ntsd.exe病毒的一种解决办法 auto病毒的解决办法

ntsd.exe病毒是一种比较难缠的病毒,关键是它使用了“映像劫持”的新技术。现在网上流行的杀毒方法都很繁琐,而且也没有专门的专杀工具。我这里介绍一种非常简单的ntsd.exe病毒专杀大法,名叫:绝后计方法是:打开regedt32注册表,找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options这就是传说中的映像劫持区了(现在的病毒如ntsd.exe喜欢在这里做手脚),把里面的子项统统删掉,这还不够,还要斩草除根:对“ImageFile ExecutionOptions”按右键,选择“权限”,然后把“完全控制”和读取都设置为拒绝,这样“映像劫持区”就变成禁区了,除了你自己,谁都不能动,这种方法至少可以防范90%的新病毒。
PS: NTSD.exe-----Symbolic Debugger for Windows 。ntsd.exe是MicrosoftWindows 2000系统自带的用户态调试工具。可用它结束掉除System、SMSS.EXE、CSRSS等进程。。。

windows系统本身的ntsd进程:

ntsd 是一条dos命令,功能是用于结束一些常规下结束不了的死进程。
用法为打开cmd 后输入以下命令就可以结束进程:
方法一:利用进程的PID结束进程
命令格式:ntsd -c q -p pid
命令范例: ntsd -c q -p 1332 (结束explorer.exe进程)
范例详解:explorer.exe的pid为1332,但是如何获取进程的pid呢?在CMD下输入TASKLIST就可以获取当前任务管理器所有进程的PID
方法二:利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
命令范例:ntsd -c q -pn explorer.exe

另外的能结束进程的DOS命令还有taskkill:
命令格式: taskkill /pid 1234 /f ( 也可以达到同样的效果。)

ntsd详解
ntsd.exe病毒的一种解决办法 auto病毒的解决办法
有一些高等级的进程,tskill和taskkill或许无法结束,那么我们还有一个更强大的工具,那就是系统debug
级的ntsd.准确的说,ntsd是一个
系统调试工具,只提供给系统开发级的管理员使用,但是对我们杀掉进程还是很爽的.基本上除了WINDOWS系
统自己的管理进程,ntsd都可以杀掉.
当然咯,有些rootkit级别的超级木马,还是无能为力,幸好这种牛牛级别的木马还是很少的.
NTSD 调试程序在启动时要求用户指定一个要连接的进程。使用 TLIST 或 PVIEWER,您可以获得某个现有
进程的进程 ID,然后键入 NTSD -p pid 来调试这个进程。NTSD 命令行使用如下的句法:
NTSD [options] imagefile
其中,imagefile 是要调试的映像名称,options 是下面选项之一:
选项说明-2打开一个用于调试字符模式的应用程序的新窗口-d将输出重定向到调试终端-g 使执行自动通
过第一个断点-G使 NTSD 在子程序终止时立即退出o启用多个进程的调试,默认值为由调试程序衍生的一
个进程-p指定调试由进程 ID 标识的进程-v产生详细的输出
例如,假设 inetinfo.exe 的进程 ID 为 104。键入以下命令将 NTSD 调试程序连接到 inetinfo进程
(IIS)。
NTSD -p 104
也可使用 NTSD 启动一个新进程来进行调试。例如,NTSD notepad.exe 将启动一个新的 notepad.exe进
程,并与它建立连接。
一旦连接到某个进程,您就可以用各种命令来查看堆栈、设置断点、转储内存,等等。
命令含义~显示所有线程的一个列表KB 显示当前线程的堆栈轨迹~*KB显示所有线程的堆栈轨迹R显示当前
帧的寄存器输出U反汇编代码并显示过程名和偏移量D[type][<range>]转储内存BP[#]

设置断点BC[]清除一个或多个断点BD[]禁用一个或多个断点BE[<bp>]启用一个或多个断点BL[]列出一个
或多个断点
个人意见,有一个非常重要的参数就是-v参数,我们可以通过它发现一个进程下面挂接了哪些连接库文件.
有很多病毒,木马,或者恶意软件,都喜欢把自己做成动态库,然后注册到系统正常程序的加载库列表中,达
到隐藏自己的目的.
首先我们需要设置一下ntsd的输出重定向,最好是重定向到一个文本文件,方便我们分析研究.
c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt
注意,虽然输出重定向了,但是我们的输出依然会继续显示在屏幕上,而且会进入到debug模式,我们使用-c
q参数,就可以避免这个问题.
c:>ntsd -c q -v notepad.exe
现在我们的pdw.txt文件中,就可以看见notepad.exe文件的调试信息.
ntsd使用以下参数杀死进程.
c:>ntsd -c q -p PID 只要你能提供进程的PID,那么你就可以干掉进程.

  

爱华网本文地址 » http://www.413yy.cn/a/25101018/376044.html

更多阅读

错误代码691一种特例的解决方法 greenvpn错误代码691

错误代码691一种特例的解决方法——简介某些朋友可能会遇到这样一个问题,一个宽带帐号和密码,在一台电脑(1)上能够正常的通过pppoe拨号连上网,而换了一台电脑(2)后,还是相同的帐号和密码,却始终显示错误代码691,通过重装系统是解决不了这样的

让程序窗口化运行的一种简单方法 以窗口模式运行程序

让程序窗口化运行的一种简单方法——简介有些游戏、软件是全屏的,这里介绍让软件窗口化的一种简单方法。让程序窗口化运行的一种简单方法——方法/步骤让程序窗口化运行的一种简单方法 1、找到你要执行的文件,就是你运行时双击的那个

iexplore.exe应用程序错误怎么解决 精 iexplore.exe 参数

iexplore.exe应用程序错误的原因比较复杂,木马、病毒、浏览器插件、流氓软件都可能造成ie错误。我们通过一下步骤来逐一解决。iexplore.exe应用程序错误怎么解决 精——第一种方法:通用办法iexplore.exe应用程序错误怎么解决 精 1、

声明:《ntsd.exe病毒的一种解决办法 auto病毒的解决办法》为网友國際男神分享!如侵犯到您的合法权益请联系我们删除