ntsd用法

翻译 2012年03月29日 17:33:39

最近要用到ntsd,在网上找了几个文章都是说用它来结束进程什么的,其实ntsd是个调试器,功能强大的很呢!

 

ntsd命令详细的帮助信息:
ntsd自身是一个基于内核的调试器程序。他有很多隐藏功能,都是system权限,可是人们通常使用的只有一个或者数个参数,如 ntsd -c q -p ,ntsd -c q -pn.大家都知道这个命令到底有多强大,我现在把其他的参数给大家介绍以下

参数介绍:
-? 显示帮助信息
该命令行是基于内核模式的调试器
-aDLLName 设置默认DLL执行头信息
-c 和调试命令一起执行,执行序列号可以远程同步
-d 发送所有调试信息到内核调试器,该参数不能用在远程系统,只能在内核调试器允许的时候才可以使用。
-g 忽略调试器中初始化断点
-G 忽略在进程结束是最后的断点
-hd 对创建的进程提供未使用的堆栈,这种选项只能工作在windows系统底层
-o 把所有的进程调试信息发送调试器
-p 显示PID,捕获和进程对应的十进制ID
-pd 执行完成后自动退出调试器
-pe 捕获任意一个正在执行DUBUG机器所使用的端口
-pn 捕获并显示进程名
-pt 超时而中断,用#表示中断号
-pv 捕获任意不活动进程
-r 错误级别编号(0-3),在函数(seeseterroleave)中使用
-robp 允许把断点所表示内存区域设为只读
-t 显示错误等级,和-r配合使用
-w 在虚拟机中单独调试16位应用程序
-X 为第二个通道的中断设置AV例外
-x<event> 和参数-e -d -n -i并用,为一个指定event设置一个中断状态
-2 为DEBUG创建一个独立会话窗口
-i 为制定的进程产生默认的路径(和(see_NT_EXECUTABLE_IMAGER_PATH)函数的效果相同)
-lines 如果系统接受该请求,线性序列将被使用
-myob 忽略不匹配的DBHELP.DLL版本
-n 允许输出symob句柄的详细信息
-noio 为指定远程服务禁止所有I/O
-noshell 禁用shell
-QR<[url=file://\\machine]\\machine[/url]> 查询远程服务是否开启
-s 禁止载入空闲的 symbol
-ses 允许严格的 symbol载入
-sfce 在搜索文件期间遇到关键错误,而导致搜索失败
-sicv 当载入symbol时忽略CV记录
-snul 遇到非法的名称,禁止自动载入symobl
-srcpath 指定原搜索路径
-v 允许输出调试器的详细信息
-wake 唤醒一个休眠的调试器,然后退出
-y 指定symbol搜索路径,和(see _NT_SYMBOL_PATH)函数相同
-z<CrashDumpFile> 对一个crash dump file文件指定一个名字到debug
-zp<CrashDumpFile>指定一个页面跳转文件给crash dump文件使用
-remote 让你可以远程连接到一个DEBUG处理中心,必须优先同意该请求。
传输端口:tcp npipe ssl spipe 1394接口 串口,
名字:创建一个DEBUG所需机器名
端口ID:debug服务所需的端口号
tcp端口:port=<sock port #>
npip端口:pipe=<name of pipe>
1394接口:channel=<channel #>
串口: port=<com port> baud=<baud rate> channel=<channel #>
为SSL很SPIPE显示档案记录(举例说明)

NTSD命令的快捷键:
ctrl-b:退出调试器
ctrl-c:中断标记
ctrl-f:前一个中断标记
ctrl-p:当前调试器
ctrl-v:切换调试器为详细模式
ctrl-w:显示版本信息



有一个非常重要的参数就是-v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件.有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达到隐藏自己的目的.

首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究.
c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt
注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到debug模式,我们使用-c q参数,就可以避免这个问题.

c:\>ntsd -c q -v notepad.exe
现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息.

ntsd 使用详解

 ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进...
  • qoo1983
  • qoo1983
  • 2008年01月18日 11:29
  • 711

Taskkill与Ntsd的区别与应用

在运行里输入cmd进入命令提示符。       然后输入命令tasklist /m>c:3.txt       回车。。是不是没有任何反应??       不要急。到C盘下面去找一找,是不...
  • weiqubo
  • weiqubo
  • 2010年09月28日 18:25
  • 1987

ntsd用法

  ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的...
  • aben_sky
  • aben_sky
  • 2007年07月05日 13:13
  • 1326

Windows 7(win7) 能用的ntsd.exe,超强结束进程

来源:http://www.felix021.com/blog/read.php?1983 通过AVG杀毒,不放心的话就跳过吧。 NTSD的功能非常的强大,用它强行结束某个比较...
  • u012474286
  • u012474286
  • 2014年03月27日 10:24
  • 3190

win7下没有ntsd提供的程序支持

Ntsd是微软在windows nt系列操作系统之中所推出的内核级别进程调试工具,在windows xp操作系统之中其广泛的被用来结束一些恶意进程。但是在w7系统下载版本之中因为考虑到ntsd的安全性...
  • qq_20545159
  • qq_20545159
  • 2015年03月29日 09:57
  • 1593

NTSD简介

 前言:既然Drwtsn32存在若干缺陷,需要寻找新的技术替代Drwtsn32。NTSD是一个不错的选择。本文将从Drwtsn32的几个缺点,分别介绍NTSD中 的解决方法。主要介绍以下三个方面的内容...
  • alicehyxx
  • alicehyxx
  • 2009年07月14日 14:39
  • 2773

强行结束进程命令ntsd

ntsd -c q -p PID -c:执行后面的debug命令。 -q:debug命令-退出。 -p:指定被调试的线程ID。 PID:线程ID。 只有System、SMSS...
  • qq_20545159
  • qq_20545159
  • 2015年01月08日 10:36
  • 652

ntsd命令:强制关闭来历不明的进程

系统中运行的程序,都会有一个与之对应的进程。木马、病毒同样如此。一些用户在“任务管理器”的“标程”标签中经常会发现一些来历不明的进程,因此毫不犹豫的就将它们中止。但是在中止的时候却出现了问题,无法关闭...
  • The_IT_Crowd
  • The_IT_Crowd
  • 2012年06月15日 11:00
  • 554

用ntsd -c q -p PID 杀进程

1:杀进程很容易,随便找个工具都行。比如IceSword。关键是找到这个进程的启动方式,不然下次重启它又出来了。顺便教大家一招狠的。其实用Windows自带的工具就能杀大部分进程: c:\>nt...
  • aerchi
  • aerchi
  • 2012年11月27日 14:25
  • 4200

Windows 系统debug级 进程调试工具 ntsd 详解

ntsd从Windows 2000开始就是系统自带的进程调试工具,在system32目录下。NTSD的功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。在Windows中只有S...
  • rznice
  • rznice
  • 2012年09月09日 13:30
  • 2507
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:ntsd用法
举报原因:
原因补充:

(最多只允许输入30个字)