ntsd.exe(win7能用的微软进程终止软件ntsd.exe)下载

软件介绍

ntsd.exe(win7能用的微软官方进程终止软件ntsd.exe)下载，可用于强制结束进程，NTSD的功能非常的强大,用它强行结束某个比较顽固的进程还是很好用的，基本上除了WINDOWS系统自己的管理进程,ntsd几乎都可以杀掉。XP下是自带的，但是Win7没有，下载后解压到C:/windows/system32下，然后在cmd下，就可以进行操作了。

ntsd.exe文件说明

进程文件：ntsdorntsd.exe

进程名称：SymbolicDebuggerforWindows。ntsd.exe是MicrosoftWindows2000系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程。该程序经常被病毒利用，用来强制结束杀毒软件进程。

ntsd.exe使用方法

NTSD(MicrosoftWindowsNTSymbolic/SystemsDebugger)是Windows2000(MicrosoftWindowsXP)默认安装的一

个调试器。这其实是一个命令行版本的WinDBG，功能上稍微缩了一点水，但是对一般的调试

来说是足够用了。

NTSD的功能非常的强大,用它强行结束某个比较顽固的进程还是很好用的，基本上除了WINDOWS系统自己的管理进程,ntsd几乎都可以杀掉。XP下是自带的，但是Win7没有，下载后解压到C:/windows/system32下，然后在cmd下，就可以进行操作了。

命令格式：

ntsd-cq-pn***.exe(***.exe为进程名,exe不能省)

ntsd-cq-pPID

命令范例：ntsd-cq-pnexplorer.exe

usage:NTSD[-v][-2][-d][-o][-g][-G][-w][-lines]

[-aDllName][-s][-rBreakErrorLevel][-tPrintErrorLevel]

[-hd][-x|-xd[except#]|-xe[except#]][-e][-z]

[--|-ppid|command-line]

where:-?displaysthishelptext

-aDllNamesetsthedefaultextensionDLL

-cexecutesthefollowingdebuggercommand

指定要执行的调试命令，多个命令之间用“;”分隔

-dsendsalldebuggeroutputtokerneldebuggerviaDbgPrint

-gignoresinitialbreakpointindebuggee

-Gignoresfinalbreakpointatprocesstermination

-hddisablesheapmanagervaliditychecking

-iignoresAVgeneratedbyloaderfixupsonpre3.51systems

-linesrequeststhatlinenumberinformationbeusedifpresent

-netsyms:{yes|no}allowordisallowloadingsymbolsfromanetworkpath

-odebugsallprocesseslaunchedbydebuggee

-rspecifiesthe(0-3)errorleveltobreakon(SeeSetErrorLevel)

-sdisableslazysymbolloading

-tspecifiesthe(0-3)errorleveltodisplay(SeeSetErrorLevel)

-venablesverboseoutputfromdebugger

-nenablesverboseoutputfromsymbolhandler

-wspecifiestodebug16bitapplicationsinaseparateVDM

-xdisablesbreakonAVexceptions

-xddisablesstoppingonspecifiedexception

-xeenablesstoppingonspecifiedexception

-zreservedforOS/2debugging

-2createsaseparateconsolewindowfordebuggee

对于控制台程序，将输出定向到另一个窗口而不在NTSD窗口显示

--isthesameas-G-g-o-p-1

-ppidspecifiesthedecimalprocessIdtoattachto

指定要调试的进程号，用于调试已经运行的程序

command-lineisthecommandtorununderthedebugger

EnvironmentVariables:

_NT_SYMBOL_PATH=[Drive:][Path]

Specifysymbolimagepath.(Default=%SystemRoot%)

_NT_ALT_SYMBOL_PATH=[Drive:][Path]

Specifyanalternatesymbolimagepath.

_NT_DEBUG_EXTENSIONS=dllname(s)

Ifspecified,itisasemi-colonseparatedlistofdebuggerextensionDLLnames

Thisspecifiesthesearchorderwhenresolvingdebuggerextensioncommands

A[

]-assemble

在指定地址输入汇编语句

BC[]-clearbreakpoint(s)

清除断点

BD[]-disablebreakpoint(s)

禁用断点

BE[]-enablebreakpoint(s)

启用断点

BL[]-listbreakpoint(s)

列出断点

BP[#]

-setbreakpoint

设断点

C

-compare

比较地址

D[type][]-dumpmemory

显示指定内存范围

E[type]

[]-enter

在指定地址输入数据

F-fill

在指定内存段填充数据

G[=

[

...]]-go

运行到某个地址

J[']cmd1['];[']cmd2[']-conditionalexecution

条件执行

K-stacktrace

堆栈回溯

KB=-stacktracefromspecificstate

L{+|-}[lost*]-Controlsourceoptions

LN-listnear

参数为地址或者函数，显示距离参数中指定地址或者函数最近的函数

LS[.][][,]-Listsourcefilelines

LSA[,][,]-Listsourcefilelinesataddr

LSC-Showcurrentsourcefileandline

LSF[-]-Loadorunloadasourcefileforbrowsing

M

-move

N[]-set/showradix

P[R][=][]-programstep

单步执行

Q-quit

#R-multiprocessorregisterdump

多处理器环境下显示寄存器

R[F][L][M][[[=]]]-reg/flag

显示寄存器

Rm[?][]-Controlpromptregisteroutputmask

S-search

在指定地址范围内搜寻字符串

0:000s77df000077e4c000ffe4//从user32的空间中找jmpesp

77e22c29

0:000s77df000077e4c000'W''I''N''N''T'//搜索字符串“WINNT”

SS-setsymbolsuffix

SX[e|d[|*|]]-exception

T[R][=

][]-trace

U[]-unassemble

显示反汇编语句，同softice的U命令

X[<*|module!]<*|symbol-viewsymbols

显示符号，支持通配符，类似于softice的exp命令

0:000xuser32!*//显示user32的所有符号

…………

0:000xuser32!ws*//显示user32的所有以ws开头的符号

77dffa68USER32!wsprintfW

77e0014aUSER32!wsprintfA

.logopen[]-opennewlogfile

指定日志文件，开启屏幕记录非常有用的功能

.logappend[]-appendtologfile

添加到已存在的日志文件

.logclose-closelogfile

停止记录

~-listthreadsstatus

显示线程状态

~#s-setdefaultthread

设置默认线程

~[.|#|*|ddd]f-freezethread

~[.|#|ddd]k[expr]-backtracestack

堆栈追踪

|-listprocessesstatus

显示进程状态

|#s-setdefaultprocess

设置默认进程

|#-defaultprocessoverride

?-displayexpression

显示地址或者符号信息

0:000?wsprintfA

Evaluateexpression:2011169098=77e0014a

0:000?eip

Evaluateexpression:2012813324=77f9180c

#[address]-searchforastringinthedissasembly

反汇编指定地址，但是只输出一行语句

$<-takeinputfromacommandfile

从文件取得要输入的命令

ops:+-*/notbywodwpoimod(%)and(&)xor(^)or(|)hilow

operands:numberincurrentradix,publicsymbol,

:b(byte),w(word),d[s](doubleword[withsymbols]),

a(ascii),c(dwordandChar),u(unicode),l(list)

f(float),D(double),s|S(ascii/unicodestring)

q(quadword)

:[(nt|)!](caninclude?and*)

:ct,et,ld,av,cc

:8,10,16

:$u0-$u9,$ea,$exp,$ra,$p

:%<32-bitaddress

:

:

L

:[...]

User-modeoptions:

i386options:

BA[#]<1|2|4-addrbp

:[e]ax,[e]bx,[e]cx,[e]dx,[e]si,[e]di,[e]bp,[e]sp,[e]ip,[e]fl,

al,ah,bl,bh,cl,ch,dl,dh,cs,ds,es,fs,gs,ss

fpcw,fpsw,fptw,st0-st7,mm0-mm7

:iopl,of,df,if,tf,sf,zf,af,pf,cf

:#<16-bitprotect-mode[seg:]address,

&

NTSD还支持一些很有用的命令，但是不知为什么帮助中却没有提，这里也列出来：

KD[]-stacktracewithrawdata

raw模式堆栈回溯

SQ-setquietmode

设置安静模式，运行一次打开，再运行则关闭

LD[]-refreshmoduleinformation

重新载入

LMlistmodules

列出进程加载的所有模块信息

DL

-dumplinkedlist

NTSD支持的表达式和WinDBG差不多是一样的，MASM的语法。

系统自带的NTSD也支持部分扩展命令，如：

!peb

!teb

英文版本

进程文件:ntsd.exeorntsd

进程名称:SymbolicDebuggerforWindows

描述:

ntsd.exeisaprocessbelongingtotheMicrosoftsymbolicdebuggerthatenablesyoutodebuguser-modeapplications.Thisprogramisanon-essentialprocess,butshouldnotbeterminatedunlesssuspectedtobecausingproblems.

Recommendationforntsd.exe:

ntsd.exeshouldnotbedisabled,requiredforessentialapplicationstoworkproperly.

Author:Microsoft

PartOf:MicrosoftWindowsOperatingSystem

安全等级(0-5):0

间谍软件:No

病毒:No(Removentsd.exe)

木马:No(Removentsd.exe)

MemoryUsage:N/A

SystemProcess:Yes

BackgroundProcess:No

UsesNetwork:No

HardwareRelated:No

Commonntsd.exeErrors:N/A

网络安全组温馨提示：

ntsd.exe该放到哪：

出现提示缺少exe文件问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件，出现错误提示框，或程序无法运行，解决此问题下载本站的exe文件，下载该文件后，找到适合程序的文件版本，复制到相应目录。即可解决。

1、Windows95/98/Me系统，则复制到C:WINdowssystem32目录下。

2、WindowsNT/2000系统，则复制到C:WINNTsystem32目录下。

3、WindowsXP系统，则复制到C:WINdowssystem32目录下。

4、Windows7/8系统，则复制到C:WINdowssystem32目录下。

Tags:ntsd.exe,ntsd.exe下载,win7能用的ntsd.exe,微软官方进程终止软件