在CMD命令行下關閉進程的命令

【重要】在CMD命令行下關閉進程的命令

【重要】在CMD命令行下關閉進程的命令
━━━━━━━━━━━━━━━━━━━━━━━━━━

方法一：

在"運行"中輸入:ntsd -c q -pn 程序名字(在MS-Dos中的做用是同樣的)

方法二：

ntsd使用如下參數殺死進程.
c:\>ntsd -c q -p PID 只要你能提供進程的PID,那麼你就能夠幹掉進程.

法二:

    tskill命令

這個命令與tasklist命令是相對應的吧! tasklist命令是顯示有哪些進程正在運行!

tskill命令是關閉運行中的進程.

不過我試驗了,好像沒有用哦!^O^

共有多少種命令行下的死法呢?
三種!tskill命令,taskkill命令,ntsd命令.
tskill命令的使用最爲簡單,C:\>tskill

TSKILL processid | processname [/SERVER:servername] [/ID:sessionid | /A] [/V]

processid 要結束的進程的 Process ID。
processname 要結束的進程名稱。
/SERVER:servername 含有 processID 的服務器(默認值是當前值)。
使用進程名和 /SERVER 時，必須指定/ID 或 /A
/ID:sessionid 結束在指定會話下運行的進程。
/A 結束在全部會話下運行的進程。
/V 顯示正在執行的操做的信息。

taskkill命令主要的好處是帶不少篩選器,能夠批量結束進程
C:\>taskkill /?

TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個命令行工具可用來結束至少一個進程。能夠根據進程 id 或圖像名來結束進程。
參數列表:
/S system 指定要鏈接到的遠程系統。
/U [domain\]user 指定應該在哪一個用戶上下文執行這個命令。
/P [password] 爲提供的用戶上下文指定密碼。若是忽略，提示輸入。
/F 指定要強行終止進程。
/FI filter 指定篩選進或篩選出查詢的的任務。
/PID process id 指定要終止的進程的PID。
/IM image name 指定要終止的進程的圖像名。通配符 '*'可用來指定全部圖像名。
/T Tree kill: 終止指定的進程和任何由此啓動的子進程。
/? 顯示幫助/用法。
篩選器:
篩選器名 有效運算符 有效值
----------- --------------- --------------
STATUS eq, ne 運行 | 沒有響應
IMAGENAME eq, ne 圖像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 會話編號
CPUTIME eq, ne, gt, lt, ge, le CPU 時間，格式爲hh:mm:ss。hh - 時，mm - 鍾，ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 內存使用，單位爲 KB
USERNAME eq, ne 用戶名，格式爲[domain\]user
MODULES eq, ne DLL 名
SERVICES eq, ne 服務名
WINDOWTITLE eq, ne 窗口標題
注意: 只有帶有篩選器的狀況下，才能跟 /IM 切換使用通配符 '*'。
注意: 遠程進程老是要強行終止，不論是否指定了 /F 選項。
例如:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U domain\username /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"

有一些高等級的進程,tskill和taskkill或許沒法結束,那麼咱們還有一個更強大的工具,那就是系統debug級的ntsd.準確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,可是對咱們殺掉進程仍是很爽的.基本上除了WINDOWS系統本身的管理進程,ntsd均可以殺掉.

固然咯,有些rootkit級別的超級木馬,仍是無能爲力,幸虧這種牛牛級別的木馬仍是不多的.
NTSD 調試程序在啓動時要求用戶指定一個要鏈接的進程。使用 TLIST 或 PVIEWER，您能夠得到某個現有進程的進程 ID，而後鍵入 NTSD -p pid 來調試這個進程。NTSD 命令行使用以下的句法：
NTSD [options] imagefile
其中，imagefile 是要調試的映像名稱，options 是下面選項之一：
選項說明-2打開一個用於調試字符模式的應用程序的新窗口-d將輸出重定向到調試終端-g 使執行自動經過第一個斷點-G使 NTSD 在子程序終止時當即退出o啓用多個進程的調試，默認值爲由調試程序衍生的一個進程-p指定調試由進程 ID 標識的進程-v產生詳細的輸出
例如，假設 inetinfo.exe 的進程 ID 爲 104。鍵入如下命令將 NTSD 調試程序鏈接到 inetinfo 進程 (IIS)。
NTSD -p 104
也可以使用 NTSD 啓動一個新進程來進行調試。例如，NTSD notepad.exe 將啓動一個新的 notepad.exe 進程，並與它創建鏈接。
一旦鏈接到某個進程，您就能夠用各類命令來查看堆棧、設置斷點、轉儲內存，等等。
命令含義~顯示全部線程的一個列表KB 顯示當前線程的堆棧軌跡~*KB顯示全部線程的堆棧軌跡R顯示當前幀的寄存器輸出U反彙編代碼並顯示過程名和偏移量D[type][< range>]轉儲內存BP[#]

設置斷點BC[]清除一個或多個斷點BD[]禁用一個或多個斷點BE[< bp>]啓用一個或多個斷點BL[]列出一個或多個斷點 我的意見,有一個很是重要的參數就是-v參數,咱們能夠經過它發現一個進程下面掛接了哪些鏈接庫文件.有不少病毒,木馬,或者惡意軟件,都喜歡把本身作成動態庫,而後註冊到系統正常程序的加載庫列表中,達到隱藏本身的目的. 首先咱們須要設置一下ntsd的輸出重定向,最好是重定向到一個文本文件,方便咱們分析研究. c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt 注意,雖然輸出重定向了,可是咱們的輸出依然會繼續顯示在屏幕上,並且會進入到debug模式,咱們使用-c q參數,就能夠避免這個問題. c:\>ntsd -c q -v notepad.exe 如今咱們的pdw.txt文件中,就能夠看見notepad.exe文件的調試信息. ntsd使用如下參數殺死進程. c:\>ntsd -c q -p PID 只要你能提供進程的PID,那麼你就能夠幹掉進程.