Ntsd强行结束进程
Ntsd简介
ntsd从Windows 2000开始就是系统自带的进程调试工具,在system32目录下。NTSD 的功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。
编辑本段Ntsd用法
Ntsd在Windows中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它。lsass.exe也不要杀掉,它是负责本地账户安全的。被调试器附着的进程会随调试器一起退出,所以可以用来在命令行下终止进程。
打开cmd 后输入以下命令就可以结束进程:
利用进程PID结束进程
命令格式:ntsd -c q -p pid
命令范例:ntsd -c q -p 4 (结束System进程。当然,System进程是杀不掉的)范例详解:System的pid为4,但是如何获取进程的pid呢?在CMD下输入TASKLIST 就可以获取当前任务管理器所有进程的PID。或者打开任务管理器,在菜单栏,选择“查看”—“选择列”,在打开的选择项窗口中将“PID(进程标识符)”项选择钩上,这样任务管理器的进程中就会多出PID一项了。(PID的分配并不固定,是在进程启动是由系统随机分配的,所以进程每次启动的进程一般都不会一样。)
可使用以下批处理:
=================================================
rem 复制以下内容到记事本,另存为pid.bat
@echo off
mode con cols=30 lines=10
color 1e
echo.
set /p t=请输入进程名:
echo PID NAME& echo ============
for /f "tokens=2 delims=," %%i in ('tasklist /fo csv /fi "imagename eq %t%.exe" /nh') do ntsd -c q -p %%i&echo %%i %t%
pause >nul
exit
=================================================
利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
命令范例:ntsd -c q -pn explorer.exe
另外的能结束进程的DOS命令还有taskkill和tskill命令:
命令格式:taskkill /pid 1234 /f (也可以达到同样的效果。)
taskkill /im ***.exe /f
编辑本段Ntsd详解
有一些高等级的进程,tskill和taskkill或许无法结束,那么我们还有一个更强大的工具,那就是系统debug级的ntsd.准确的说,ntsd是一个系统调试工具,只提供给系统开发级的管理员使用,但是对我们杀掉进程还是很爽的.基本上除了WINDOWS系统自己的管理进程,ntsd 几乎都可以杀掉。NTSD 调试程序在启动时要求用户指定一个要连接的进程。使用TLIST 或PVIEWER,您可以获得某个现有进程的进程ID,然后键入NTSD -p pid 来调试这个进程。NTSD 命令行使用如下的句法:
NTSD [options] imagefile
其中,imagefile 是要调试的映像名称。
用法usage: ntsd [-?] [-2] [-d] [-g] [-G] [-myob] [-lines] [-n] [-o] [-s] [-v] [-w]
[-r BreakErrorLevel] [-t PrintErrorLevel]
[-hd] [-pd] [-pe] [-pt #] [-pv] [-x | -x{e|d|n|i}
[-- | -p pid | -pn name | command-line | -z CrashDmpFile]
[-zp CrashPageFile] [-premote transport] [-robp]
[-aDllName] [-c "command"] [-i ImagePath] [-y SymbolsPath]
[-clines #] [-srcpath SourcePath] [-QR \\machine] [-wake ]
[-remote transport:server=name,portid] [-server transport:portid]
[-ses] [-sfce] [-sicv] [-snul] [-noio] [-failinc] [-noshell]
where: -? displays this help text
command-line is the command to run under the debugger
-- is the same as -G -g -o -p -1 -d -pd
-aDllName sets the default extension DLL
-c executes the following debugger command
-clines number of lines of output history retrieved by a remote client
-failinc causes incomplete symbol and module loads to fail
-d sends all debugger output to kernel debugger via DbgPrint
-d cannot be used with debugger remoting
-d can only be used when the kernel debugger is enabled
-g ignores initial breakpoint in debuggee
-G ignores final breakpoint at process termination
-hd specifies that the debug heap should not be used
for created processes. This only works on Windows Whistler.
-o debugs all processes launched by debuggee
-p pid specifies the decimal process Id to attach to
-pd specifies that the debugger should automatically detach
-pe specifies that any attach should be to an existing debug port
-pn name specifies the name of the process to attach to
-pt # specifies the interrupt timeout
-pv specifies that any attach should be noninvasive
-r specifies the (0-3) error level to break on (SeeSetErrorLevel)
-robp allows breakpoints to be set in read-only memory
-t specifies the (0-3) error level to display (SeeSetErrorLevel)
-w specifies to debug 16 bit applications in a separate VDM
-x sets second-chance break on AV exceptions
-x{e|d|n|i}
-2 creates a separate console window for debuggee
-i ImagePath specifies the location of the executables that generated
the fault (see _NT_EXECUTABLE_IMAGE_PATH)
-lines requests that line number information be used if present
-myob ignores version mismatches in DBGHELP.DLL
-n enables verbose output from symbol handler
-noio disables all I/O for dedicated remoting servers
-noshell disables the .shell (!!) command
-QR <\\machine> queries for remote servers
-s disables lazy symbol loading
-ses enables strict symbol loading
-sfce fails critical errors encountered during file searching
-sicv ignores the CV record when symbol loading
-snul disables automatic symbol loading for unqualified names
-srcpath
-v enables verbose output from debugger
-wake wakes up a sleeping debugger and exits
-y
-zp
to use with a crash dump
-remote lets you connect to a debugger session started with -server
must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
name: machine name on which the debug server was created
portid: id of the port the debugger server was created on
for tcp use: port=
for npipe use: pipe=
for 1394 use: channel=
for com use: port=
channel=
for ssl and spipe see the documentation
example: ... -remote npipe:server=yourmachine,pipe=foobar
-server creates a debugger session other people can connect to must be the first argument if present
transport: tcp | npipe | ssl | spipe | 1394 | com
portid: id of the port remote users can connect to
for tcp use: port=
for npipe use: pipe=
for 1394 use: channel=
for com use: port=
channel=
for ssl and spipe see the documentation
example: ... -server npipe:pipe=foobar
-premote transport specifies the process server to connect to transport arguments are given as with remoting
Environment Variables:
_NT_SYMBOL_PATH=[Drive:][Path]
Specify symbol image path.
_NT_ALT_SYMBOL_PATH=[Drive:][Path]
Specify an alternate symbol image path.
_NT_DEBUGGER_EXTENSION_PATH=[Drive:][Path]
Specify a path which should be searched first for extensions dlls _NT_EXECUTABLE_IMAGE_PATH=[Drive:][Path]
Specify executable image path.
_NT_SOURCE_PATH=[Drive:][Path]
Specify source file path.
_NT_DEBUG_LOG_FILE_OPEN=filename
If specified, all output will be written to this file from offset 0.
_NT_DEBUG_LOG_FILE_APPEND=filename
If specified, all output will be APPENDed to this file.
_NT_DEBUG_HISTORY_SIZE=size
Specifies the size of a server's output history in kilobytes Control Keys:
ntsd: exiting - press enter ---
选项option:
-2打开一个用于调试字符模式的应用程序的新窗口
-d将输出重定向到调试终端-g 使执行自动通过第一个断点
-G使NTSD 在子程序终止时立即退出o启用多个进程的调试,默认值为由调试程序衍生的一个进程
-p指定调试由进程ID 标识的进程
-v产生详细的输出。
例如,假设inetinfo.exe 的进程ID 为104。键入命令“NTSD -p 104”将NTSD 调试程序连接到inetinfo 进程(IIS)。也可使用NTSD 启动一个新进程来进行调试。例如,NTSD notepad.exe 将启动一个新的notepad.exe 进程,并与它建立连接。一旦连接到某个进程,您就可以用各种命令来查看堆栈、设置断点、转储内存,等等。
命令含义~显示所有线程的一个列表KB 显示当前线程的堆栈轨迹~*KB显示所有线程的堆栈轨迹R显示当前
帧的寄存器输出U反汇编代码并显示过程名和偏移量D[type][< range>]转储内存BP 设置断点BC[]清除一个或多个断点BD[]禁用一个或多个断点BE[< bp>]启用一个或多个断点BL[]列出一个或多个断点。
个人意见,有一个非常重要的参数就是-v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件。有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达到隐藏自己的目的.
首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究.
c:\>set _NT_DEBUG_LOG_FILE_APPEND=c:\pdw.txt
注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到debug模式,我们使用-c q参数,就可以避免这个问题.
c:\>ntsd -c q -v notepad.exe
现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息.
可以知道,ntsd的软件终止能力是很好很强大的,一些taskkill都无法终止的软件(如Student.exe这一类或木马)可以用ntsd轻易终止
但是它仍有缺点,因为技术在不断更新,在对付最新的有很强防护的病毒等程序时,仍建议使用IceSword等专业工具。可以试一下ntsd拿360,IceSword,nod32等杀软程序毫无办法。
NT内核级进程隐藏3-线程调度链表及Hook 内核函数
NT内核级进程隐藏3-线程调度链表及Hook内核函数 基于线程调度链表的检测和隐藏技术 1.什么是ETHREAD和KTHREAD块 学习各种外挂制作技术,马上去百度搜索"魔鬼作坊"点击第一个站进入、快速成为做挂达人。 Windows2000是由执行程序线程(ETHREAD)块表示的,ETHREAD成员都是指向的系统空间,进程环境块(TEB)除外。ETHREAD块中的第一个结构体就是内核线程(KTHREAD)块。在KTHREAD块中包含了windows2000内核需要访问的信息。这些信息用于执行线程的调度和同步正在运行的线程。 kd>!kthread struct_KTHREAD(sizeof=432) +000struct_DISPA TCHER_HEADER Header +010struct_LIST_ENTRY MutantListHead +018void*InitialStack +01c void*StackLimit +020void*Teb +024void*TlsArray +028void*KernelStack +02c byte DebugActive +02d byte State +02e byte Alerted[2] +030byte Iopl +031byte NpxState +032char Saturation
+033char Priority +034struct_KAPC_STATE ApcState +034struct_LIST_ENTRY ApcListHead[2] +044struct_KPROCESS*Process +04c uint32ContextSwitches +050int32WaitStatus +054byte WaitIrql +055char WaitMode +056byte WaitNext +057byte WaitReason +058struct_KWAIT_BLOCK*WaitBlockList +05c struct_LIST_ENTRY WaitListEntry +064uint32WaitTime +068char BasePriority +069byte DecrementCount +06a char PriorityDecrement +06b char Quantum +06c struct_KWAIT_BLOCK WaitBlock[4] +0cc void*LegoData +0d0uint32KernelApcDisable +0d4uint32UserAffinity +0d8byte SystemAffinityActive
教你安全用电脑 识别进程中的隐藏木马
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。 当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 发现隐藏的木马进程直接手工删除病毒 一.以假乱真 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 常见系统进程解惑: 进程文件:svchost 或svchost.exe 进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务,所
木马的隐藏方式
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然木马这么厉害,那我离它远一点不就可以了!然而这个木马实在是“淘气”,它可不管你是否欢迎,只要它高兴,它就会想法设法地闯到你“家”中来的!哎呀,那还了得,赶快看看自己的电脑中有没有木马,说不定正在“家”中兴风作浪呢!那我怎么知道木马在哪里呢,相信不熟悉木马的菜鸟们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中木马的工作原理,木马查杀。-电脑维修知识网 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 2、隐藏在配置文件中木马的工作原理,木马查杀。-电脑维修知识网 木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在 Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。电+脑*维+修-知.识_网(w_ww*dnw_xzs*co_m) 3、潜伏在Win.ini中木马的工作原理,木马查杀。-电脑维修知识网 木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\file.exe 这时你就要小心了,这个file.exe很可能是木马哦。电+脑*维+修-知.识_网 (w_ww*dnw_xzs*co_m) 4、伪装在普通文件中木马的工作原理,木马查杀。-电脑维修知识网 这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为 *.jpg, 不注意的人一点这个图
在Delphi中隐藏程序进程的方法
在Delphi中隐藏程序进程方法[1] 主要需要解决两个问题,即隐藏窗口和设定热键。 一. 隐藏窗口 通过API函数GETACTIVEWINDOW获取当前窗口;函数ShowWindow(HWND,nCmdShow)的参数nCmdShow取SW_HIDE时将之隐藏,取SW_SHOW时将之显示。例如: showwindow(getactivewindow,sw_hide)。隐藏好窗体后,须记住窗体句柄以便恢复。二. 键盘监控 为了实现键盘监控须用到钩子。 以下是程序的源文件: 一、创建一个动态链接库 unit HKHide; //链接库中的Unit文件 interface uses Windows, Messages, sysutils; var hNextHookHide: HHook; HideSaveExit: Pointer; hbefore:longint; function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; function EnableHideHook: BOOL; export; function DisableHideHook: BOOL; export; procedure HideHookExit; far; implementation function KeyboardHookHandler(iCode: Integer;wParam: WPARAM; lParam: LPARAM): LRESULT; stdcall; export; const _KeyPressMask = $80000000; var f:textfile;
易语言驱动隐藏进程
驱动保护-隐藏进程躲避封号检测 隐藏进程有2种级别: 1.是应用级在R3层,这种级别隐藏进程容易,但也比较容易查出进程。 2.是驱动级在R0层,这种级别是最高级别隐藏,隐藏容易,但查出来比较难,需要一定的内核编程技术才能取出驱动隐藏的进程信息。 那么我们这就来讲讲驱动级隐藏进程吧, 在Game-EC 驱动版本模块中,加入了RO级的隐藏进程命令,由于Game驱动是我在xp SP3和win7 32位系统里写的, 所以支持这2种系统,当然其他版本系统没测试过,也许也支持2000或2003,如果谁有空就在这2个2000或2003系统测试吧, 如果有问题就联系我,修改支持兼容即可,64位系统就不用测试了,因为64位系统上运行驱动,需要微软数字签名认证,需要购买。 所以模块驱动不会支持64位系统使用,切勿在64位系统中使用,以免蓝屏! 很多游戏会检测辅助程序的进程,来判断机器上是否运行着可疑的程序(对游戏有破坏性的), 包括现在有的游戏居然会直接检测易语言进程,禁止运行时候时候运行易语言,这种情况,就是游戏枚举了系统进程, 发现了针对它的程序进程,对此做的各种限制。 所以隐藏进程在反游戏检测中也是很有一席之地的,下面我们来写个小例子,举例下如何运用驱动版本模块中的隐藏进程, 来隐藏我们的辅助进程, 例子的代码:
例子布局: 没有隐藏进程之前,在任务管理器里,我们可以查看到,当前程序进程 如图: 我们开始加载驱动隐藏我们程序进程,特别注意哦,我们的驱动加载时候会释放驱动文件到C盘文件去, 驱动文件名为:Dult.SYS ,如果有杀毒拦截提示,请允许放行加载! 如图:
隐藏我们的进程后,我们在任务管理器里找找,或者自己写一份枚举系统进程的代码,枚举下全部系统进程, 查看下我们是否能枚举出我们隐藏的进程呢,嘿嘿,当然是无法枚举出来, 如图: 我们已经无法在任务管理器里找到我们的进程了,因为我们已经以驱动级把我们的进程信息从系统中抹掉了。 这样任何应用级程序枚举或查找进程,都无法找到我们的程序进程。有一定的效果躲避了一些监测进程的保护!
vb中如何在任务管理器里面隐藏应用程序进程
vb中如何在任务管理器里面隐藏应用程序进程'该模块用于在任务管理器中隐藏进程 Private Const STATUS_INFO_LENGTH_MISMATCH = &H C0000004 Private Const STATUS_ACCESS_DENIED = &H C0000022 Private Const STATUS_INVA LI D_HANDLE = &H C0000008 Private Const ERROR_SUCCESS = 0 & Private Const SECTION_MAP_WRITE = &H2 Private Const SECTION_MAP_READ = &H4 Private Const READ_CONTROL = & H20000 Private Const WRITE_DAC = &H40000 Private Const NO_INHERITANCE = 0 Private Const DACL_SECURITY_INFORMATION = &H4 Private Type IO_STATUS_BLOCK Status As Long Information As Long End Type Private Type UNICODE_STRING Length As Integer MaximumLength As Integer Buffer As Long End Type Private Const OBJ_INHERIT = &H2 Private Const OBJ_PERMANENT = &H10
Private Const OBJ_EXCLUSIVE = &H20 Private Const OBJ_CASE_INSENSITIVE Private Const OBJ_OPENIF = &H80 Private Const OBJ_OPENLINK = &H 100 Private Const OBJ_KERNEL_HANDLE = Private Const OBJ_VALID_ATTRIBUTES Private Type OBJECT_ATTRIBUTES Length As Long RootDirectory As Long ObjectName As Long Attributes As Long SecurityDeor As Long SecurityQualityOfService As Long End Type Private Type ACL AclRevision As Byte Sbz1 As Byte AclSize As Integer AceCount As Integer Sbz2 As Integer End Type Private Enum ACCESS_MODE NOT_USED_ACCESS GRANT_ACCESS SET_ACCESS =&H40 & H200 =&H 3F2
如何安装 unhide 并搜索隐藏的进程和 TCP-UDP 端口
如何安装unhide 并搜索隐藏的进程和TCP/UDP 端口 unhide 是一个小巧的网络取证工具,能够发现那些借助rootkit、LKM 及其它技术隐藏的进程和TCP/UDP 端口。这个工具在Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其man 页面的说明: Unhide 通过下述三项技术来发现隐藏的进程。 进程相关的技术,包括将 /proc 目录与 /bin/ps 命令的输出进行比较。 系统相关的技术,包括将 /bin/ps 命令的输出结果同从系统调用方面得到的信息进行比较。穷举法相关的技术,包括对所有的进程ID 进行暴力求解,该技术仅限于在基于Linux2.6 内核的系统中使用。 绝大多数的Rootkit 工具或者恶意软件借助内核来实现进程隐藏,这些进程只在内核内部可见。你可以使用 unhide 或者诸如 rkhunter 等工具,扫描rootkit 程序、后门程序以及一些可能存在的本地漏洞。 这篇文章描述了如何安装unhide 并搜索隐藏的进程和TCP/UDP 端口。 如何安装unhide 首先建议你在只读介质上运行这个工具。如果使用的是Ubuntu 或者Debian 发行版,输入下述的 apt-get/apt 命令以安装Unhide: $sudo apt-get install unhide 一切顺利的话你的命令行会输出以下内容: [sudo]password forvivek: Reading packagelists...Done Building dependency tree Reading state information...Done Suggested packages: rkhunter The following NEWpackages will be installed: unhide 0upgraded,1newly installed,0toremove and0notupgraded.
win10秘笈:如何隐藏任意程序运行界面
Win10秘笈:如何隐藏任意程序运行界面? 在Windows系统中,程序默认是要有窗口显示的,而 且运行中的任务一般还要在任务栏上有所反应,这样便于切换操作。不过有些时候我们可能不需要这些可显示出来的信息,那么该如何隐藏程序界面呢?IT之家将告诉大家两个方法,Win7/Win8.1/Win10系统都适用。 方法一:使用VBScript1、首先以隐藏系统自带的Win32版《写字板》程序为例,在记事本中写入如下代码:Dim WShellSet WShell = CreateObject("WScript.Shell")WShell.Run "wordpad.exe", 0 '后面0的意思是“隐藏”Set WShell = Nothing注意, 代码第三行后的单引号' 是VB中的注释符号,其后面的语句没有执行效果。2、把上述代码保存为.vbs格式,文件名 自拟,如下图—— 3、此时双击刚刚保存的vbs文件就可以让写字板“隐身”运行,但我们还是可以在任务管理器中找到进程,如下图—— 4、 如果想隐身运行第三方程序,则需要修改代码,以软媒魔方(点击下载)的清理大师文件为例,代码如下:Dim WShellSet WShell = CreateObject("WScript.Shell")WShell.Run """" & "D:\Program Files
(x86)\Ruanmei\PCMaster\cleanmaster.exe" & """", 0 '如果路径中含有空格,就需要在路径前后加引号和调用符号,格式为"""" & "路径" & """"Set WShell = Nothing5、按照第2步的方式保存后,双击可以查看效果。需要注意的是,如果程序本身需要管理员权限,而且你的系统开启了UAC,权限请求的窗口是无法隐藏的,如下图——不过在点击“是”之后就不会看到运行界面和任务栏图标了,只能在任 务管理器中找到进程,如下图——6、如果你想用命令提示 符来运行这些vbs,可以采用如下命令格式:wscript "路径\文件名.vbs"实例:wscript "%userprofile%\Desktop\新建文 件夹(2)\hidewordpad.vbs"运行效果和双击vbs文件本身是一致的。方法二:PowerShell为了方便编辑和在命令提示符中运行,IT之家使用PowerShell ISE来操作。1、命令格式:Start-Process -WindowStyle hidden -FilePath 文件路径\文件名实例:隐身运行系统自带写字板程序:Start-Process -WindowStyle hidden -FilePath wordpad.exe隐身运行第三方程序软媒清理大师:Start-Process -WindowStyle hidden -FilePath 'D:\Program Files (x86)\Ruanmei\PCMaster\cleanmaster.exe'可以看出,如果路径中包含空格,只要给路径加单引号,就可以让PowerShell识别出来,较为简洁。2、如果要在命令提示符中运行,需要把第1步中的命令保存为.ps1文件,文件名自
怎样打开进程管理器-
怎样打开进程管理器? 篇一:cmd常用命令 cmd常用命令 想在命令提示符窗口中输入重复命令时,只须按F7键,就会出现图形界面,然后选择你想输入的命令即可。 一“符”安天下利用命令提示符解决系统问题 一天比比在外看电影,电影中有一个老道士,只要简单地画一个符就可以让村民躲避妖魔鬼怪,比比为老道士所画的那道神奇的符而惊叹不已。这让我想到了在Windows下也有一道符——命令提示符。虽然时至今日,命令提示符中的DOS命令早已被许多人遗忘,然而在实际的电脑操作过程中,命令提示符仍然焕发着无限生机。越来越多的人已经知道在命令提示符下解决一些在Windows中所无法完成的操作,本文将帮助初学这道“符”的朋友快速掌握它的使用方法。这样你也将会成为电影中那个法力无边的道士。 一、初识命令提示符 从Windows 2000开始,MS-DOS已经被更名为“命令提示符”,成为了Windows的一个应用程序,它的运行环境也受到了系统的限制。 当打开“运行”,输入“cmd”回车,即可打开命令提示符窗口。我们就可以像在纯DOS中一样来执行相关的命令,按Alt+Enter键即可在全屏/窗口之间进行切换。命令提示符的命令有许多,一般情况
下分为内部命令和外部命令,内部命令是随装入内存的,不需要再去读取文件而可以直接使用,而外部命令则是需要事先由磁盘设备装入到内存,并以COM和EXE为扩展名的程序。本文将以在Windows XP 中使用命令提示符来介绍一些比较实用的命令应用及操作。 二、基础篇:活用命令提示符命令 1.目录转换不累人 CD命令是改变目录的命令,也是我们最常使用的命令之一。例如,我们想进入当前XYZ目录下名为ABC的子目录,那么只要执行“CD ABC”即可,如果再想返回XYZ父目录,那么只要执行“CD..”命令,如果想在“C:\>”状态下一下子转到ABC目录,那么只要执行“C D XYZ \ABC”命令即可。如果要从很“深”的目录路径中一下子返回根目录,那么我们没有必要一步一步地执行“CD..”命令,这时只要执行“CD\”命令即可。 提示:如果想改变当前磁盘驱动器盘符,例如想从“C:\WINDOWS\SYSTEM32”命令提示符状态下转到D盘根目录,那么需要执行“D:”命令,同样如果想转到G盘,那么只要执行“G:” 命令,然后才能使用CD命令来改变当前目录路径。 2.灵活显示目录和文件 Dir命令可以说是使用得最多的命令之一,它的功能在默认情况下是用来显示一个目录下的所有文件及子目录,另外还显示该目录所在驱动器的卷标及卷的序号。使用方法是直接在命令提示符下输入“dir”并按回车执行即可(命令提示符中的所有字符无大小写之分)。