轉載：

【重要】在CMD命令行下關閉進程的命令
━━━━━━━━━━━━━━━━━━━━━━━━━━

方法一：

在"運行"中輸入:ntsd -c q -pn 程序名字(在MS-Dos中的作用是一樣的)

方法二：

ntsd使用以下參數殺死進程.
c:>ntsd -c q -p PID 只要你能提供進程的PID,那么你就可以干掉進程.

法二:

tskill命令

這個命令與tasklist命令是相對應的吧! tasklist命令是顯示有哪些進程正在運行!

tskill命令是關閉運行中的進程.

不過我試驗了,好像沒有用哦!^O^

共有多少種命令行下的死法呢?
三種!tskill命令,taskkill命令,ntsd命令.
tskill命令的使用最為簡單,C:>tskill

TSKILL processid | processname [/SERVER:servername] [/ID:sessionid | /A] [/V]

processid 要結束的進程的 Process ID。
processname 要結束的進程名稱。
/SERVER:servername 含有 processID 的服務器(默認值是當前值)。
使用進程名和 /SERVER 時，必須指定/ID 或 /A
/ID:sessionid 結束在指定會話下運行的進程。
/A 結束在所有會話下運行的進程。
/V 顯示正在執行的操作的信息。

taskkill命令主要的好處是帶很多篩選器,可以批量結束進程
C:>taskkill /?

TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
這個命令行工具可用來結束至少一個進程。可以根據進程 id 或圖像名來結束進程。
參數列表:
/S system 指定要連接到的遠程系統。
/U [domain]user 指定應該在哪個用戶上下文執行這個命令。
/P [password] 為提供的用戶上下文指定密碼。如果忽略，提示輸入。
/F 指定要強行終止進程。
/FI filter 指定篩選進或篩選出查詢的的任務。
/PID process id 指定要終止的進程的PID。
/IM image name 指定要終止的進程的圖像名。通配符 '*'可用來指定所有圖像名。
/T Tree kill: 終止指定的進程和任何由此啟動的子進程。
/? 顯示幫助/用法。
篩選器:
篩選器名 有效運算符 有效值
----------- --------------- --------------
STATUS eq, ne 運行 | 沒有響應
IMAGENAME eq, ne 圖像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 會話編號
CPUTIME eq, ne, gt, lt, ge, le CPU 時間，格式為hh:mm:ss。hh - 時，mm - 鐘，ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 內存使用，單位為 KB
USERNAME eq, ne 用戶名，格式為[domain]user
MODULES eq, ne DLL 名
SERVICES eq, ne 服務名
WINDOWTITLE eq, ne 窗口標題
注意: 只有帶有篩選器的情況下，才能跟 /IM 切換使用通配符 '*'。
注意: 遠程進程總是要強行終止，不管是否指定了 /F 選項。
例如:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe
TASKKILL /S system /U domainusername /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"

有一些高等級的進程,tskill和taskkill或許無法結束,那么我們還有一個更強大的工具,那就是系統debug級的ntsd.準確的說,ntsd是一個系統調試工具,只提供給系統開發級的管理員使用,但是對我們殺掉進程還是很爽的.基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉.

當然咯,有些rootkit級別的超級木馬,還是無能為力,幸好這種牛牛級別的木馬還是很少的.
NTSD 調試程序在啟動時要求用戶指定一個要連接的進程。使用 TLIST 或 PVIEWER，您可以獲得某個現有進程的進程 ID，然后鍵入 NTSD -p pid 來調試這個進程。NTSD 命令行使用如下的句法：
NTSD [options] imagefile
其中，imagefile 是要調試的映像名稱，options 是下面選項之一：
選項說明-2打開一個用于調試字符模式的應用程序的新窗口-d將輸出重定向到調試終端-g 使執行自動通過第一個斷點-G使 NTSD 在子程序終止時立即退出o啟用多個進程的調試，默認值為由調試程序衍生的一個進程-p指定調試由進程 ID 標識的進程-v產生詳細的輸出
例如，假設 inetinfo.exe 的進程 ID 為 104。鍵入以下命令將 NTSD 調試程序連接到 inetinfo 進程 (IIS)。
NTSD -p 104
也可使用 NTSD 啟動一個新進程來進行調試。例如，NTSD notepad.exe 將啟動一個新的 notepad.exe 進程，并與它建立連接。
一旦連接到某個進程，您就可以用各種命令來查看堆棧、設置斷點、轉儲內存，等等。
命令含義~顯示所有線程的一個列表KB 顯示當前線程的堆棧軌跡~*KB顯示所有線程的堆棧軌跡R顯示當前幀的寄存器輸出U反匯編代碼并顯示過程名和偏移量D[type][< range>]轉儲內存BP[#]

設置斷點BC[]清除一個或多個斷點BD[]禁用一個或多個斷點BE[< bp>]啟用一個或多個斷點BL[]列出一個或多個斷點
個人意見,有一個非常重要的參數就是-v參數,我們可以通過它發現一個進程下面掛接了哪些連接庫文件.有很多病毒,木馬,或者惡意軟件,都喜歡把自己做成動態庫,然后注冊到系統正常程序的加載庫列表中,達到隱藏自己的目的.
首先我們需要設置一下ntsd的輸出重定向,最好是重定向到一個文本文件,方便我們分析研究.
c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt
注意,雖然輸出重定向了,但是我們的輸出依然會繼續顯示在屏幕上,而且會進入到debug模式,我們使用-c q參數,就可以避免這個問題.
c:>ntsd -c q -v notepad.exe
現在我們的pdw.txt文件中,就可以看見notepad.exe文件的調試信息.
ntsd使用以下參數殺死進程.
c:>ntsd -c q -p PID 只要你能提供進程的PID,那么你就可以干掉進程.

總結

以上是生活随笔為你收集整理的在CMD命令行下关闭进程的命令的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。