虽然现在大部分是2003了,但还有少数是2000

命令执行格式为ntsd -c q -p PID
那如何知道winlogon.exe的PID进程号呢~
以下这个脚本可以列举当前所有进程的PID:

wscript.echo “PID  ProcessName”
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
wscript.echo ps.handle&vbtab&ps.name
next

在CMDSHELL窗口下贴上如下ECHO代码就可以得到查看进程PID的脚本1.vbe:
echo wscript.echo “PID  ProcessName”>>1.vbe
echo for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ >>1.vbe
echo wscript.echo ps.handle^&vbtab^&ps.name>>1.vbe
echo next>>1.vbe

生成1.vbe后请检查一下echo出来的脚本是否有错(才四行,对一下上面给出的就可以了)。
运行1.vbe得到如下运行结果:

C:\WINNT\system32>cscript 1.vbe
cscript 1.vbe
Microsoft (R) Windows 脚本宿主版本 5.1 for Windows
版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.

PID  ProcessName
0    System Idle Process
8    System
152  smss.exe
180  csrss.exe
200  winlogon.exe
228  services.exe
240  lsass.exe
424  svchost.exe
472  spoolsv.exe
512  msdtc.exe
616  svchost.exe
628  KAVSvc.EXE
660  ll***v.exe
692  nvsvc32.exe
728  regsvc.exe
748  MSTask.exe
776  alter.exe
900  svchost.exe
916  WinMgmt.exe
1088  Dfssvc.exe
484  Explorer.EXE
1444  mdm.exe
1340  Server.exe
1224  ibguard.exe
1252  KAVSvcUI.EXE
1256  ibserver.exe
1336  internat.exe
1204  Uspds.exe
720  bar.exe
1288  dllhost.exe
1580  inetinfo.exe
1672  cmd.exe
1464  pppoe.exe
1704  regedit.exe
316  cscript.exe

    从上面可以看出当前winlogon.exe的PID号为200运行命令ntsd -c q -p 200 (这里的200要替换为winlogon.exe进程对就的PID啦)过会儿机器码