ntsd從2000開始就是系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進(jìn)程會(huì)隨調(diào)試器一起退出，所以可以用來在命令行下終止進(jìn)程。使用ntsd自動(dòng)就獲得了debug權(quán)限，從而能殺掉大部分的進(jìn)程。只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個(gè)是純內(nèi)核態(tài)的，最后那個(gè)是Win32子系統(tǒng)，ntsd本身需要它。ntsd會(huì)新開一個(gè)調(diào)試窗口，本來在純命令行下無法控制，但如果只是簡單的命令，比如退出(q)，用-c參數(shù)從命令行傳遞就行了

【ntsd -c q -p pid】
如果能知道進(jìn)程的pid，比如explorer.exe的pid為196,運(yùn)行cmd后輸入"ntsd -c q -p 136"即可殺掉
【ntsd -c q -pn 進(jìn)程名】
只要知道了進(jìn)程的名稱，比如explorer.exe，運(yùn)行cmd后輸入"ntsd -c q -pn explorer.exe"即可殺掉
但是，如果同一個(gè)進(jìn)程（比如iexplorer.exe）開了多個(gè)，就會(huì)出現(xiàn)錯(cuò)誤?
所以，ntsd 每次只能結(jié)束一個(gè)單獨(dú)出現(xiàn)的進(jìn)程

下面為ntsd的用法和幫助

ntsd
usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w]
??????????? [-r BreakErrorLevel]? [-t PrintErrorLevel]
??????????? [-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i} <event>]
??????????? [-- | -p pid | -pn name | command-line | -z CrashDmpFile]
??????????? [-zp CrashPageFile] [-premote transport] [-robp]
??????????? [-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath]
??????????? [-clines #] [-srcpath SourcePath] [-QR //machine] [-wake <pid>]
??????????? [-remote transport:server=name,portid] [-server transport:portid]
??????????? [-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]

以下為俺翻譯的幫助文件，僅供參考。需要源文件的，直接cmd下ntsd/?就可以了

【command-line】 在dubugger模式下運(yùn)行
【--】 默認(rèn)為執(zhí)行【-G -g -o -p -1 -d -pd】參數(shù)
【-aDllName】設(shè)置默認(rèn)的擴(kuò)展dll
【-c】執(zhí)行后面的dubugger命令
【-clines】 number of lines of output history retrieved by a remote client
【-failinc】失敗時(shí)產(chǎn)生不完全的符號(hào)和模型
【-d】 通過DbgPrint向kernel（核心）發(fā)送debugger輸出信息
??? 注： -d? 不可與debugger remoting同用
???????? -d? 只能在kernel（核心）debugger 可以用時(shí)才能使用
【-g】在debuggee下忽略初始化斷點(diǎn)
【-G】忽略程序結(jié)束時(shí)的最終斷點(diǎn)
【-hd】規(guī)定debug命令集不能用于（dubuggee）創(chuàng)建的程序。該參數(shù)只能作用在Windows Whistler（windows xp的測試版本）系統(tǒng)上
【-o】 debug所有由debuggee載入的程序
【-p pid】指定要綁定的進(jìn)程的十進(jìn)制ID(就是pid)
【-pd】 指定debugger自動(dòng)與綁定的程序分離
【-pe】 規(guī)定任何綁定都要對(duì)應(yīng)一個(gè)存在的debug端口
【-pt #】指定中斷超時(shí)時(shí)間
【-pv】 指定任何綁定都是封閉的，不對(duì)外共享
【-r】 指定0－3等級(jí)的中斷（SeeSetErrorLevel）
【-robp】允許在只讀內(nèi)存中設(shè)置斷點(diǎn)
【-t】 指定顯示0－3級(jí)的錯(cuò)誤(SeeSetErrorLevel)
【-w】 指定在一個(gè)單獨(dú)的VDM（DOS虛擬機(jī)）中debug 16位應(yīng)用程序
【-x】 在AV排除項(xiàng)中設(shè)置第二個(gè)可選斷點(diǎn)
???? -x{e|d|n|i} <event> 為指定的事件設(shè)置中斷狀態(tài)
【-2】 為debuggee創(chuàng)建一個(gè)單獨(dú)核心的窗口

總結(jié)

以上是生活随笔為你收集整理的ntsd用法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。