Board logo

标题: [系统相关] 批处理如何取得隐藏进程PID,ntsd -c q -p PID 结束进程? [打印本页]

作者: lovedjsn    时间: 2011-12-5 13:14     标题: 批处理如何取得隐藏进程PID,ntsd -c q -p PID 结束进程?

主要目地是,读取用户TEMP,删除EXE文件,无法删除文件注为在运行中写入1.TXT
,读取1.TXT取文件名写入2.TXT,然后通过读取2.TXT得到PID,最后通过ntsd -c q -p pid结束进程
不知道思路有没有问题,ntsd -c q -p pid如何得到2.txt 文件名得到PID一直不解
在线求解.如果我没说明白可以跟帖..在线回答
(注:*.exe为隐藏进程无法直接用tasklist.ntsd结束进程,同时tasklist.ntsdf也无法读取PID)
  1. @echo off
  2. ::定义当前用户TEMP路径
  3. set "temp=C:%HOMEPATH%\Local Settings\Temp\"
  4. ::删除EY??.exe文件
  5. del /f /s /q "%temp%"ey??.exe>nul
  6. ::读取EY??.EXE导出路径地址
  7. for %%i in ("%temp%"ey??.exe) do echo %%i>>1.txt
  8. ::提取路径地址只取文件名结束进程
  9. for /f "delims=\ tokens=1-5,6" %%b in (1.txt) do  ntsd -c q -pn %%g
  10. pause>NUL
复制代码
追加试验pv查看PID无法得于隐藏进程PID,可以得到非隐藏程式PID,以下均都无法取得隐藏进程PID
  1. @echo
  2. pv.exe -b  *.exe
  3. pause
复制代码
  1. @echo off
  2. wmic process where (name like 'qq.exe') get name,processid,executablepath /value
  3. pause
复制代码

作者: bluewing009    时间: 2011-12-6 11:26

我大概明白你的目的了,
我先说一下我的想法……
1.temp里删不掉的exe并非在运行状态,比如被调用,权限锁定等
2.ntsd支持进程名,不一定非要PID
3.NTSD仍然属于应用程序,权限不高
4.隐藏进程即使找出来NTSD不一定能结束
5.tasklist也好,wmic也好,对于API拦截也没辙(比如以前的灰鸽子),找不到你的隐藏进程
6.建议你参考unlocker(三方工具)的命令行
作者: lovedjsn    时间: 2011-12-6 17:30

是被调用,试了一下通过NTSD PID可以结束这个进程,你可以提供一下unlocker(三方工具)的命令行下载地址?BBS逛了没找到这个工具
作者: lovedjsn    时间: 2011-12-6 17:32

本帖最后由 lovedjsn 于 2011-12-6 18:32 编辑

回复 2# bluewing009


    是被调用,你可以提供一下unlocker(三方工具)的命令行下载地址?BBS逛了没找到这个工具

ntsd是可以结束这个进程的,前提是要有PID。因进程名为隐藏NTSD直接取进程名无法结束。所以要转一个圈取PID才行~~~!
作者: bluewing009    时间: 2011-12-6 23:34     标题: 标题

回复 4# lovedjsn

爪机中……
    请百度unlocker这个工具比较有名,主页似乎是……http://ccollomb.free.fr/unlocker/

能不能吧你那个隐藏进程名的东东发给我?
作者: lovedjsn    时间: 2011-12-6 23:50

BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了
  1. @echo off
  2. echo   本意用于读取隐藏进程PID,NTSD结束进程
  3. echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
  4. echo   2011.12.6.
  5. pause
  6. ::定义当前用户TEMP路径
  7. set "temp=C:%HOMEPATH%\Local Settings\Temp\"
  8. ::定义三方工具
  9. set "xt=xt.exe del /f"
  10. ::删除EY??.exe文件 ,确认活动中进程名
  11. del /f /s /q "%temp%"ey??.exe>nul
  12. ::读取活动中进程路径,使用三方工具删除文件
  13. for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
  14. pause>NUL
复制代码
没找到可以加我QQ:87100854
作者: lovedjsn    时间: 2011-12-6 23:51

回复 5# bluewing009


    BBS上有咯名字“Hpid”
呵呵有个三方工具可以查到隐藏PID 但试了好几种方法都提取不了内容
现在只能用强删的方法了
  1. @echo off
  2. echo   本意用于读取隐藏进程PID,NTSD结束进程
  3. echo   但现因无法提取PID,无奈采用强删方法,现用三方工具驱动级可删任何文件
  4. echo   2011.12.6.
  5. pause
  6. ::定义当前用户TEMP路径
  7. set "temp=C:%HOMEPATH%\Local Settings\Temp\"
  8. ::定义三方工具
  9. set "xt=xt.exe del /f"
  10. ::删除EY??.exe文件 ,确认活动中进程名
  11. del /f /s /q "%temp%"ey??.exe>nul
  12. ::读取活动中进程路径,使用三方工具删除文件
  13. for %%i in ("%temp%"ey??.exe) do echo %%i&&%xt% %%i
  14. pause>NUL
复制代码
没找到可以加我QQ:87100854
作者: bluewing009    时间: 2011-12-7 23:20     标题: 标题

回复 7# lovedjsn


    不明白你这个帖子的意思,可能你也没明白我的意思,
请按照以下步骤操作就能明白我想说的了
1.下载unlocker(最新版应该是1.9.1,绿色版最好,安装版请安装后把文件夹复制出来)
2.运行CMD并将目录切换到那个文件夹下(cd /d)
3.运行unlocker /?(E文,不好的请借助翻译)

这样我的思路就是:利用unlocker解锁功能直接将进程杀掉
作者: wc726842270    时间: 2011-12-8 03:49

本帖最后由 wc726842270 于 2011-12-8 03:52 编辑

真是不了解你所说的“隐藏”是哪一类技术!!!
另外UNLOCKER不是删除文件的么?如果没有找到路径的话,可能还是太早了、
另外TASKKILL有个\t,、的参数,可能有用,不过不要乱用,当然还有TASKLIST中的\m,\svc ,\v等,远程的有NETSTAT
作者: lxzzr    时间: 2011-12-8 18:06

上面两位“大神”的对话,我左右看了两遍,愣是莫看明白...
作者: bluewing009    时间: 2011-12-8 19:07

回复 10# lxzzr


    其实我一直以为我自己说明白了………………
作者: lxzzr    时间: 2011-12-8 19:17

回复 11# bluewing009

呵呵,你是向他要个工具,他始终在纠结“NTSD” + "PID"结束进程,不知道是不是这样?
作者: bluewing009    时间: 2011-12-8 21:11

回复 12# lxzzr


    感觉他是在找个“强力解锁”工具,因为隐藏进程无法轻松kill,所以就被占用着无法删除~
作者: lovedjsn    时间: 2011-12-9 00:53

回复 9# wc726842270


    TASKKILL对隐藏进程就废了无论什么参数都没有用的饿
作者: lovedjsn    时间: 2011-12-9 00:56

本帖最后由 lovedjsn 于 2011-12-9 01:36 编辑

回复 13# bluewing009


    不,我是在找哪个三方工具可以查到隐藏进程PID,(前提是那个工具批处理可以提取到PID值),解不解锁都无所谓
作者: lovedjsn    时间: 2011-12-9 01:01

回复 12# lxzzr


    差不多就是这样咯
主要我纠结NTSD PID原因是NTSD PID可以结束这个隐藏进程,但NTSD+进程名就不行
所以一直在看谁有没有办法可以提取到隐藏进程PID
作者: lovedjsn    时间: 2011-12-9 01:31

回复 11# bluewing009


    原本我以为明白你的意思了,今天再看一下原来我会错你意了啊。这人啊真奇妙
作者: wc726842270    时间: 2011-12-9 05:16

回复 14# lovedjsn


    仁兄没看我的说明么!!谁知道你的是哪一类隐藏技术。要是所有的都是统一的杀法,那写病毒的都应该去幼稚园了
作者: bluewing009    时间: 2011-12-9 08:50     标题: 撇嘴~~~

回复 17# lovedjsn


    知道PID后还不是要结束进程?不就是解锁么…………
作者: bluewing009    时间: 2011-12-9 09:16

回复 17# lovedjsn


    试试雪兔吧
http://www.xuetr.com/?p=123




欢迎光临 批处理之家 (http://www.bathome.net/) Powered by Discuz! 7.2