[系统相关] 批处理如何取得隐藏进程PID，ntsd -c q -p PID 结束进程？

lovedjsn

主要目地是，读取用户TEMP,删除EXE文件，无法删除文件注为在运行中写入1.TXT
,读取1.TXT取文件名写入2.TXT,然后通过读取2.TXT得到PID,最后通过ntsd -c q -p pid结束进程
不知道思路有没有问题,ntsd -c q -p pid如何得到2.txt 文件名得到PID一直不解
在线求解.如果我没说明白可以跟帖..在线回答
(注:*.exe为隐藏进程无法直接用tasklist.ntsd结束进程,同时tasklist.ntsdf也无法读取PID)

@echo off
 ::定义当前用户TEMP路径
set "temp=C:%HOMEPATH%\Local Settings\Temp\"
::删除EY??.exe文件
del /f /s /q "%temp%"ey??.exe>nul
::读取EY??.EXE导出路径地址
for %%i in ("%temp%"ey??.exe) do echo %%i>>1.txt
::提取路径地址只取文件名结束进程
for /f "delims=\ tokens=1-5,6" %%b in (1.txt) do  ntsd -c q -pn %%g
pause>NUL
复制代码

追加试验pv查看PID无法得于隐藏进程PID,可以得到非隐藏程式PID,以下均都无法取得隐藏进程PID

@echo
pv.exe -b  *.exe
pause
复制代码

@echo off
wmic process where (name like 'qq.exe') get name,processid,executablepath /value
pause
复制代码

bluewing009

我大概明白你的目的了，
我先说一下我的想法……
1.temp里删不掉的exe并非在运行状态，比如被调用，权限锁定等
2.ntsd支持进程名，不一定非要PID
3.NTSD仍然属于应用程序，权限不高
4.隐藏进程即使找出来NTSD不一定能结束
5.tasklist也好，wmic也好，对于API拦截也没辙（比如以前的灰鸽子），找不到你的隐藏进程
6.建议你参考unlocker（三方工具）的命令行

lovedjsn

是被调用，试了一下通过NTSD PID可以结束这个进程，你可以提供一下unlocker（三方工具）的命令行下载地址？BBS逛了没找到这个工具

lovedjsn

回复 2# bluewing009


    是被调用，你可以提供一下unlocker（三方工具）的命令行下载地址？BBS逛了没找到这个工具

ntsd是可以结束这个进程的，前提是要有PID。因进程名为隐藏NTSD直接取进程名无法结束。所以要转一个圈取PID才行~~~！

bluewing009

回复 4# lovedjsn

爪机中……
    请百度unlocker这个工具比较有名，主页似乎是……http://ccollomb.free.fr/unlocker/

能不能吧你那个隐藏进程名的东东发给我？

lovedjsn

BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了

@echo off
echo   本意用于读取隐藏进程PID，NTSD结束进程
echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
echo   2011.12.6.
pause
::定义当前用户TEMP路径
set "temp=C:%HOMEPATH%\Local Settings\Temp\"
::定义三方工具
set "xt=xt.exe del /f"
::删除EY??.exe文件 ,确认活动中进程名
del /f /s /q "%temp%"ey??.exe>nul
::读取活动中进程路径，使用三方工具删除文件
for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
pause>NUL
复制代码

没找到可以加我QQ：87100854

lovedjsn

回复 5# bluewing009


    BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了

@echo off
echo   本意用于读取隐藏进程PID，NTSD结束进程
echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
echo   2011.12.6.
pause
::定义当前用户TEMP路径
set "temp=C:%HOMEPATH%\Local Settings\Temp\"
::定义三方工具
set "xt=xt.exe del /f"
::删除EY??.exe文件 ,确认活动中进程名
del /f /s /q "%temp%"ey??.exe>nul
::读取活动中进程路径，使用三方工具删除文件
for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
pause>NUL
复制代码

没找到可以加我QQ：87100854

bluewing009

回复 7# lovedjsn


    不明白你这个帖子的意思，可能你也没明白我的意思，
请按照以下步骤操作就能明白我想说的了
1.下载unlocker（最新版应该是1.9.1，绿色版最好，安装版请安装后把文件夹复制出来）
2.运行CMD并将目录切换到那个文件夹下（cd /d）
3.运行unlocker /?（E文，不好的请借助翻译）

这样我的思路就是：利用unlocker解锁功能直接将进程杀掉

wc726842270

真是不了解你所说的“隐藏”是哪一类技术！！！
另外UNLOCKER不是删除文件的么？如果没有找到路径的话，可能还是太早了、
另外TASKKILL有个\t，、的参数，可能有用，不过不要乱用，当然还有TASKLIST中的\m,\svc ,\v等，远程的有NETSTAT

lxzzr

上面两位“大神”的对话，我左右看了两遍，愣是莫看明白...

bluewing009

回复 10# lxzzr


    其实我一直以为我自己说明白了………………

lxzzr

回复 11# bluewing009

呵呵，你是向他要个工具，他始终在纠结“NTSD” + "PID"结束进程，不知道是不是这样？

bluewing009

回复 12# lxzzr


    感觉他是在找个“强力解锁”工具，因为隐藏进程无法轻松kill，所以就被占用着无法删除～

lovedjsn

回复 9# wc726842270


    TASKKILL对隐藏进程就废了无论什么参数都没有用的饿

lovedjsn

回复 13# bluewing009


    不，我是在找哪个三方工具可以查到隐藏进程PID，（前提是那个工具批处理可以提取到PID值），解不解锁都无所谓