最近要用到ntsd，在網(wǎng)上找了幾個文章都是說用它來結(jié)束進(jìn)程什么的，其實ntsd是個調(diào)試器，功能強大的很呢！

?

ntsd命令詳細(xì)的幫助信息：
ntsd自身是一個基于內(nèi)核的調(diào)試器程序。他有很多隱藏功能，都是system權(quán)限，可是人們通常使用的只有一個或者數(shù)個參數(shù)，如 ntsd -c q -p ,ntsd -c q -pn.大家都知道這個命令到底有多強大，我現(xiàn)在把其他的參數(shù)給大家介紹以下

參數(shù)介紹：
-？ 顯示幫助信息
該命令行是基于內(nèi)核模式的調(diào)試器
-aDLLName 設(shè)置默認(rèn)DLL執(zhí)行頭信息
-c 和調(diào)試命令一起執(zhí)行，執(zhí)行序列號可以遠(yuǎn)程同步
-d 發(fā)送所有調(diào)試信息到內(nèi)核調(diào)試器，該參數(shù)不能用在遠(yuǎn)程系統(tǒng)，只能在內(nèi)核調(diào)試器允許的時候才可以使用。
-g 忽略調(diào)試器中初始化斷點
-G 忽略在進(jìn)程結(jié)束是最后的斷點
-hd 對創(chuàng)建的進(jìn)程提供未使用的堆棧，這種選項只能工作在windows系統(tǒng)底層
-o 把所有的進(jìn)程調(diào)試信息發(fā)送調(diào)試器
-p 顯示PID，捕獲和進(jìn)程對應(yīng)的十進(jìn)制ID
-pd 執(zhí)行完成后自動退出調(diào)試器
-pe 捕獲任意一個正在執(zhí)行DUBUG機器所使用的端口
-pn 捕獲并顯示進(jìn)程名
-pt 超時而中斷，用#表示中斷號
-pv 捕獲任意不活動進(jìn)程
-r 錯誤級別編號（0-3），在函數(shù)(seeseterroleave)中使用
-robp 允許把斷點所表示內(nèi)存區(qū)域設(shè)為只讀
-t 顯示錯誤等級，和-r配合使用
-w 在虛擬機中單獨調(diào)試16位應(yīng)用程序
-X 為第二個通道的中斷設(shè)置AV例外
-x<event> 和參數(shù)-e -d -n -i并用，為一個指定event設(shè)置一個中斷狀態(tài)
-2 為DEBUG創(chuàng)建一個獨立會話窗口
-i 為制定的進(jìn)程產(chǎn)生默認(rèn)的路徑（和(see_NT_EXECUTABLE_IMAGER_PATH)函數(shù)的效果相同）
-lines 如果系統(tǒng)接受該請求，線性序列將被使用
-myob 忽略不匹配的DBHELP.DLL版本
-n 允許輸出symob句柄的詳細(xì)信息
-noio 為指定遠(yuǎn)程服務(wù)禁止所有I/O
-noshell 禁用shell
-QR<[url=file://\\machine]\\machine[/url]> 查詢遠(yuǎn)程服務(wù)是否開啟
-s 禁止載入空閑的 symbol
-ses 允許嚴(yán)格的 symbol載入
-sfce 在搜索文件期間遇到關(guān)鍵錯誤，而導(dǎo)致搜索失敗
-sicv 當(dāng)載入symbol時忽略CV記錄
-snul 遇到非法的名稱，禁止自動載入symobl
-srcpath 指定原搜索路徑
-v 允許輸出調(diào)試器的詳細(xì)信息
-wake 喚醒一個休眠的調(diào)試器，然后退出
-y 指定symbol搜索路徑，和(see _NT_SYMBOL_PATH)函數(shù)相同
-z<CrashDumpFile> 對一個crash dump file文件指定一個名字到debug
-zp<CrashDumpFile>指定一個頁面跳轉(zhuǎn)文件給crash dump文件使用
-remote 讓你可以遠(yuǎn)程連接到一個DEBUG處理中心，必須優(yōu)先同意該請求。
傳輸端口：tcp npipe ssl spipe 1394接口 串口，
名字：創(chuàng)建一個DEBUG所需機器名
端口ID：debug服務(wù)所需的端口號
tcp端口：port=<sock port #>
npip端口：pipe=<name of pipe>
1394接口：channel=<channel #>
串口： port=<com port> baud=<baud rate> channel=<channel #>
為SSL很SPIPE顯示檔案記錄（舉例說明）

NTSD命令的快捷鍵：
ctrl-b:退出調(diào)試器
ctrl-c:中斷標(biāo)記
ctrl-f:前一個中斷標(biāo)記
ctrl-p:當(dāng)前調(diào)試器
ctrl-v:切換調(diào)試器為詳細(xì)模式
ctrl-w:顯示版本信息

有一個非常重要的參數(shù)就是-v參數(shù),我們可以通過它發(fā)現(xiàn)一個進(jìn)程下面掛接了哪些連接庫文件.有很多病毒,木馬,或者惡意軟件,都喜歡把自己做成動態(tài)庫,然后注冊到系統(tǒng)正常程序的加載庫列表中,達(dá)到隱藏自己的目的.

首先我們需要設(shè)置一下ntsd的輸出重定向,最好是重定向到一個文本文件,方便我們分析研究.
c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt
注意,雖然輸出重定向了,但是我們的輸出依然會繼續(xù)顯示在屏幕上,而且會進(jìn)入到debug模式,我們使用-c q參數(shù),就可以避免這個問題.

c:\>ntsd -c q -v notepad.exe
現(xiàn)在我們的pdw.txt文件中,就可以看見notepad.exe文件的調(diào)試信息.

?

總結(jié)

以上是生活随笔為你收集整理的ntsd教程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。