Ntsd.exe是用來(lái)結(jié)束進(jìn)程�����,從2000開始就是系統(tǒng)自帶的用戶態(tài)調(diào)試工具��。被調(diào)試器附著(attach)的進(jìn)程會(huì)隨調(diào)試器一起退出���,所以可以用來(lái)在命令行下終止進(jìn)程��。使用ntsd自動(dòng)就獲得了debug權(quán)限�,從而能殺掉大部分的進(jìn)程(理論上只有System、SMSS.EXE和CSRSS.EXE三個(gè)進(jìn)程不能結(jié)束,前兩個(gè)是純內(nèi)核態(tài)的�����,最后那個(gè)是Win32子系統(tǒng)����,ntsd本身需要它)。
Ntsd.exe的用法:
ntsd -c q -p PID
或者
ntsd -c q pn ImageName
- c是表示執(zhí)行debug命令����,q表示執(zhí)行結(jié)束后退出(quit),-p 表示后面緊跟著是你要結(jié)束的進(jìn)程對(duì)應(yīng)的PID,-pn 表示后面緊跟著是你要結(jié)束的進(jìn)程名(process_name.exe 比如:QQ.exe,explorer.exe 等等,值得注意的是后綴名.exe是不可省略的�,否則系統(tǒng)會(huì)告訴你“不支持此接口”)
查看pid及進(jìn)程名,我們可以在任務(wù)管理器看,在特殊情況下,也可以使用tasklist命令.
比如我們要結(jié)束pid為3212的進(jìn)程maxthon.exe
那么我們可以在命令提示符中輸入:
ntsd -c q -p 3212
或
ntsd -c q -pn maxthon.exe
|
