¿Por qué mi computadora siempre produce c:\windows\system32\ntsd.exe?

Archivo de proceso: ntsd.exe nts dor

Nombre del proceso: Depurador simbólico de Windows

Nombre del proceso: ntsd.exe It es una herramienta de depuración en modo de usuario que viene con el sistema Microsoft Windows 2000. Se puede utilizar para finalizar todos los procesos excepto el sistema, SMSS.EXE y CSRSS.EXE. Los virus suelen utilizar este programa para finalizar por la fuerza el proceso del software antivirus.

Productor: Microsoft

Pertenece a: Sistema operativo Microsoft Windows.

Proceso del sistema: Sí

Uso de la red: Sí

Relacionado con el hardware: No.

Errores comunes: Desconocido No aplicable

Uso de memoria: Desconocido

Spyware: Ninguno.

Adware: Ninguno.

Virus: Ninguno

Troy Hoss: No

Manual de usuario de NTSD

NTSD (Microsoft Windows NT Symbolic/System Debugger) es uno de las instalaciones predeterminadas de Windows 2000.

Un depurador, pero desafortunadamente no mucha gente menciona esto. Esta es en realidad la versión de línea de comandos de WinDBG, con funciones ligeramente más potentes.

Es un poco más pequeño, pero es suficiente para la depuración general. Lo bueno de esto es que se puede usar en todos los Windows 2000.

Puedes usarlo de forma remota siempre que Terminal Services o VNC estén abiertos. Cuando miro las cosas que se han derramado recientemente, siento que a veces esto es comparable.

Softice es muy conveniente, especialmente cuando las máquinas de otras personas están encendidas :-). Traduje la mayor parte de la ayuda de NTSD, pero no sé parte de ella.

Algunos son vagos, por eso no están traducidos. NTSD también admite algunos comandos que no se mencionan en la ayuda, que también se enumerarán más adelante.

Sí.

Uso:NTSD[-v][-2][-d][-o][-G][-G][-w][-lines]

[ -aDllName][-s][-r nivel de error de interrupción][-t nivel de error de impresión]

[-HD][-x |-xd[excepto #]|-xe[excepto #]] [-e] [-z]

[ - | -p pid |línea de comando]

¿Dónde está? Mostrar este texto de ayuda

-aDllName Establecer la extensión DLL predeterminada

-c Ejecutar el siguiente comando de depuración

Utilice ";" ejecutado en múltiples entre comandos.

Diferente

-d Enviar toda la salida del depurador al depurador del kernel a través de DbgPrint

-g Ignorar los puntos de interrupción iniciales en el programa depurado

-G Ignorar los puntos de interrupción finales en el proceso terminación

-hd deshabilita las comprobaciones de validez del administrador de montón

-Ignoro los AV generados por las correcciones del cargador en sistemas anteriores a 3.51

-las líneas requieren el uso del número de línea información (si la hay)

-netsyms:{yes|no}permitir o no permitir la carga de símbolos desde rutas de red

-o depuración es Depurar todos los procesos iniciados por el programa

-r Especifica el nivel de error (0-3) para interrumpir (consulte SetErrorLevel)

-s Deshabilitar la carga de símbolos diferidos

-t especifica el (0-3) nivel de error a mostrar (ver SetErrorLevel)

-v habilita la salida detallada del depurador

-n habilita la salida detallada del controlador de símbolos

-w especifica la depuración Aplicaciones de 16 bits en un VDM separado

-x deshabilita las interrupciones de excepción AV

-xd deshabilita la detención de la excepción especificada

-xe permite detener la excepción especificada

-z reservado para la depuración de OS/2

-2 crea una ventana de consola separada para depurar objetos

Para los programas de consola, la salida se dirige a otra ventana. de ser mostrado en la ventana NTSD.

-Igual que -G -g -o -p -1

-p pid especifica la identificación del proceso decimal que se agregará

Especifica el número de proceso a ser depurado, utilizado para depurar programas que ya se están ejecutando.

La línea de comando es un comando ejecutado bajo el depurador

Variable de entorno:

_NT_SYMBOL_PATH=[Unidad:][Ruta]

Especifica la ruta de la imagen del símbolo. (Predeterminado = %SystemRoot%)

_ NT _ ALT _ SYMBOL _ PATH =[Unidad:][PATH]

Especifica la ruta de la imagen del símbolo alternativo.

_NT_DEBUG_EXTENSIONS=dllname

Si se especifica, es una lista separada por punto y coma de nombres de DLL de extensión del depurador

Esto especifica el orden de búsqueda al analizar los comandos de extensión del depurador

Un [<address>]-ensamblado

Ingrese una declaración de ensamblaje en la dirección especificada.

BC[<bp>] - Borrar puntos de interrupción

Borrar puntos de interrupción

BD[<bp>] - Desactivar puntos de interrupción dot

disable puntos de interrupción

be [<bp>] -habilitar puntos de interrupción

habilitar puntos de interrupción

BL[ <bp>]-Listar puntos de interrupción

Lista puntos de interrupción

BP[#]<Dirección>-Establecer puntos de interrupción

Establecer punto de interrupción

C<range><address>-compare

Comparar dirección

d[tipo][<rango> ] -Volcar memoria

Mostrar el rango de memoria especificado

e[tipo]<Dirección>[<Lista>] -Entrar

Ingrese datos en la dirección especificada.

F<range><list>-fill

Llena el segmento de memoria especificado con datos

g[= <address>[ <Address>...]] - Ir

Ejecutar a una dirección

J <expr>[']cmd 1['];[']cmd2 ['] -Ejecución condicional

Ejecución condicional

K & ltcount & gt-Stacks

Rastreo de pila

KB = & ltbase & gt& ltstack& gt& ltip & gt - seguimiento de pila desde un estado específico

L{+|-}[lost*] - opción de fuente de control

LN & ltexpr & gt -list near

El argumento es una dirección o una función que muestra la función más cercana a la dirección o función especificada en el argumento.

LS[. ][<first>][,<count>] - Muestra las líneas del archivo fuente

LSA <addr>[,<first>][,<count>] - En la dirección Muestra las líneas del archivo fuente en

LSC - Muestra el archivo fuente actual y la línea

LSF[-]<File> - Carga o descarga archivos fuente para explorar

M<range><address>-move

n[< radix>] - establecer/mostrar radix

p[R][= <addr>][<value>] - Paso del programa

Paso único

Q - Salir

#R -Volcado de registros de multiprocesamiento

Mostrar registros en entorno multiprocesador

r[F][L][M<expr>][[<reg> [= <expr>]]] -Registrar/Marcar

Mostrar registro

Rm[? ][<expr>] - Máscara de salida del registro de solicitud de control

S<range><list>-search

Busca caracteres dentro de la cadena del rango de direcciones especificada.

0:000>S 77df0000 77e4c000 ff e4 //Encuentra jmp esp desde el espacio de usuario32.

77e22c29

0:000 & gt;s77df 0000 77e4c 000 ' w ' ' I ' ' n ' ' n ' ' t '//Cadena de búsqueda "WINNT"

SS & ltn | a | w & gt - Establecer sufijo de símbolo

Evento SX & gt| * | [= <address>][<expr>] -trace

u[<range>] -teardown

muestra declaraciones de desmontaje, igual que el comando u del software.

x[<* |módulo>! ]<* | símbolo>-Ver símbolos

Mostrar símbolos, admite comodines, similar al comando exp de softice.

0:000>x usuario 32! *//Muestra todos los símbolos de usuario32.

…………

0:000 > x usuario 32! Ws* //Muestra todos los símbolos del usuario32 que comienzan con Ws.

77dffa68 USUARIO32! wsprintfW

77e0014a Usuario 32! wsprintfA

.

logo pen[<Archivo>] - Abra un nuevo archivo de registro

Especifique el archivo de registro y habilite la muy útil función de grabación de pantalla.

. log append[<file>] - Agregar al archivo de registro

Agregar al archivo de registro existente

. logclose - Cerrar el archivo de registro

Detener grabación

~ -Enumerar el estado del hilo

Mostrar el estado del hilo

~#s - Establecer el hilo predeterminado

Establecer hilo predeterminado

~[.|#|*|ddd]f - congelar hilo

~[.|#|ddd] k[expr ] -Pila de seguimiento

Seguimiento de pila

| -Listar estado del proceso

Mostrar estado del proceso

|#s -Set proceso predeterminado

Establecer el proceso predeterminado

| # & ltcommand & gt-Anulación del proceso predeterminado

& ltexpr & gt-Display expresión

Mostrar información de dirección o símbolo

0:000>? wsprintfA

Expresión evaluada: 2011169098 = 77e 0014a

0:000>? eip

Expresión evaluada: 2012813324 = 77f 9180 c

# & ltstring& gt[dirección] - Buscar cadena en el desensamblado

Desensambla la dirección especificada, pero genera Sólo una línea de declaraciones.

$ & lt& ltfilename& gt - Obtener entrada del archivo de comando

Obtener el comando que se ingresará desde el archivo.

& ltexpr & gtops: + - * / not by wo dw poi mod(%) and (& amp)xor(^) or (|) HIlow

Operaciones: Número en base actual, signo público y ltreg & gt

& lttype & gt: b (byte), w (palabra), d[s] (palabra doble [firmada]),

a (ascii), c (dword y Char), u (unicode), l (lista)

f (coma flotante), D (doble precisión), s|S (cadena ascii/unicode)

q (cuatro palabras)

& ltmode>:[(nt | <dll-name>)!]< var-name>(<var-name>puede incluir? y *)

<event>:ct, et, ld, av, cc

& ltradix & gt: 8, 10, 16

& ltreg & gt:$ u0-$u9, $ea, $exp, $ra, $p

& ltaddr & gt: % & ltdirección de 32 bits& gt

& ltrange& gt:& ltaddress& gt& ltaddress& gt

:& ltaddress& gtL & ltcount & gt

<List>:<byte>[<byte>...]

Opciones de modo de usuario:

Opciones de i386:

BA[#]<e|r|w|i><1|2|4><addr>-address bp

<reg>:[e]ax, [e ]bx, [e]cx, [e]dx, [e]si, [e]di, [e]bp, [e]sp, [e]ip, [e]fl,

al, ah, bl, bh, cl, ch, dl, dh, cs, ds, es, fs, gs, ss

fpcw, fpsw, fptw, st0-st7, mm0-mm7

& ltflag & gt:iopl, of, df, if, tf, sf, zf, af, pf, cf

& ltaddr & gt:# & ltmodo protegido de 16 bits [seg: ]Address>,

& amp& modo ltV86 [seg:]Address>

NTSD también admite algunos comandos muy útiles, pero no sé por qué no se mencionan en la ayuda. . También se incluye aquí:

KD[<count>] - datos sin procesar de seguimiento de pila

Rastreo de pila en modo sin formato

SQ: establecer modo silencioso

Configura el modo silencio, enciéndelo y apágalo nuevamente.

LD[<module>] - Actualizar información del módulo

Recargar

Lista de módulos de LM

Enumerar cargas de procesos Toda la información del módulo.

DL & ltaddress& gt& ltmaxcount & gt& ltsize & gt-dump lista enlazada

Las expresiones admitidas por NTSD son casi las mismas que las expresiones admitidas por la sintaxis WinDBG de MASM.

El NTSD que viene con el sistema también admite algunos comandos extendidos, como:

! Pentobarbital

! teb

En cuanto a usted, quiere decir que hay varios depuradores que no depurarán su programa.

Si yo fuera tú, usaría el disco antiguo del sistema para reparar el sistema o apagarlo (no he intentado controlarlo)