[新手上路]批处理新手入门导读[视频教程]批处理基础视频教程[视频教程]VBS基础视频教程[批处理精品]批处理版照片整理器
[批处理精品]纯批处理备份&还原驱动[批处理精品]CMD命令50条不能说的秘密[在线下载]第三方命令行工具[在线帮助]VBScript / JScript 在线参考
返回列表 发帖

[系统相关] 批处理如何取得隐藏进程PID,ntsd -c q -p PID 结束进程?

主要目地是,读取用户TEMP,删除EXE文件,无法删除文件注为在运行中写入1.TXT
,读取1.TXT取文件名写入2.TXT,然后通过读取2.TXT得到PID,最后通过ntsd -c q -p pid结束进程
不知道思路有没有问题,ntsd -c q -p pid如何得到2.txt 文件名得到PID一直不解
在线求解.如果我没说明白可以跟帖..在线回答
(注:*.exe为隐藏进程无法直接用tasklist.ntsd结束进程,同时tasklist.ntsdf也无法读取PID)
  1. @echo off
  2. ::定义当前用户TEMP路径
  3. set "temp=C:%HOMEPATH%\Local Settings\Temp\"
  4. ::删除EY??.exe文件
  5. del /f /s /q "%temp%"ey??.exe>nul
  6. ::读取EY??.EXE导出路径地址
  7. for %%i in ("%temp%"ey??.exe) do echo %%i>>1.txt
  8. ::提取路径地址只取文件名结束进程
  9. for /f "delims=\ tokens=1-5,6" %%b in (1.txt) do  ntsd -c q -pn %%g
  10. pause>NUL
复制代码
追加试验pv查看PID无法得于隐藏进程PID,可以得到非隐藏程式PID,以下均都无法取得隐藏进程PID
  1. @echo
  2. pv.exe -b  *.exe
  3. pause
复制代码
  1. @echo off
  2. wmic process where (name like 'qq.exe') get name,processid,executablepath /value
  3. pause
复制代码

回复 17# lovedjsn


    试试雪兔吧
http://www.xuetr.com/?p=123

TOP

撇嘴~~~

回复 17# lovedjsn


    知道PID后还不是要结束进程?不就是解锁么…………

TOP

回复 14# lovedjsn


    仁兄没看我的说明么!!谁知道你的是哪一类隐藏技术。要是所有的都是统一的杀法,那写病毒的都应该去幼稚园了
枫中残雪:风停了,我的心却在动,让我心中的寒意走向远方

TOP

回复 11# bluewing009


    原本我以为明白你的意思了,今天再看一下原来我会错你意了啊。这人啊真奇妙

TOP

回复 12# lxzzr


    差不多就是这样咯
主要我纠结NTSD PID原因是NTSD PID可以结束这个隐藏进程,但NTSD+进程名就不行
所以一直在看谁有没有办法可以提取到隐藏进程PID

TOP

本帖最后由 lovedjsn 于 2011-12-9 01:36 编辑

回复 13# bluewing009


    不,我是在找哪个三方工具可以查到隐藏进程PID,(前提是那个工具批处理可以提取到PID值),解不解锁都无所谓

TOP

回复 9# wc726842270


    TASKKILL对隐藏进程就废了无论什么参数都没有用的饿

TOP

回复 12# lxzzr


    感觉他是在找个“强力解锁”工具,因为隐藏进程无法轻松kill,所以就被占用着无法删除~

TOP

回复 11# bluewing009

呵呵,你是向他要个工具,他始终在纠结“NTSD” + "PID"结束进程,不知道是不是这样?

TOP

回复 10# lxzzr


    其实我一直以为我自己说明白了………………

TOP

上面两位“大神”的对话,我左右看了两遍,愣是莫看明白...

TOP

本帖最后由 wc726842270 于 2011-12-8 03:52 编辑

真是不了解你所说的“隐藏”是哪一类技术!!!
另外UNLOCKER不是删除文件的么?如果没有找到路径的话,可能还是太早了、
另外TASKKILL有个\t,、的参数,可能有用,不过不要乱用,当然还有TASKLIST中的\m,\svc ,\v等,远程的有NETSTAT
枫中残雪:风停了,我的心却在动,让我心中的寒意走向远方

TOP

标题

回复 7# lovedjsn


    不明白你这个帖子的意思,可能你也没明白我的意思,
请按照以下步骤操作就能明白我想说的了
1.下载unlocker(最新版应该是1.9.1,绿色版最好,安装版请安装后把文件夹复制出来)
2.运行CMD并将目录切换到那个文件夹下(cd /d)
3.运行unlocker /?(E文,不好的请借助翻译)

这样我的思路就是:利用unlocker解锁功能直接将进程杀掉

TOP

回复 5# bluewing009


    BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了
  1. @echo off
  2. echo   本意用于读取隐藏进程PID,NTSD结束进程
  3. echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
  4. echo   2011.12.6.
  5. pause
  6. ::定义当前用户TEMP路径
  7. set "temp=C:%HOMEPATH%\Local Settings\Temp\"
  8. ::定义三方工具
  9. set "xt=xt.exe del /f"
  10. ::删除EY??.exe文件 ,确认活动中进程名
  11. del /f /s /q "%temp%"ey??.exe>nul
  12. ::读取活动中进程路径,使用三方工具删除文件
  13. for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
  14. pause>NUL
复制代码
没找到可以加我QQ:87100854

TOP

返回列表