如何杀死“顽固不化”的病毒进程。

2007-01-17 10:39:58

　标签：病毒进程　　　[推送到技术圈]

好久都没写文章了哈！今天我抽一点儿时间跟大家讲一讲如何结束一些进程。

我们的系统中自身就的命。就是taskllist /svc 是查看本系统进程的tasklist 的参数有

TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

描述:
    这个命令行工具显示应用程序和本地
    或远程系统上运行的相关任务/进程的
    列表。

参数列表:
/S system 指定连接到的远程系统。

/U [domain\]user 指定应该在哪个用户上下文
执行这个命令。

/P [password] 为提供的用户上下文指定
密码。如果忽略，提示输入。

   /M     [module]         列出所有其中符合指定模式名
                           的 DLL 模块的所有任务。
                           如果没有指定模块名，则
                           显示每个任务加载的所有模块。

/SVC 显示每个进程中的服务。

/V 指定要显示详述
信息。

/FI filter 显示一系列符合筛选器指定的标准
的任务。

/FO format 指定输出格式。
有效值: "TABLE"、"LIST"、"CSV"。

   /NH                     指定栏标头不应该在
                           输出中显示。
                           只对 "TABLE" 和 "CSV" 格式有效。

/? 显示帮助/用法。

筛选器:
    筛选器名        有效操作符                有效值
    -----------     ---------------           --------------
    STATUS          eq, ne                    正在运行 | 没有响应
    IMAGENAME       eq, ne                    图像名
    PID             eq, ne, gt, lt, ge, le    PID 值
    SESSION         eq, ne, gt, lt, ge, le    会话编号
    SESSIONNAME     eq, ne                    会话名
    CPUTIME         eq, ne, gt, lt, ge, le    CPU 时间，格式为
                                              hh:mm:ss。
                                              hh - 时，
                                              mm - 分，ss - 秒
    MEMUSAGE        eq, ne, gt, lt, ge, le    内存使用量(KB)
    USERNAME        eq, ne                    用户名，格式为 [domain\]user

    SERVICES        eq, ne                    服务名
    WINDOWTITLE     eq, ne                    窗口标题
    MODULES         eq, ne                    DLL 名

例如:
    TASKLIST
    TASKLIST /M
    TASKLIST /V
    TASKLIST /SVC
    TASKLIST /M wbem*
    TASKLIST /S system /FO LIST
    TASKLIST /S system /U domain\username /FO CSV /NH
    TASKLIST /S system /U username /P password /FO TABLE /NH
    TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"

这是taskkill 的一些用法：

TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]

描述:
这个命令行工具可用来结束至少一个进程。
可以根据进程 id 或图像名来结束进程。

参数列表:
/S system 指定要连接到的远程系统。

/U [domain\]user 指定应该在哪个用户上下文
执行这个命令。

/P [password] 为提供的用户上下文指定
密码。如果忽略，提示输入。

/F 指定要强行终止
进程。

/FI filter 指定筛选进或筛选出查询的
的任务。

/PID process id 指定要终止的进程的
PID。

    /IM   image name       指定要终止的进程的
                           图像名。通配符 '*'
                           可用来指定所有图像名。

/T Tree kill: 终止指定的进程
和任何由此启动的子进程。

/? 显示帮助/用法。

筛选器:
    筛选器名      有效运算符                有效值
    -----------   ---------------           --------------
    STATUS        eq, ne                    运行 | 没有响应
    IMAGENAME     eq, ne                    图像名
    PID           eq, ne, gt, lt, ge, le    PID 值
    SESSION       eq, ne, gt, lt, ge, le    会话编号
    CPUTIME       eq, ne, gt, lt, ge, le    CPU 时间，格式为
                                            hh:mm:ss。
                                            hh - 时，
                                            mm - 钟，ss - 秒
    MEMUSAGE      eq, ne, gt, lt, ge, le    内存使用，单位为 KB
    USERNAME      eq, ne                    用户名，格式为
                                            [domain\]user
    MODULES       eq, ne                    DLL 名
    SERVICES        eq, ne                    服务名
    WINDOWTITLE     eq, ne                    窗口标题

注意: 只有带有筛选器的情况下，才能跟 /IM 切换使用通配符 '*'。

如果我们要结束一个进程：

taskkill /im 进程名 /f 强行结束这个进程。

在win2000系统中可以用ntsd这个命令来结束病毒的进程

ntsd -c q -p pid(进程号）

比如要将强行指定PID的病毒进程杀死。例如，发现一个病毒进程的PID为“1268”，那么执行

ntad -c q -p 1268 即可杀死。

本文出自 51CTO.COM技术博客

上一篇 asp 快速入门　　下一篇 ASP木马Webshell的安全防范解决办法

类别：病毒清除 ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：

溯源碟神

如何杀死“顽固不化”的病毒进程。