flyinweb's blog

问:怎么才能关掉一个用任务管理器关不了的进程？我前段时间发现我的机子里多了一个进程，只要开机就在，我用任务管理器却怎么关也关不了 

　　答1:杀进程很容易，随便找个工具都行。比如IceSword。关键是找到这个进程的启动方式，不然下次重启它又出来了。顺便教大家一招狠的。其实用Windows自带的工具就能杀大部分进程：

c:\>ntsd -c q -p PID 

　　只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。NtsdNtsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口，输入：

ntsd -c q -p PID  

　　把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－>进程选项卡－>查看－>选择列－>勾上"PID（进程标识符）"，然后就能看见了。 

　　答2：xp下还有两个好东东tasklist和tskill。tasklist能列出所有的进程，和相应的信息。tskill能查杀进程，语法很简单：tskill 程序名！！ 

usage: ntsd [options]  
 
Options:  
 
  <command-line> command to run under the debugger  
  -? displays command line help text  
  -- equivalent to -G -g -o -p -1 -d -pd  
  -2 creates a separate console window for debuggee  
  -a<DllName> adds a default extension DLL  
  -bonc request break in after session started  
  -c "<command>" executes the given debugger command at the first debugger  
                 prompt  
  -cf <file> specifies a script file to be processed at the first debugger  
             prompt  
  -clines <#> number of lines of output history retrieved by a remote client  
  -d sends all debugger output to kernel debugger via DbgPrint  
     input is requested from the kernel debugger via DbgPrompt  
     -d cannot be used with debugger remoting  
     -d can only be used when the kernel debugger is enabled  
  -ddefer sends all debugger output to kernel debugger via DbgPrint  
          input is requested from the kernel debugger via DbgPrompt unless  
          there are remote clients that can provide input  
          -ddefer can only be used when the kernel debugger is enabled  
          -ddefer should be used with -server  
  -ee <name> set default expression evaluator  
             <name> can be MASM or C++  
  -failinc causes incomplete symbol and module loads to fail  
  -g ignores initial breakpoint in debuggee  
  -G ignores final breakpoint at process termination  
  -hd specifies that the debug heap should not be used for created processes.  
      This only works on Windows XP and later  
  -i <ImagePath> specifies the location of the executables that generated the  
                 fault (see _NT_EXECUTABLE_IMAGE_PATH)  
  -isd sets the CREATE_IGNORE_SYSTEM_DEFAULT flag in STARTUPINFO.dwFlags  
       during CreateProcess  
  -lines requests that line number information be used if present  
  -loga <logfile> appends to a log file  
  -logo <logfile> opens a new log file  
  -myob ignores version mismatches in DBGHELP.DLL  
  -n enables verbose output from symbol handler  
  -noio disables all I/O for dedicated remoting servers  
  -noshell disables the .shell (!!) command  
  -o debugs all processes launched by debuggee  
  -p <pid> specifies the decimal process ID to attach to  
  -pb specifies that the debugger should not break in at attach  
  -pd specifies that the debugger should automatically detach  
  -pe specifies that any attach should be to an existing debug port  
  -pn <name> specifies the name of the process to attach to  
  -pr specifies that the debugger should resume on attach  
  -premote <transport>:server=<name>,<params>  
    specifies the process server to connect to  
    transport arguments are given as with remoting  
  -pt <#> specifies the interrupt timeout  
  -pv specifies that any attach should be noninvasive  
  -pvr specifies that any attach should be noninvasive and nonsuspending  
  -QR \\<machine> queries for remote servers  
  -r <BreakErrorLevel> specifies the (0-3) error level to break on (see  
                       SetErrorLevel)  
  -remote <transport>:server=<name>,<params>  
    lets you connect to a debugger session started with -server  
    must be the first argument if present  
      transport: tcp | npipe | ssl | spipe | 1394 | com  
      name: machine name on which the debug server was created  
      params: parameters the debugger server was created with  
        for tcp use:  port=<socket port #>  
        for npipe use:  pipe=<name of pipe>  
        for 1394 use:  channel=<channel #>  
        for com use:  port=<COM port>,baud=<baud rate>,  
                      channel=<channel #>  
        for ssl and spipe see the documentation  
      example: ... -remote npipe:server=yourmachine,pipe=foobar  
  -robp allows breakpoints to be set in read-only memory  
  -rtl uses RtlCreateUserProcess instead of Win32 CreateProcess  
  -s disables lazy symbol loading  
  -sdce pops up dialogs for critical errors  
  -secure disallows operations dangerous for the host  
  -server <transport>:<params>  
    creates a debugger session other people can connect to  
    must be the first argument if present  
      transport: tcp | npipe | ssl | spipe | 1394 | com  
      params: connection parameterization  
        for tcp use:  port=<socket port #>  
        for npipe use:  pipe=<name of pipe>  
        for 1394 use:  channel=<channel #>  
        for com use:  port=<COM port>,baud=<baud rate>,  
                      channel=<channel #>  
        for ssl and spipe see the documentation  
      example: ... -server npipe:pipe=foobar  
  -ses enables strict symbol loading  
  -sfce fails critical errors encountered during file searching  
  -sflags <flags> sets symbol flags from a numeric argument  
  -sicv ignores the CV record when symbol loading  
  -sins ignores the symbol path environment variables  
  -snc converts :: to __ in symbol names  
  -snul disables automatic symbol loading for unqualified names  
  -srcpath <SourcePath> specifies the source search path  
  -sup enables full public symbol searches  
  -t <PrintErrorLevel> specifies the (0-3) error level to display (see  
                       SetErrorLevel)  
  -v enables verbose output from debugger  
  -w specifies to debug 16 bit applications in a separate VDM  
  -wake <pid> wakes up a sleeping debugger and exits  
  -x sets second-chance break on AV exceptions  
  -x{e|d|n|i} <event> sets the break status for the specified event  
  -y <SymbolsPath> specifies the symbol search path (see _NT_SYMBOL_PATH)  
  -z <CrashDmpFile> specifies the name of a crash dump file to debug  
  -zp <CrashPageFile> specifies the name of a page.dmp file to use with a  
                      crash dump  
 
Environment Variables:  
 
    _NT_SYMBOL_PATH=[Drive:][Path]  
        Specify symbol image path.  
 
    _NT_ALT_SYMBOL_PATH=[Drive:][Path]  
        Specify an alternate symbol image path.  
 
    _NT_DEBUGGER_EXTENSION_PATH=[Drive:][Path]  
        Specify a path which should be searched first for extensions dlls  
 
    _NT_EXECUTABLE_IMAGE_PATH=[Drive:][Path]  
        Specify executable image path.  
 
    _NT_SOURCE_PATH=[Drive:][Path]  
        Specify source file path.  
 
    _NT_DEBUG_LOG_FILE_OPEN=filename  
        If specified, all output will be written to this file from offset 0.  
 
    _NT_DEBUG_LOG_FILE_APPEND=filename  
        If specified, all output will be APPENDed to this file.  
 
    _NT_DEBUG_HISTORY_SIZE=size  
        Specifies the size of a server's output history in kilobytes  
 
Control Keys:  
 
     <Ctrl-B><Enter> Quit debugger  
     <Ctrl-C>        Break into Target  
     <Ctrl-F><Enter> Force a break into debuggee (same as Ctrl-C)  
     <Ctrl-P><Enter> Debug Current debugger  
     <Ctrl-V><Enter> Toggle Verbose mode  
     <Ctrl-W><Enter> Print version information  
ntsd: exiting - press enter ---