在CMD命令行下关闭进程的命令
轉(zhuǎn)載:
【重要】在CMD命令行下關(guān)閉進(jìn)程的命令
━━━━━━━━━━━━━━━━━━━━━━━━━━
方法一:
在"運(yùn)行"中輸入:ntsd -c q -pn 程序名字(在MS-Dos中的作用是一樣的)
方法二:
ntsd使用以下參數(shù)殺死進(jìn)程.
c:>ntsd -c q -p PID 只要你能提供進(jìn)程的PID,那么你就可以干掉進(jìn)程.
法二:
tskill命令
這個(gè)命令與tasklist命令是相對(duì)應(yīng)的吧! tasklist命令是顯示有哪些進(jìn)程正在運(yùn)行!
tskill命令是關(guān)閉運(yùn)行中的進(jìn)程.
不過我試驗(yàn)了,好像沒有用哦!^O^
共有多少種命令行下的死法呢?
三種!tskill命令,taskkill命令,ntsd命令.
tskill命令的使用最為簡單,C:>tskill
TSKILL processid | processname [/SERVER:servername] [/ID:sessionid | /A] [/V]
processid 要結(jié)束的進(jìn)程的 Process ID。
processname 要結(jié)束的進(jìn)程名稱。
/SERVER:servername 含有 processID 的服務(wù)器(默認(rèn)值是當(dāng)前值)。
使用進(jìn)程名和 /SERVER 時(shí),必須指定/ID 或 /A
/ID:sessionid 結(jié)束在指定會(huì)話下運(yùn)行的進(jìn)程。
/A 結(jié)束在所有會(huì)話下運(yùn)行的進(jìn)程。
/V 顯示正在執(zhí)行的操作的信息。
taskkill命令主要的好處是帶很多篩選器,可以批量結(jié)束進(jìn)程
C:>taskkill /?
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個(gè)命令行工具可用來結(jié)束至少一個(gè)進(jìn)程。可以根據(jù)進(jìn)程 id 或圖像名來結(jié)束進(jìn)程。
參數(shù)列表:
/S system 指定要連接到的遠(yuǎn)程系統(tǒng)。
/U [domain]user 指定應(yīng)該在哪個(gè)用戶上下文執(zhí)行這個(gè)命令。
/P [password] 為提供的用戶上下文指定密碼。如果忽略,提示輸入。
/F 指定要強(qiáng)行終止進(jìn)程。
/FI filter 指定篩選進(jìn)或篩選出查詢的的任務(wù)。
/PID process id 指定要終止的進(jìn)程的PID。
/IM image name 指定要終止的進(jìn)程的圖像名。通配符 '*'可用來指定所有圖像名。
/T Tree kill: 終止指定的進(jìn)程和任何由此啟動(dòng)的子進(jìn)程。
/? 顯示幫助/用法。
篩選器:
篩選器名 有效運(yùn)算符 有效值
----------- --------------- --------------
STATUS eq, ne 運(yùn)行 | 沒有響應(yīng)
IMAGENAME eq, ne 圖像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 會(huì)話編號(hào)
CPUTIME eq, ne, gt, lt, ge, le CPU 時(shí)間,格式為hh:mm:ss。hh - 時(shí),mm - 鐘,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 內(nèi)存使用,單位為 KB
USERNAME eq, ne 用戶名,格式為[domain]user
MODULES eq, ne DLL 名
SERVICES eq, ne 服務(wù)名
WINDOWTITLE eq, ne 窗口標(biāo)題
注意: 只有帶有篩選器的情況下,才能跟 /IM 切換使用通配符 '*'。
注意: 遠(yuǎn)程進(jìn)程總是要強(qiáng)行終止,不管是否指定了 /F 選項(xiàng)。
例如:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe
TASKKILL /S system /U domainusername /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
有一些高等級(jí)的進(jìn)程,tskill和taskkill或許無法結(jié)束,那么我們還有一個(gè)更強(qiáng)大的工具,那就是系統(tǒng)debug級(jí)的ntsd.準(zhǔn)確的說,ntsd是一個(gè)系統(tǒng)調(diào)試工具,只提供給系統(tǒng)開發(fā)級(jí)的管理員使用,但是對(duì)我們殺掉進(jìn)程還是很爽的.基本上除了WINDOWS系統(tǒng)自己的管理進(jìn)程,ntsd都可以殺掉.
當(dāng)然咯,有些rootkit級(jí)別的超級(jí)木馬,還是無能為力,幸好這種牛牛級(jí)別的木馬還是很少的.
NTSD 調(diào)試程序在啟動(dòng)時(shí)要求用戶指定一個(gè)要連接的進(jìn)程。使用 TLIST 或 PVIEWER,您可以獲得某個(gè)現(xiàn)有進(jìn)程的進(jìn)程 ID,然后鍵入 NTSD -p pid 來調(diào)試這個(gè)進(jìn)程。NTSD 命令行使用如下的句法:
NTSD [options] imagefile
其中,imagefile 是要調(diào)試的映像名稱,options 是下面選項(xiàng)之一:
選項(xiàng)說明-2打開一個(gè)用于調(diào)試字符模式的應(yīng)用程序的新窗口-d將輸出重定向到調(diào)試終端-g 使執(zhí)行自動(dòng)通過第一個(gè)斷點(diǎn)-G使 NTSD 在子程序終止時(shí)立即退出o啟用多個(gè)進(jìn)程的調(diào)試,默認(rèn)值為由調(diào)試程序衍生的一個(gè)進(jìn)程-p指定調(diào)試由進(jìn)程 ID 標(biāo)識(shí)的進(jìn)程-v產(chǎn)生詳細(xì)的輸出
例如,假設(shè) inetinfo.exe 的進(jìn)程 ID 為 104。鍵入以下命令將 NTSD 調(diào)試程序連接到 inetinfo 進(jìn)程 (IIS)。
NTSD -p 104
也可使用 NTSD 啟動(dòng)一個(gè)新進(jìn)程來進(jìn)行調(diào)試。例如,NTSD notepad.exe 將啟動(dòng)一個(gè)新的 notepad.exe 進(jìn)程,并與它建立連接。
一旦連接到某個(gè)進(jìn)程,您就可以用各種命令來查看堆棧、設(shè)置斷點(diǎn)、轉(zhuǎn)儲(chǔ)內(nèi)存,等等。
命令含義~顯示所有線程的一個(gè)列表KB 顯示當(dāng)前線程的堆棧軌跡~*KB顯示所有線程的堆棧軌跡R顯示當(dāng)前幀的寄存器輸出U反匯編代碼并顯示過程名和偏移量D[type][< range>]轉(zhuǎn)儲(chǔ)內(nèi)存BP[#]
設(shè)置斷點(diǎn)BC[]清除一個(gè)或多個(gè)斷點(diǎn)BD[]禁用一個(gè)或多個(gè)斷點(diǎn)BE[< bp>]啟用一個(gè)或多個(gè)斷點(diǎn)BL[]列出一個(gè)或多個(gè)斷點(diǎn)
個(gè)人意見,有一個(gè)非常重要的參數(shù)就是-v參數(shù),我們可以通過它發(fā)現(xiàn)一個(gè)進(jìn)程下面掛接了哪些連接庫文件.有很多病毒,木馬,或者惡意軟件,都喜歡把自己做成動(dòng)態(tài)庫,然后注冊(cè)到系統(tǒng)正常程序的加載庫列表中,達(dá)到隱藏自己的目的.
首先我們需要設(shè)置一下ntsd的輸出重定向,最好是重定向到一個(gè)文本文件,方便我們分析研究.
c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt
注意,雖然輸出重定向了,但是我們的輸出依然會(huì)繼續(xù)顯示在屏幕上,而且會(huì)進(jìn)入到debug模式,我們使用-c q參數(shù),就可以避免這個(gè)問題.
c:>ntsd -c q -v notepad.exe
現(xiàn)在我們的pdw.txt文件中,就可以看見notepad.exe文件的調(diào)試信息.
ntsd使用以下參數(shù)殺死進(jìn)程.
c:>ntsd -c q -p PID 只要你能提供進(jìn)程的PID,那么你就可以干掉進(jìn)程.
總結(jié)
以上是生活随笔為你收集整理的在CMD命令行下关闭进程的命令的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 特洛伊战争是真实发生的吗?
- 下一篇: 怎么创建具有真实纹理的CG场景岩石?