ntsd.exe是Microsoft Windows 2000系统自带的用户态调试工具。可用ntsd.exe结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程,经常被病毒利用,用来强制结束杀毒软件进程。
ntsd.exe功能介绍
1、NTSD的功能非常的强大,用它强行结束某个比较顽固的进程还是很好用的2、基本上除了WINDOWS系统自己的管理进程,ntsd几乎都可以杀掉
更多相关介绍
ntsd.exe是MicrosoftWindows2000(MicrosoftWindowsXP)系统自带的用户态调试工具。可用它结束删除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用,用来强制结束杀毒软件进程。
ntsd.exe概述
进程文件名与类型:ntsdorntsd.exe
进程名称:SymbolicDebuggerforWindows。
ntsd.exe出品者
Microsoft
属于:MicrosoftWindowsOperatingSystem
系统进程:是
使用网络:是
硬件相关:否
常见错误:未知N/A
内存使用:未知N/A
间谍软件:否
广告软件:否
病毒:否
木马:否
ntsd.exe使用
NTSD(MicrosoftWindowsNTSymbolic/SystemsDebugger)是Windows2000(MicrosoftWindowsXP)默认安装的一
个调试器。这其实是一个命令行版本的WinDBG,功能上稍微缩了一点水,但是对一般的调试
来说是足够用了。
usage:NTSD[-v][-2][-d][-o][-g][-G][-w][-lines]
[-aDllName][-s][-rBreakErrorLevel][-tPrintErrorLevel]
[-hd][-x|-xd[except#]|-xe[except#]][-e][-z]
[--|-ppid|command-line]
where:-?displaysthishelptext
-aDllNamesetsthedefaultextensionDLL
-cexecutesthefollowingdebuggercommand
指定要执行的调试命令,多个命令之间用“;”分隔
-dsendsalldebuggeroutputtokerneldebuggerviaDbgPrint
-gignoresinitialbreakpointindebuggee
-Gignoresfinalbreakpointatprocesstermination
-hddisablesheapmanagervaliditychecking
-iignoresAVgeneratedbyloaderfixupsonpre3.51systems
-linesrequeststhatlinenumberinformationbeusedifpresent
-netsyms:{yes|no}allowordisallowloadingsymbolsfromanetworkpath
-odebugsallprocesseslaunchedbydebuggee
-rspecifiesthe(0-3)errorleveltobreakon(SeeSetErrorLevel)
-sdisableslazysymbolloading
-tspecifiesthe(0-3)errorleveltodisplay(SeeSetErrorLevel)
-venablesverboseoutputfromdebugger
-nenablesverboseoutputfromsymbolhandler
-wspecifiestodebug16bitapplicationsinaseparateVDM
-xdisablesbreakonAVexceptions
-xddisablesstoppingonspecifiedexception
-xeenablesstoppingonspecifiedexception
-zreservedforOS/2debugging
-2createsaseparateconsolewindowfordebuggee
对于控制台程序,将输出定向到另一个窗口而不在NTSD窗口显示
--isthesameas-G-g-o-p-1
-ppidspecifiesthedecimalprocessIdtoattachto
指定要调试的进程号,用于调试已经运行的程序
command-lineisthecommandtorununderthedebugger
EnvironmentVariables:
_NT_SYMBOL_PATH=[Drive:][Path]
Specifysymbolimagepath.(Default=%SystemRoot%)
_NT_ALT_SYMBOL_PATH=[Drive:][Path]
Specifyanalternatesymbolimagepath.
_NT_DEBUG_EXTENSIONS=dllname(s)
Ifspecified,itisasemi-colonseparatedlistofdebuggerextensionDLLnames
Thisspecifiesthesearchorderwhenresolvingdebuggerextensioncommands
A[
]-assemble
在指定地址输入汇编语句
BC[]-clearbreakpoint(s)
清除断点
BD[]-disablebreakpoint(s)
禁用断点
BE[]-enablebreakpoint(s)
启用断点
BL[]-listbreakpoint(s)
列出断点
BP[#]-setbreakpoint
设断点
C-compare
比较地址
D[type][]-dumpmemory
显示指定内存范围
E[type][]-enter
在指定地址输入数据
F-fill
在指定内存段填充数据
G[=[...]]-go
运行到某个地址
J[']cmd1['];[']cmd2[']-conditionalexecution
条件执行
K-stacktrace
堆栈回溯
KB=-stacktracefromspecificstate
L{+|-}[lost*]-Controlsourceoptions
LN-listnear
参数为地址或者函数,显示距离参数中指定地址或者函数最近的函数
LS[.][][,]-Listsourcefilelines
LSA[,][,]-Listsourcefilelinesataddr
LSC-Showcurrentsourcefileandline
LSF[-]-Loadorunloadasourcefileforbrowsing
M-move
N[]-set/showradix
P[R][=][]-programstep
单步执行
Q-quit
#R-multiprocessorregisterdump
多处理器环境下显示寄存器
R[F][L][M][[[=]]]-reg/flag
显示寄存器
Rm[?][]-Controlpromptregisteroutputmask
S-search
在指定地址范围内搜寻字符串
0:000>s77df000077e4c000ffe4//从user32的空间中找jmpesp
77e22c29
0:000>s77df000077e4c000'W''I''N''N''T'//搜索字符串“WINNT”
SS-setsymbolsuffix
SX[e|d[|*|]]-exception
T[R][=][]-trace
U[]-unassemble
显示反汇编语句,同softice的U命令
X[<*|module>!]<*|symbol>-viewsymbols
显示符号,支持通配符,类似于softice的exp命令
0:000>xuser32!*//显示user32的所有符号
…………
0:000>xuser32!ws*//显示user32的所有以ws开头的符号
77dffa68USER32!wsprintfW
77e0014aUSER32!wsprintfA
.logopen[]-opennewlogfile
指定日志文件,开启屏幕记录非常有用的功能
.logappend[]-appendtologfile
添加到已存在的日志文件
.logclose-closelogfile
停止记录
~-listthreadsstatus
显示线程状态
~#s-setdefaultthread
设置默认线程
~[.|#|*|ddd]f-freezethread
~[.|#|ddd]k[expr]-backtracestack
堆栈追踪
|-listprocessesstatus
显示进程状态
|#s-setdefaultprocess
设置默认进程
|#-defaultprocessoverride
?-displayexpression
显示地址或者符号信息
0:000>?wsprintfA
Evaluateexpression:2011169098=77e0014a
0:000>?eip
Evaluateexpression:2012813324=77f9180c
#[address]-searchforastringinthedissasembly
反汇编指定地址,但是只输出一行语句
$<-takeinputfromacommandfile
从文件取得要输入的命令
ops:+-*/notbywodwpoimod(%)and(&)xor(^)or(|)hilow
operands:numberincurrentradix,publicsymbol,
:b(byte),w(word),d[s](doubleword[withsymbols]),
a(ascii),c(dwordandChar),u(unicode),l(list)
f(float),D(double),s|S(ascii/unicodestring)
q(quadword)
:[(nt|)!](caninclude?and*)
:ct,et,ld,av,cc
:8,10,16
:$u0-$u9,$ea,$exp,$ra,$p
:%<32-bitaddress>
:
:L
:[...]
User-modeoptions:
i386options:
BA[#]<1|2|4>-addrbp
:[e]ax,[e]bx,[e]cx,[e]dx,[e]si,[e]di,[e]bp,[e]sp,[e]ip,[e]fl,
al,ah,bl,bh,cl,ch,dl,dh,cs,ds,es,fs,gs,ss
fpcw,fpsw,fptw,st0-st7,mm0-mm7
:iopl,of,df,if,tf,sf,zf,af,pf,cf
:#<16-bitprotect-mode[seg:]address>,
&
NTSD还支持一些很有用的命令,但是不知为什么帮助中却没有提,这里也列出来:
KD[]-stacktracewithrawdata
raw模式堆栈回溯
SQ-setquietmode
设置安静模式,运行一次打开,再运行则关闭
LD[]-refreshmoduleinformation
重新载入
LMlistmodules
列出进程加载的所有模块信息
DL-dumplinkedlist
NTSD支持的表达式和WinDBG差不多是一样的,MASM的语法。
系统自带的NTSD也支持部分扩展命令,如:
!peb
!teb
英文版本
进程文件:ntsd.exeorntsd
进程名称:SymbolicDebuggerforWindows
描述:
ntsd.exeisaprocessbelongingtotheMicrosoftsymbolicdebuggerthatenablesyoutodebuguser-modeapplications.Thisprogramisanon-essentialprocess,butshouldnotbeterminatedunlesssuspectedtobecausingproblems.
Recommendationforntsd.exe:
ntsd.exeshouldnotbedisabled,requiredforessentialapplicationstoworkproperly.
Author:Microsoft
PartOf:MicrosoftWindowsOperatingSystem
安全等级(0-5):0
间谍软件:No
病毒:No(Removentsd.exe)
木马:No(Removentsd.exe)
MemoryUsage:N/A
SystemProcess:Yes
BackgroundProcess:No
UsesNetwork:No
HardwareRelated:No
Commonntsd.exeErrors:N/A
牛铺软件园提供《ntsd.exe》 下载,该软件为免费版,文件大小为31.0KB,推荐指数4颗星,作为系统优化中的顶尖厂商,完全可以放心下载哦!
软件评论
评论列表