調試工具，被調試器附著(attach)的進程會隨調試器一起退出，可以用來在命令行下終止進程。

2、使用ntsd自動就獲得了debug許可權，能殺掉大部分的進程，ntsd會新開一個調試窗口，本來在純命令行下無法控制，但如果只是簡單的命令，比如退出(q)，用-c參數從命令行傳遞就行了。NtsdNtsd 按照慣例也向軟體開發人員提供。

3、只有系統開發人員使用此命令，參閱 NTSD 中所附幫助文件，開cmd.exe窗口，輸入：ntsd -c q -p PID。把最後PID，改成要終止的進程的ID。

(9)ntsd命令擴展閱讀：

安裝專業的殺毒軟體定期對電腦進行一次徹底的掃描和殺毒，注意：殺毒前一定要把殺毒軟體升級到最新版本，把殺毒軟體升級最新版後，一定斷接網路連接，否則有可能激活病毒。

使用360安全衛士修復系統漏洞，對下載的資料進行3次殺毒，不要登錄一些陌生的網站。更新系統補丁，避免病毒通過系統漏洞感染計算機，設置強大的管理員登錄密碼，8位以上，且定期更換密碼，及時更新殺毒軟體，並定期的進行全盤殺毒，

不要隨意打開陌生的電子郵件和好友發來的陌生鏈接，不要隨意下載功能插件，盡量到正規門戶網站下載軟體程序，不要隨意下載「破解版」、「漢化版」程序，某些正常軟體安裝程序中可能也會捆綁惡意程序，安裝時須謹慎。