曲径通幽论坛

标题: ntsd 更强的终止进程工具 [打印本页]

作者: beyes 时间: 2013-3-29 09:25
标题: ntsd 更强的终止进程工具
ntsd 在 WindowsXP 上是系统自带的，它是个系统级的 debug 工具，基本上除了系统的关键进程外，其它的进程都可以被杀掉。事实上，终止进程并不是它的专职，而是被它调试的进程，随着它的退出而退出。利用这一点，它就成为强力的进程终止工具。

网上也能找到适合于 Windows7 (X64) 的版本（见附件）。

比如金山毒霸的系统防御模块，你在任务管理器里是无法终止的：
[attach]1473[/attach]
在右击弹出菜单中选择“结束进程”，会看到：
[attach]1474[/attach]
提示的是“拒绝访问”。

同样，用 taskkill 工具试一下看能否终止：
[attach]1475[/attach]
还是无法终止。

下面拿出 ntsd 来看下，假设 ntsd 已经下载好，并放在 C:\ 下面(系统 Windows7 并不自带该工具，因为病毒也能很好的利用它)，运行如下命令：

ntsd -c q -p 11144

可以看到一个窗口快速闪过，再去任务管理器查看一下，金山毒霸的防御模块已经消失了。

在上面的命令中，-p 参数后接进程的 PID ，这样调试器就会附着(attach)到进程上。
参数 -c 后接一个命令，该命令是调试器命令；这里接 q ，表示退出。
因此，该条命令总的意思是，一旦调试器附着到进程上，调试器就直接退出。这样的效果就相当于终止了所附着的进程。

附件中为适用于 Windows7 X64 的 ntsd.exe ：
[attach]1476[/attach]

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)