进程的进程 ID , 然后键入 NTSD -p pid 来调试这个进程 。NTSD 命令行使用如下的句法:
NTSD [options] imagefile
其中 , imagefile 是要调试的映像名称 , options 是下面选项之一:
选项说明-2打开一个用于调试字符模式的应用程序的新窗口-d将输出重定向到调试终端-g 使执行自动通
过第一个断点-G使 NTSD 在子程序终止时立即退出o启用多个进程的调试 , 默认值为由调试程序衍生的一
个进程-p指定调试由进程 ID 标识的进程-v产生详细的输出
例如 , 假设 inetinfo.exe 的进程 ID 为 104 。键入以下命令将 NTSD 调试程序连接到 inetinfo 进程
(IIS) 。
NTSD -p 104
也可使用 NTSD 启动一个新进程来进行调试 。例如 , NTSD notepad.exe 将启动一个新的 notepad.exe 进
程 , 并与它建立连接 。
一旦连接到某个进程 , 您就可以用各种命令来查看堆栈、设置断点、转储内存 , 等等 。
命令含义~显示所有线程的一个列表KB 显示当前线程的堆栈轨迹~*KB显示所有线程的堆栈轨迹R显示当前
帧的寄存器输出U反汇编代码并显示过程名和偏移量D转储内存BP设置断点BC清除一个或多个断点BD禁用一个或多个断点BE启用一个或多个断点BL列出一个或多个断点
个人意见 , 有一个非常重要的参数就是-v参数 , 我们可以通过它发现一个进程下面挂接了哪些连接库文件.
有很多病毒 , 木马 , 或者恶意软件 , 都喜欢把自己做成动态库 , 然后注册到系统正常程序的加载库列表中 , 达
到隐藏自己的目的.
首先我们需要设置一下ntsd的输出重定向 , 最好是重定向到一个文本文件 , 方便我们分析研究.
c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt
注意 , 虽然输出重定向了 , 但是我们的输出依然会继续显示在屏幕上 , 而且会进入到debug模式 , 我们使用-c
q参数 , 就可以避免这个问题.
c:>ntsd -c q -v notepad.exe
现在我们的pdw.txt文件中 , 就可以看见notepad.exe文件的调试信息.
ntsd使用以下参数杀死进程.
c:>ntsd -c q -p PID 只要你能提供进程的PID , 那么你就可以干掉进程.
我们知道 , Windows的任务管理器是我们了解当前计算机运行了哪些程序的有利工具 , 那么如何打开这个任务管理器呢?在实际使用中通常有两种方法:一是按下键盘上的Ctrl Alt Del就可以打开任务管理器;二是鼠标移到任务栏上空白处 , 右键→选择任务管理器即打开任务管理器 。但是 , 有时候电脑中病毒后 , 病毒会禁用任务管理器 , 这个时候怎么办呢?请往下看 。
这个时候我们就要采用更专业的方法来打开任务管理器 , 即采用命令提示符的方式 , 下面教大家如何使用命令提示符打开任务管理器 , 以及如何利用命令来关闭相关进程 。
1、用命令提示符(cmd)打开任务管理器查看进程方法
开始→运行→cmd , 然后在命令提示符窗口中输入Tasklist就可以查看计算机当前的进程了 。
2、用命令提示符(cmd)终止某个进程的方法
在这里用举例的方法来说明问题 , 假如要中止当前进程中的记事本进程notepad.exe , 即可采用下列命令:
taskkill /f /im notepad.exe
如果你知道了要终止的进程pid值(通过任务管理器可以看出每个进程的pid值) , 比如是100 , 就可以采用下列命令:
ntsd -c q -p 100 或者 taskkill /f /pid 100
小贴士:清除U盘病毒
1、按“WIN R”打开“运行”窗口 , 输入“CMD”命令 , 按确定 , 打开命令提示符窗口 。
2、在命令提示符窗口中切换到U盘所在盘符或是中了Autorun.inf病毒的盘符下 , 依次执行命令:attrib -S -H -R autorun.inf按回车 。
推荐阅读
- 黄岛区政府搬迁胶南了吗
- 老虎简笔画 老虎怎么画
- 战双帕弥什深红之渊阵容怎么搭配 战双帕弥什深红之渊阵容搭配推荐
- 夜莺的句子
- 金粉世家中金燕西写给清秋的信
- 如何清理壶锈 怎样清理壶锈
- 表语从句that的省略吗
- X899与电脑的连接
- 公司买保险是怎么买的