ntsd.exe进程的解析
- 来源:www.it892.com 原创,转载,摘录,分享
- 时间:2012-02-26
- 阅读: 次
- 本文标签:ntsd.exentsd.exe进程
在使用Windows 操作系统时,很多朋友经常会问我一个这样的问题:“怎么样才能结束一个任务管理 器结束不掉的进程?”,今天就大家目前使用的比较多的操作系统Win2K/WinXP(win2003 类似) ,说 说这个问题。 现在介绍一个命令,这个命令我想大部分人不知道的,包括绝大多数计算机系毕业的朋友们,ntsd.exe 这个命令Win2k 以上操作系统自带的一个调试程序,它除了System、SMSS.EXE 和CSRSS.EXE 不 能杀(前两个是纯内核态的,最后那个是Win32 子系统,ntsd 本身需要它) ,其它的进程根本不在话 下,哈哈,简直无敌了。。 。。你在命令行窗口(不知道怎么打开?我晕,不是吧,最简单方 法:开始-> 运行-> 输入cmd 回车)中使用ntsd /?可以轻易的获得这个命令的使用帮助。所以现在直接进入 主题了,呵呵
ntsd -c q -pn process_name.exe ntsd -c q -p PID
或 者
其中-c 是表示执行debug 命令,q 表示执行结束后退出(quit 啦,哈), -pn 表示后面紧跟着是你 要结束的进程名称(process_name.exe 比如:QQ.exe taskmgr.exe 等等,值得注意的是后缀名.exe 是 不可省略的, 否则系统会告诉你“不支持此接口”)-p 表示后面紧跟着是你要结束的进程对应的PID(不, 知道PID 是什么东东?不会吧,晕了,PID 是进程标识符的意思了,一般用数字表示,不懂的猛学计 算机基础和操作系统基础课去吧,不多说了,呵呵) 例子:我要结束瑞星的那个CCenter.exe 进程,怎么办呢?ntsd -c q pn ccenter.exe 或者ntsd -c q -p 772 (注:ccenter.exe 目前在我的系统中对应的PID 是772) 如果你不知道怎么查,进程对应的PID,我来告诉你一个简单的方法吧,任务管理器知道怎么打开 吧,Ctrl + Shift + Esc , 任务栏右键->任务管理器,Ctrl + Alt + Del 看到了吧(WinXP 如果使用xp 默认的 登录方式,直接出来喔),方法多了,自己想吧 打 开任务管理器后, 切换到“进程”选项卡, 看到了吧, 呵呵, 如果PID 栏没有显示进程对应的PID 值, 找到 “查看”-》“选择列”,选中PID 吧,不是 吧,你的任务管理器连菜单栏都没有了,myGod~~~ 双击没有了菜单栏的任务管理器的最外边框吧,立刻还你一个正常的任务管理器,呵呵 另 外:如果你用的是WinXP 操作系统,还告诉你两个有用的命令tasklist 和taskkill,这两个命令不仅 能查看和kill 本地进程,而且能查看 和kill 远程主机的进程喔,呵呵,当然你要知道那台机器的administrators 组的一个用户名和密码先。。 。
同样的tasklist 和
taskkill 也可以通过 加参数
/?
来查看帮助
====================================== ===============C:Documents and SettingsAdministrator「开始」菜单>cd C:>tasklist /?
TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 描述: 这个命令行工具显示应用程序和本地 或远程系统上运行的相关任务/进程的 列表。 参数列表: /S system /U [domain]user
指定连接到的远程系统。 指定应该在哪个用户上下文 执行这个命令。 为提供的用户上下文指定 密码。如果忽略,提示输入。 列出所有其中符合指定模式名 的DLL 模块的所有任务。 如果没有指定模块名,则 显示每个任务加载的所有模块。 显示每个进程中的服务。 指定要显示详述 信息。
/P
[password]
/M
[module]
/SVC /V
/FI
filter
显示一系列符合筛选器指定的标准 的任务。 指定输出格式。 有效值: "TABLE"、"LIST"、"CSV"。 指定栏标头不应该在 输出中显示。 只对"TABLE" 和"CSV" 格式有效。 显示帮助/用法。
/FO
format
/NH
/?
筛选器: 筛选器名-----------
有效操作符---------------
有效值--------------
STATUS IMAGENAME PID SESSION SESSIONNAME CPUTIME
eq, eq, eq, eq, eq, eq,
ne ne ne, gt, lt, ge, le ne, gt, lt, ge, le ne ne, gt, lt, ge, le
MEMUSAGE USERNAME SERVICES WINDOWTITLE MODULES
eq, ne, gt, lt, ge, le eq, ne eq, ne eq, ne eq, ne
正在运行| 没有响应 图像名PID 值 会话编号 会话名CPU 时间,格式为hh:mm:ss。hh - 时,mm - 分,ss - 秒 内存使用量(KB) 用户名,格式为[domain]user 服务名 窗口标题DLL 名
例如: TASKLIST TASKLIST /M TASKLIST /V TASKLIST /SVC TASKLIST /M wbem* TASKLIST /S system /FO LIST TASKLIST /S system /U domainusername /FO CSV /NH TASKLIST /S system /U username /P password /FO TABLE /NH TASKLIST /FI "USERNAME ne NT AUTHORITYSYSTEM" /FI "STATUS eq running" ============================================================================ C:>taskkill /? TASKKILL [/S system [/U username [/P [password]]]] { [/FI filter] [/PID processid | /IM imagename] } [/F] [/T] 描述: 这个命令行工具可用来结束至少一个进程。 可以根据进程id 或图像名来结束进程。 参数列表: /S system /U [domain]user
指定要连接到的远程系统。 指定应该在哪个用户上下文 执行这个命令。 为提供的用户上下文指定
/P
[password]
密码。如果忽略,提示输入。/F 指定要强行终止 进程。filter 指定筛选进或筛选出查询的 的任务。 指定要终止的进程的PID。 指定要终止的进程的 图像名。通配符'*' 可用来指定所有图像名。Tree kill: 终止指定的进程 和任何由此启动的子进程。 显示帮助/用法。
/FI
/PID
process id
/IM
image name
/T
/? 筛选器: 筛选器名----------STATUS IMAGENAME PID SESSION CPUTIME
有效运算符 --------------eq, ne eq, ne eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le
MEMUSAGE USERNAME MODULES SERVICES WINDOWTITLE
eq, ne, gt, lt, ge, le eq, ne eq, ne eq, ne eq, ne
有效值-------------运行| 没有响应 图像名PID 值 会话编号CPU 时间,格式为hh:mm:ss。hh - 时,mm - 钟,ss - 秒 内存使用,单位为KB 用户名,格式为[domain]user DLL 名 服务名 窗口标题
注意: 只有带有筛选器的情况下,才能跟/IM 切换使用通配符'*'。 注意: 远程进程总是要强行终止, 不管是否指定了/F 选项。 例如:
TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL
/S system /F /IM notepad.exe /T /PID 1230 /PID 1241 /PID 1253 /T /F /IM notepad.exe /IM mspaint.exe /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*" /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe /S system /U domainusername /FI "USERNAME ne NT*" /IM * /S system /U username /P password /FI "IMAGENAME eq note*"
C:> ============================================================================ 呵呵,很简单吧,哈,我最常用的是没有参数和/s /u /p /pid /svc 比如:tasklist tasklist /s 127.0.0.1 /u administrator /p 123 tasklist /svc taskkill /s 120.0.0.1 /u administrator /p 123 /pid 774 至于网上很多查杀进程的东东(kill, tlist,pulist .....),呵呵,就不讲了,网上自己 找了
显示别人的进程时正常, 刚才在使用tasklist 显示别人的进程时正常, 可是显示自己的却出现 “RPC 服务器 不可用! 的错误, 技术, 不可用!”的错误,由于RPC 有用到DCOM 技术,这两天发现我的本本在进入windows 时 特别慢(呵呵,我测试马儿,软件时开了很多服 ),于是早上关掉了不少服务 于是早上关掉了不少服务( 特别慢(呵呵,我测试马儿,软件时开了很多服 务),于是早上关掉了不少服务(DCOM 服务被我禁用了,呵呵),所有解决问题的办法很简单, ),所有解决问题的办法很简单 服务被我禁用了,呵呵),所有解决问题的办法很简单,就是把这个服务Launcher)启动了。 (DCOM Server Process Launcher)启动了。
本文来自电脑技术网(www.it892.com),转载本文请注明来源.
本文链接:http://www.it892.com/content/pcfoundation/term/20120226/2389.html
ntsd -c q -pn process_name.exe ntsd -c q -p PID
或 者
其中-c 是表示执行debug 命令,q 表示执行结束后退出(quit 啦,哈), -pn 表示后面紧跟着是你 要结束的进程名称(process_name.exe 比如:QQ.exe taskmgr.exe 等等,值得注意的是后缀名.exe 是 不可省略的, 否则系统会告诉你“不支持此接口”)-p 表示后面紧跟着是你要结束的进程对应的PID(不, 知道PID 是什么东东?不会吧,晕了,PID 是进程标识符的意思了,一般用数字表示,不懂的猛学计 算机基础和操作系统基础课去吧,不多说了,呵呵) 例子:我要结束瑞星的那个CCenter.exe 进程,怎么办呢?ntsd -c q pn ccenter.exe 或者ntsd -c q -p 772 (注:ccenter.exe 目前在我的系统中对应的PID 是772) 如果你不知道怎么查,进程对应的PID,我来告诉你一个简单的方法吧,任务管理器知道怎么打开 吧,Ctrl + Shift + Esc , 任务栏右键->任务管理器,Ctrl + Alt + Del 看到了吧(WinXP 如果使用xp 默认的 登录方式,直接出来喔),方法多了,自己想吧 打 开任务管理器后, 切换到“进程”选项卡, 看到了吧, 呵呵, 如果PID 栏没有显示进程对应的PID 值, 找到 “查看”-》“选择列”,选中PID 吧,不是 吧,你的任务管理器连菜单栏都没有了,myGod~~~ 双击没有了菜单栏的任务管理器的最外边框吧,立刻还你一个正常的任务管理器,呵呵 另 外:如果你用的是WinXP 操作系统,还告诉你两个有用的命令tasklist 和taskkill,这两个命令不仅 能查看和kill 本地进程,而且能查看 和kill 远程主机的进程喔,呵呵,当然你要知道那台机器的administrators 组的一个用户名和密码先。。 。
同样的tasklist 和
taskkill 也可以通过 加参数
/?
来查看帮助
====================================== ===============C:Documents and SettingsAdministrator「开始」菜单>cd C:>tasklist /?
TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 描述: 这个命令行工具显示应用程序和本地 或远程系统上运行的相关任务/进程的 列表。 参数列表: /S system /U [domain]user
指定连接到的远程系统。 指定应该在哪个用户上下文 执行这个命令。 为提供的用户上下文指定 密码。如果忽略,提示输入。 列出所有其中符合指定模式名 的DLL 模块的所有任务。 如果没有指定模块名,则 显示每个任务加载的所有模块。 显示每个进程中的服务。 指定要显示详述 信息。
/P
[password]
/M
[module]
/SVC /V
/FI
filter
显示一系列符合筛选器指定的标准 的任务。 指定输出格式。 有效值: "TABLE"、"LIST"、"CSV"。 指定栏标头不应该在 输出中显示。 只对"TABLE" 和"CSV" 格式有效。 显示帮助/用法。
/FO
format
/NH
/?
筛选器: 筛选器名-----------
有效操作符---------------
有效值--------------
STATUS IMAGENAME PID SESSION SESSIONNAME CPUTIME
eq, eq, eq, eq, eq, eq,
ne ne ne, gt, lt, ge, le ne, gt, lt, ge, le ne ne, gt, lt, ge, le
MEMUSAGE USERNAME SERVICES WINDOWTITLE MODULES
eq, ne, gt, lt, ge, le eq, ne eq, ne eq, ne eq, ne
正在运行| 没有响应 图像名PID 值 会话编号 会话名CPU 时间,格式为hh:mm:ss。hh - 时,mm - 分,ss - 秒 内存使用量(KB) 用户名,格式为[domain]user 服务名 窗口标题DLL 名
例如: TASKLIST TASKLIST /M TASKLIST /V TASKLIST /SVC TASKLIST /M wbem* TASKLIST /S system /FO LIST TASKLIST /S system /U domainusername /FO CSV /NH TASKLIST /S system /U username /P password /FO TABLE /NH TASKLIST /FI "USERNAME ne NT AUTHORITYSYSTEM" /FI "STATUS eq running" ============================================================================ C:>taskkill /? TASKKILL [/S system [/U username [/P [password]]]] { [/FI filter] [/PID processid | /IM imagename] } [/F] [/T] 描述: 这个命令行工具可用来结束至少一个进程。 可以根据进程id 或图像名来结束进程。 参数列表: /S system /U [domain]user
指定要连接到的远程系统。 指定应该在哪个用户上下文 执行这个命令。 为提供的用户上下文指定
/P
[password]
密码。如果忽略,提示输入。/F 指定要强行终止 进程。filter 指定筛选进或筛选出查询的 的任务。 指定要终止的进程的PID。 指定要终止的进程的 图像名。通配符'*' 可用来指定所有图像名。Tree kill: 终止指定的进程 和任何由此启动的子进程。 显示帮助/用法。
/FI
/PID
process id
/IM
image name
/T
/? 筛选器: 筛选器名----------STATUS IMAGENAME PID SESSION CPUTIME
有效运算符 --------------eq, ne eq, ne eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le
MEMUSAGE USERNAME MODULES SERVICES WINDOWTITLE
eq, ne, gt, lt, ge, le eq, ne eq, ne eq, ne eq, ne
有效值-------------运行| 没有响应 图像名PID 值 会话编号CPU 时间,格式为hh:mm:ss。hh - 时,mm - 钟,ss - 秒 内存使用,单位为KB 用户名,格式为[domain]user DLL 名 服务名 窗口标题
注意: 只有带有筛选器的情况下,才能跟/IM 切换使用通配符'*'。 注意: 远程进程总是要强行终止, 不管是否指定了/F 选项。 例如:
TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL TASKKILL
/S system /F /IM notepad.exe /T /PID 1230 /PID 1241 /PID 1253 /T /F /IM notepad.exe /IM mspaint.exe /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*" /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe /S system /U domainusername /FI "USERNAME ne NT*" /IM * /S system /U username /P password /FI "IMAGENAME eq note*"
C:> ============================================================================ 呵呵,很简单吧,哈,我最常用的是没有参数和/s /u /p /pid /svc 比如:tasklist tasklist /s 127.0.0.1 /u administrator /p 123 tasklist /svc taskkill /s 120.0.0.1 /u administrator /p 123 /pid 774 至于网上很多查杀进程的东东(kill, tlist,pulist .....),呵呵,就不讲了,网上自己 找了
显示别人的进程时正常, 刚才在使用tasklist 显示别人的进程时正常, 可是显示自己的却出现 “RPC 服务器 不可用! 的错误, 技术, 不可用!”的错误,由于RPC 有用到DCOM 技术,这两天发现我的本本在进入windows 时 特别慢(呵呵,我测试马儿,软件时开了很多服 ),于是早上关掉了不少服务 于是早上关掉了不少服务( 特别慢(呵呵,我测试马儿,软件时开了很多服 务),于是早上关掉了不少服务(DCOM 服务被我禁用了,呵呵),所有解决问题的办法很简单, ),所有解决问题的办法很简单 服务被我禁用了,呵呵),所有解决问题的办法很简单,就是把这个服务Launcher)启动了。 (DCOM Server Process Launcher)启动了。
相关文章
本文链接:http://www.it892.com/content/pcfoundation/term/20120226/2389.html
