标题: [系统相关] 批处理如何取得隐藏进程PID,ntsd -c q -p PID 结束进程? [打印本页]
作者: lovedjsn 时间: 2011-12-5 13:14 标题: 批处理如何取得隐藏进程PID,ntsd -c q -p PID 结束进程?
主要目地是,读取用户TEMP,删除EXE文件,无法删除文件注为在运行中写入1.TXT
,读取1.TXT取文件名写入2.TXT,然后通过读取2.TXT得到PID,最后通过ntsd -c q -p pid结束进程
不知道思路有没有问题,ntsd -c q -p pid如何得到2.txt 文件名得到PID一直不解
在线求解.如果我没说明白可以跟帖..在线回答
(注:*.exe为隐藏进程无法直接用tasklist.ntsd结束进程,同时tasklist.ntsdf也无法读取PID)- @echo off
- ::定义当前用户TEMP路径
- set "temp=C:%HOMEPATH%\Local Settings\Temp\"
- ::删除EY??.exe文件
- del /f /s /q "%temp%"ey??.exe>nul
- ::读取EY??.EXE导出路径地址
- for %%i in ("%temp%"ey??.exe) do echo %%i>>1.txt
- ::提取路径地址只取文件名结束进程
- for /f "delims=\ tokens=1-5,6" %%b in (1.txt) do ntsd -c q -pn %%g
- pause>NUL
追加试验pv查看PID无法得于隐藏进程PID,可以得到非隐藏程式PID,以下均都无法取得隐藏进程PID- @echo
- pv.exe -b *.exe
- pause
- @echo off
- wmic process where (name like 'qq.exe') get name,processid,executablepath /value
- pause
作者: bluewing009 时间: 2011-12-6 11:26
我大概明白你的目的了,
我先说一下我的想法……
1.temp里删不掉的exe并非在运行状态,比如被调用,权限锁定等
2.ntsd支持进程名,不一定非要PID
3.NTSD仍然属于应用程序,权限不高
4.隐藏进程即使找出来NTSD不一定能结束
5.tasklist也好,wmic也好,对于API拦截也没辙(比如以前的灰鸽子),找不到你的隐藏进程
6.建议你参考unlocker(三方工具)的命令行
作者: lovedjsn 时间: 2011-12-6 17:30
是被调用,试了一下通过NTSD PID可以结束这个进程,你可以提供一下unlocker(三方工具)的命令行下载地址?BBS逛了没找到这个工具
作者: lovedjsn 时间: 2011-12-6 17:32
本帖最后由 lovedjsn 于 2011-12-6 18:32 编辑
回复 2# bluewing009
是被调用,你可以提供一下unlocker(三方工具)的命令行下载地址?BBS逛了没找到这个工具
ntsd是可以结束这个进程的,前提是要有PID。因进程名为隐藏NTSD直接取进程名无法结束。所以要转一个圈取PID才行~~~!
作者: bluewing009 时间: 2011-12-6 23:34 标题: 标题
回复 4# lovedjsn
爪机中……
请百度unlocker这个工具比较有名,主页似乎是……http://ccollomb.free.fr/unlocker/
能不能吧你那个隐藏进程名的东东发给我?
作者: lovedjsn 时间: 2011-12-6 23:50
BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了- @echo off
- echo 本意用于读取隐藏进程PID,NTSD结束进程
- echo 但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
- echo 2011.12.6.
- pause
- ::定义当前用户TEMP路径
- set "temp=C:%HOMEPATH%\Local Settings\Temp\"
- ::定义三方工具
- set "xt=xt.exe del /f"
- ::删除EY??.exe文件 ,确认活动中进程名
- del /f /s /q "%temp%"ey??.exe>nul
- ::读取活动中进程路径,使用三方工具删除文件
- for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
- pause>NUL
没找到可以加我QQ:87100854
作者: lovedjsn 时间: 2011-12-6 23:51
回复 5# bluewing009
BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了- @echo off
- echo 本意用于读取隐藏进程PID,NTSD结束进程
- echo 但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
- echo 2011.12.6.
- pause
- ::定义当前用户TEMP路径
- set "temp=C:%HOMEPATH%\Local Settings\Temp\"
- ::定义三方工具
- set "xt=xt.exe del /f"
- ::删除EY??.exe文件 ,确认活动中进程名
- del /f /s /q "%temp%"ey??.exe>nul
- ::读取活动中进程路径,使用三方工具删除文件
- for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
- pause>NUL
没找到可以加我QQ:87100854
作者: bluewing009 时间: 2011-12-7 23:20 标题: 标题
回复 7# lovedjsn
不明白你这个帖子的意思,可能你也没明白我的意思,
请按照以下步骤操作就能明白我想说的了
1.下载unlocker(最新版应该是1.9.1,绿色版最好,安装版请安装后把文件夹复制出来)
2.运行CMD并将目录切换到那个文件夹下(cd /d)
3.运行unlocker /?(E文,不好的请借助翻译)
这样我的思路就是:利用unlocker解锁功能直接将进程杀掉
作者: wc726842270 时间: 2011-12-8 03:49
本帖最后由 wc726842270 于 2011-12-8 03:52 编辑
真是不了解你所说的“隐藏”是哪一类技术!!!
另外UNLOCKER不是删除文件的么?如果没有找到路径的话,可能还是太早了、
另外TASKKILL有个\t,、的参数,可能有用,不过不要乱用,当然还有TASKLIST中的\m,\svc ,\v等,远程的有NETSTAT
作者: lxzzr 时间: 2011-12-8 18:06
上面两位“大神”的对话,我左右看了两遍,愣是莫看明白...
作者: bluewing009 时间: 2011-12-8 19:07
回复 10# lxzzr
其实我一直以为我自己说明白了………………
作者: lxzzr 时间: 2011-12-8 19:17
回复 11# bluewing009
呵呵,你是向他要个工具,他始终在纠结“NTSD” + "PID"结束进程,不知道是不是这样?
作者: bluewing009 时间: 2011-12-8 21:11
回复 12# lxzzr
感觉他是在找个“强力解锁”工具,因为隐藏进程无法轻松kill,所以就被占用着无法删除~
作者: lovedjsn 时间: 2011-12-9 00:53
回复 9# wc726842270
TASKKILL对隐藏进程就废了无论什么参数都没有用的饿
作者: lovedjsn 时间: 2011-12-9 00:56
本帖最后由 lovedjsn 于 2011-12-9 01:36 编辑
回复 13# bluewing009
不,我是在找哪个三方工具可以查到隐藏进程PID,(前提是那个工具批处理可以提取到PID值),解不解锁都无所谓
作者: lovedjsn 时间: 2011-12-9 01:01
回复 12# lxzzr
差不多就是这样咯
主要我纠结NTSD PID原因是NTSD PID可以结束这个隐藏进程,但NTSD+进程名就不行
所以一直在看谁有没有办法可以提取到隐藏进程PID
作者: lovedjsn 时间: 2011-12-9 01:31
回复 11# bluewing009
原本我以为明白你的意思了,今天再看一下原来我会错你意了啊。这人啊真奇妙
作者: wc726842270 时间: 2011-12-9 05:16
回复 14# lovedjsn
仁兄没看我的说明么!!谁知道你的是哪一类隐藏技术。要是所有的都是统一的杀法,那写病毒的都应该去幼稚园了
作者: bluewing009 时间: 2011-12-9 08:50 标题: 撇嘴~~~
回复 17# lovedjsn
知道PID后还不是要结束进程?不就是解锁么…………
作者: bluewing009 时间: 2011-12-9 09:16
回复 17# lovedjsn
试试雪兔吧
http://www.xuetr.com/?p=123
| 欢迎光临 批处理之家 (http://bbs.bathome.net/) |
Powered by Discuz! 7.2 |