dos干掉進(jìn)程
　　ntsd 是一條dos命令，功能是用于結(jié)束一些常規(guī)下結(jié)束不了的死進(jìn)程。
　　用法為打開(kāi)cmd 后輸入以下命令就可以結(jié)束進(jìn)程：
　　方法一：利用進(jìn)程的PID結(jié)束進(jìn)程
　　命令格式：ntsd -c q -p pid
　　命令范例： ntsd -c q -p 1332 （結(jié)束explorer.exe進(jìn)程）
　　范例詳解：explorer.exe的pid為1332，但是如何獲取進(jìn)程的pid呢？在CMD下輸入TASKLIST就可以獲取當(dāng)前任務(wù)管理器所有進(jìn)程的PID
　　方法二：利用進(jìn)程名結(jié)束進(jìn)程
　　命令格式：ntsd -c q -pn ***.exe （***.exe 為進(jìn)程名,exe不能省）
　　命令范例：ntsd -c q -pn explorer.exe
　　另外的能結(jié)束進(jìn)程的DOS命令還有taskkill：
　　命令格式： taskkill /pid 1234 /f （ 也可以達(dá)到同樣的效果。）
　　如果上面這些還不能滿足您的求知欲，下面還有：
　　ntsd詳解
　　有一些高等級(jí)的進(jìn)程,tskill和taskkill或許無(wú)法結(jié)束,那么我們還有一個(gè)更強(qiáng)大的工具,那就是系統(tǒng)debug
　　級(jí)的ntsd.準(zhǔn)確的說(shuō),ntsd是一個(gè)
　　系統(tǒng)調(diào)試工具,只提供給系統(tǒng)開(kāi)發(fā)級(jí)的管理員使用,但是對(duì)我們殺掉進(jìn)程還是很爽的.基本上除了WINDOWS系
　　統(tǒng)自己的管理進(jìn)程,ntsd都可以殺掉.
　　當(dāng)然咯,有些rootkit級(jí)別的超級(jí)木馬,還是無(wú)能為力,幸好這種牛牛級(jí)別的木馬還是很少的.
　　NTSD 調(diào)試程序在啟動(dòng)時(shí)要求用戶指定一個(gè)要連接的進(jìn)程。使用 TLIST 或 PVIEWER，您可以獲得某個(gè)現(xiàn)有
　　進(jìn)程的進(jìn)程 ID，然后鍵入 NTSD -p pid 來(lái)調(diào)試這個(gè)進(jìn)程。NTSD 命令行使用如下的句法：
　　NTSD [options] imagefile
　　其中，imagefile 是要調(diào)試的映像名稱，options 是下面選項(xiàng)之一：
　　選項(xiàng)說(shuō)明-2打開(kāi)一個(gè)用于調(diào)試字符模式的應(yīng)用程序的新窗口-d將輸出重定向到調(diào)試終端-g 使執(zhí)行自動(dòng)通
　　過(guò)第一個(gè)斷點(diǎn)-G使 NTSD 在子程序終止時(shí)立即退出o啟用多個(gè)進(jìn)程的調(diào)試，默認(rèn)值為由調(diào)試程序衍生的一
　　個(gè)進(jìn)程-p指定調(diào)試由進(jìn)程 ID 標(biāo)識(shí)的進(jìn)程-v產(chǎn)生詳細(xì)的輸出
　　例如，假設(shè) inetinfo.exe 的進(jìn)程 ID 為 104。鍵入以下命令將 NTSD 調(diào)試程序連接到 inetinfo 進(jìn)程
　　(IIS)。
　　NTSD -p 104
　　也可使用 NTSD 啟動(dòng)一個(gè)新進(jìn)程來(lái)進(jìn)行調(diào)試。例如，NTSD notepad.exe 將啟動(dòng)一個(gè)新的 notepad.exe 進(jìn)
　　程，并與它建立連接。
　　一旦連接到某個(gè)進(jìn)程，您就可以用各種命令來(lái)查看堆棧、設(shè)置斷點(diǎn)、轉(zhuǎn)儲(chǔ)內(nèi)存，等等。
　　命令含義~顯示所有線程的一個(gè)列表KB 顯示當(dāng)前線程的堆棧軌跡~*KB顯示所有線程的堆棧軌跡R顯示當(dāng)前
　　幀的寄存器輸出U反匯編代碼并顯示過(guò)程名和偏移量D轉(zhuǎn)儲(chǔ)內(nèi)存BP設(shè)置斷點(diǎn)BC清除一個(gè)或多個(gè)斷點(diǎn)BD禁用一個(gè)或多個(gè)斷點(diǎn)BE啟用一個(gè)或多個(gè)斷點(diǎn)BL列出一個(gè)或多個(gè)斷點(diǎn)
　　個(gè)人意見(jiàn),有一個(gè)非常重要的參數(shù)就是-v參數(shù),我們可以通過(guò)它發(fā)現(xiàn)一個(gè)進(jìn)程下面掛接了哪些連接庫(kù)文件.
　　有很多病毒,木馬,或者惡意軟件,都喜歡把自己做成動(dòng)態(tài)庫(kù),然后注冊(cè)到系統(tǒng)正常程序的加載庫(kù)列表中,達(dá)
　　到隱藏自己的目的.
　　首先我們需要設(shè)置一下ntsd的輸出重定向,最好是重定向到一個(gè)文本文件,方便我們分析研究.
　　c:/>set _NT_DEBUG_LOG_FILE_APPEND=c:/pdw.txt
　　注意,雖然輸出重定向了,但是我們的輸出依然會(huì)繼續(xù)顯示在屏幕上,而且會(huì)進(jìn)入到debug模式,我們使用-c
　　q參數(shù),就可以避免這個(gè)問(wèn)題.
　　c:/>ntsd -c q -v notepad.exe
(責(zé)任編輯：VEVB)