dos命令大全完整版(欢迎补全)

2023年12月1日发(作者：)

dos命令⼤全完整版（欢迎补全）

Dos命令⼤全完整版

DOS（磁盘操作系统）命令，是DOS操作系统的命令，是⼀种⾯向磁盘的操作命令，主要包括⽬录操作类命令、磁盘操作类命令、⽂件操

作类命令和其它命令。

使⽤技巧 ：

DOS命令不区分⼤⼩写，⽐如C盘的Program Files，在dos命令中完全可以⽤"progra~1"代替，加上英⽂引号是因为名称的中间有空格（即

多于⼀个词），这⼀点是初学者经常忽略的。

常⽤命令:

（1）查看⽬录内容命令 DIR

（2）指定可执⾏⽂件搜索⽬录 PATH

（3）创建⽬录命令 MD

（4）打开指定⽬录命令 CD

（5）删除当前指定的⼦⽬录命令 RD

（6）改变当前盘符命令 C:

（7）⽂件复制命令 COPY

（8）显⽰⽂本⽂件内容命令 TYPE

（9）更改⽂件名命令 REN

（10）删除⽂件命令 DEL

（11）清除屏幕命令 CLS

DOS命令特殊命令

重复上⼀次输⼊的命令，可以使⽤F3键来完成，同时DOS下存在⼀个doskey的命令记录器，在命令⾏上执⾏ doskey 后将可以实现以下功

能：

1、向上箭头"↑"和向下箭头"↓"-----回看上⼀次执⾏的命令

2、"Ctrl+C" 组合键或"Break"键 -----中断操作

3、⿏标操作"标记" -----------------⽤来选中⽂本

4、⿏标操作"粘贴" -----------------⽤来把剪贴板内容粘贴到提⽰符下

5、"F7"键 --------------------------查看及执⾏⽤过的命令

6、"/?" ----------------------------指定命令帮助

7、">" 及">>" ----------------------⽂件重定向

参数：命令+ > +写⼊路径⽂件名

实例：

echo 百度欢迎你 >d: ；写⼊⽂本到指定⽂件（如果⽂件存在则替换）

netstat -an >>d: ；追随尾端写⼊⽂本

DOS命令直接进⼊

编辑

直接进⼊某盘符，盘符：

如直接进⼊D盘，D：

DOS命令⽬录命令

（⼀）md——建⽴⼦⽬录

1．功能：创建新的⼦⽬录

2．类型：内部命令

3．格式：md[盘符：][路径名]〈⼦⽬录名〉

4．使⽤说明：

（1）“盘符”：指定要建⽴⼦⽬录的磁盘驱动器字母，若省略，则为当前驱动器；

（2）“路径名”：要建⽴的⼦⽬录的上级⽬录名，若缺省则建在当前⽬录下。

例：（1）在c盘的根⽬录下创建名为fox的⼦⽬录；（2）在fox⼦⽬录下再创建user⼦⽬录。

md c: fox （在当前驱动器c盘下创建⼦⽬录fox）

md c: foxuser （在fox ⼦⽬录下再创建user⼦⽬录）

（⼆）cd——改变当前⽬录

1．功能：改变当前⽬录

3．格式：CD [/D] [drive:][path]

（1）如果省略路径和⼦⽬录名则显⽰当前⽬录；

（2）如采⽤“cd”格式，则退回到根⽬录；

（3）如采⽤“cd..”格式则退回到上⼀级⽬录。

（4）使⽤ /D 命令⾏开关，除了改变驱动器的当前⽬录之外，还可改变当前驱动器。

例：（1）进⼊到user⼦⽬录；（2）从user⼦⽬录退回到⼦⽬录；（3）返回到根⽬录。

c:>cd foxuser（进⼊fox⼦⽬录下的user⼦⽬录）

c:foxuser>cd.. （退回上⼀级根⽬录，注意cd后⾯跟着两个点".."）。

c：fox>cd （返回到根⽬录）

c:

（三）rd——删除⼦⽬录命令

1．功能：从指定的磁盘删除⼦⽬录。

3．格式：rd[盘符：][路径名][⼦⽬录名]

（1）⼦⽬录在删除前必须是空的，也就是说需要先进⼊该⼦⽬录，使⽤del（删除⽂件的命令）将其⼦⽬录下的⽂件删空，然后再退回到上

⼀级⽬录，⽤rd命令删除该⼦⽬录本⾝；

（2）不能删除根⽬录和当前⽬录。

例：要求把c盘fox⼦⽬录下的user⼦⽬录删除，操作如下：

第⼀步：先将user⼦⽬录下的⽂件删空；

c>del c：foxuser*.* 或 del c:foxuser 或 del c:foxuser*

（注：这样只能删除⽂件，仍然不能删除user⽬录下的⽂件夹）

第⼆步，删除user⼦⽬录。

c>rd c:foxuser

（注：如果foxuser⽂件夹下仍有⽂件夹，这⼀步将不会奏效，怎样解决呢？其实不必劳烦两步，直接这样 c>rd c:foxuser /s

加上了⼀个参数/s，如果不想让系统询问是否删除，可以再加⼀个参数 /q）。

rd（RMDIR）：在DOS操作系统中⽤于删除⼀个⽬录

RMDIR [/S] [/Q] [drive:]path

RD [/S] [/Q] [drive:]path

注意：以下两个参数只能在WINXP上使⽤（在vista系统下其实也可以使⽤下述两个参数！）

/S 除⽬录本⾝外，还将删除指定⽬录下的所有⼦⽬录和⽂件。⽤于删除⽬录树。

/Q 安静模式，带 /S 删除⽬录树时不要求确认。

如：删除D盘上名为myfile（此⽂件夹是空的）的⽂件夹，可以输⼊rd d:myfile。

如果myfile⾮空，可输⼊rd d:myfile /S d:myfile删除myfile⽂件夹及其所有⼦⽂件夹及⽂件。

（四）dir——显⽰磁盘⽬录命令

DOS命令页⾯与教学图(7张)

1．功能：显⽰磁盘⽬录的内容。

3．格式：dir [盘符][路径][⽂件名][/p][/w][/A[[:]属性]][/O[:]排列顺序]][/S]

4．使⽤说明：/p的使⽤；当欲查看的⽬录太多，⽆法在⼀屏显⽰完屏幕会⼀直往上卷，不容易看清，加上/p参数后，屏幕上会分⾯⼀次显⽰

23⾏的⽂件信息，然后暂停，并提⽰；press any key to continue（按任意键继续）

/w的使⽤：加上/w只显⽰⽂件名，⾄于⽂件⼤⼩及建⽴的⽇期和时间则都省略。加上参数后，每⾏可以显⽰五个⽂件名。

/A 显⽰具有指定属性的⽂件。

属性D ⽬录 R 只读⽂件 H 隐藏⽂件 A 准备存档的⽂件

S 系统⽂件 I ⽆内容索引⽂件 L 解析点 - 表⽰“否”的前缀

/O ⽤分类顺序列出⽂件。

排列顺序 N 按名称(字母顺序) S 按⼤⼩(从⼩到⼤) E 按扩展名(字母顺序)

D 按⽇期/时间(从先到后) G 组⽬录优先 - 反转顺序的前缀

/S 显⽰指定⽬录和所有⼦⽬录中的⽂件。

（五）path——路径设置命令

1．功能：设备可执⾏⽂件的搜索路径，只对⽂件有效。

3．格式：path[盘符1]⽬录[路径名1]{[；盘符2：]，〈⽬录路径名2〉…}

（1）当运⾏⼀个可执⾏⽂件时，dos会先在当前⽬录中搜索该⽂件，若找到则运⾏之；若找不到该⽂件，则根据path命令所设置的路径，顺

序逐条地到⽬录中搜索该⽂件；

（2）path命令中的路径，若有两条以上，各路径之间以⼀个分号“；”隔开；

（3）path命令有三种使⽤⽅法：

path[盘符1：][路径1][盘符2：][路径2]…（设定可执⾏⽂件的搜索路径） path：（取消所有路径）

path：（显⽰当前所设的路径）

（六）tree——显⽰磁盘⽬录结构命令

1．功能：显⽰指定驱动器上所有⽬录路径和这些⽬录下的所有⽂件名。

2．类型：外部命令

3．格式：tree [盘符：][/f][>prn]

（1）使⽤/f参数时显⽰所有⽬录及⽬录下的所有⽂件，省略时，只显⽰⽬录，不显⽰⽬录下的⽂件；

（2）选⽤>prn参数时，则把所列⽬录及⽬录中的⽂件名打印输出。

（七）deltree——删除整个⽬录命令

1．功能：将整个⽬录及其下属⼦⽬录和⽂件删除。

3．格式：deltree [盘符：]〈路径名〉

4．使⽤说明：该命令可以⼀步就将⽬录及其下的所有⽂件、⼦⽬录、更下层的⼦⽬录⼀并删除，⽽且不管⽂件的属性为隐藏、系统或只

读，只要该⽂件位于删除的⽬录之下，deltree都⼀视同仁，照删不误。使⽤时务必⼩⼼！

（⼋）tasklist——显⽰进程

1．功能：将整个计算机的进程显⽰出来，同任务管理器。

3．格式：tasklist

4．使⽤说明：运⾏ cmd tasklist

DOS命令磁盘命令

（⼀）format——磁盘格式化命令

1．功能：对磁盘进⾏格式化，划分磁道和扇区；同时检查出整个磁盘上有⽆带缺陷的磁道，对坏道加注标记；建⽴⽬录区和⽂件分配表，

使磁盘作好接收dos的准备。

3．格式：format〈盘符：〉[/s][/4][/q]

（1）命令后的盘符不可缺省，若对硬盘进⾏格式化，则会如下列提⽰：warning:all data on non

——removable disk

drive c:will be lost ！

proceed with format (y/n）？

（警告：所有数据在c盘上，将会丢失，确实要继续格式化吗？{y（确定）/n（否定）}）

（2）若是对软盘进⾏格式化，则会如下提⽰：insert new diskette for drive a；

and press enter when ready…

（在a驱中插⼊新盘，准备好后按回车键）。

（3）选⽤[/s]参数，将把dos系统⽂件、及command复制到磁盘上，使该磁盘可以做为dos启动盘。若不选⽤/s参数，则格

式化后的磁盘只能读写信息，⽽不能做为启动盘；

（4）选⽤[/4]参数，在1.2mb的⾼密度软驱中格式化360kb的低密度盘；

（5）选⽤[/q]参数，快速格式化，这个参数并不会重新划分磁盘的磁道和扇区，只能将磁盘根⽬录、⽂件分配表以及引导扇区清成空⽩，因

此，格式化的速度较快。

（6）选⽤[/u]参数，表⽰⽆条件格式化，即破坏原来磁盘上所有数据。不加/u，则为安全格式化，这时先建⽴⼀个镜象⽂件保存原来的fat表

和根⽬录，必要时可⽤unformat恢复原来的数据。

（⼆）unformat恢复格式化命令

1．功能：对进⾏过格式化误操作丢失数据的磁盘进⾏恢复。

3．格式：unformat〈盘符〉[/l][/u][/p][/test]

4．使⽤说明：⽤于将被“⾮破坏性”格式化的磁盘恢复。根⽬录下被删除的⽂件或⼦⽬录及磁盘的系统扇区（包括fat、根⽬录、boot扇区及硬

盘分区表）受损时，也可以⽤unformat来抢救。

（1）选⽤/l参数列出找到的⼦⽬录名称、⽂件名称、⼤致⽇期等信息，但不会真的做unformat⼯作。

（2）选⽤/p参数将显⽰于屏幕的报告（包含/l参数所产⽣的信息）同时也送到打印机。运⾏时屏幕会显⽰：“print out will

be sent to lpt1”

（3）选⽤/test参数只做模拟试验（test）不做真正的写⼊动作。使⽤此参数屏幕会显⽰：“simulation only”

（4）选⽤/u参数不使⽤mirror映像⽂件的数据，直接根据磁盘现状进⾏unformat。

（5）选⽤/psrtn；修复硬盘分区表。

若在盘符之后加上/p、/l、/test之⼀，都相当于使⽤了/u参数，unformat会“假设”此时磁盘没有mirror映像⽂件。

注意：unformat对于刚format的磁盘，可以完全恢复，但format后若做了其它数据的写⼊，则unformat就不能完整的救回数据了。unformat并

⾮是万能的，由于使⽤unformat会重建fat与根⽬录，所以它也具有较⾼的危险性，操作不当可能会扩⼤损失，如果仅误删了⼏个⽂件或⼦⽬

录，只需要利⽤undelete就够了。

（三）chkdsk——检查磁盘当前状态命令

1．功能：显⽰磁盘状态、内存状态和指定路径下指定⽂件的不连续数⽬。

3．格式：chkdsk [盘符：][路径][⽂件名][/f][/v]

（1）选⽤[⽂件名]参数，则显⽰该⽂件占⽤磁盘的情况；

（2）选[/f]参数，纠正在指定磁盘上发现的逻辑错误；

（3）选⽤[/v]参数，显⽰盘上的所有⽂件和路径。

（四）diskcopy——整盘复制命令

1．功能：复制格式和内容完全相同的软盘。

3．格式：diskcopy[盘符1：][盘符2：]

（1）如果⽬标软盘没有格式化，则复制时系统⾃动选进⾏格式化。

（2）如果⽬标软盘上原有⽂件，则复制后将全部丢失。

（3）如果是单驱动器复制，系统会提⽰适时更换源盘和⽬标盘，请操作时注意分清源盘和⽬标盘。

（五）label——建⽴磁盘卷标命令

1．功能：建⽴、更改、删除磁盘卷标。

3．格式：label[盘符：][卷标名]

（1）卷标名为要建⽴的卷标名，若缺省此参数，则系统提⽰键⼊卷标名或询问是否删除原有的卷标名；

（2）卷标名由1⾄11个字符组成。

（六）vol——显⽰磁盘卷标命令

1．功能：查看磁盘卷标号。

3．格式：vol[盘符：]

4．使⽤说明：省略盘符，显⽰当前驱动器卷标。

（七）scandisk——检测、修复磁盘命令

1．功能：检测磁盘的fat表、⽬录结构、⽂件系统等是否有问题，并可将检测出的问题加以修复。

3．格式：scandisk[盘符1：]{[盘符2：]…}[/all]

（1）scandisk适⽤于硬盘和软盘，可以⼀次指定多个磁盘或选⽤[/all]参数指定所有的磁盘；

（2）可⾃动检测出磁盘中所发⽣的交叉连接、丢失簇和⽬录结构等逻辑上的错误，并加以修复。

（⼋）defrag——重整磁盘命令

1．。功能：整理磁盘，消除磁盘碎块。

3．格式：defrag[盘符：][/f]

4．使⽤说明：选⽤/f参数，将⽂件中存在盘上的碎⽚消除，并调整磁盘⽂件的安排，确保⽂件之间毫⽆空隙。从⽽加快读盘速度和节省磁盘

空间。

（九）sys——系统复制命令

1．功能：将当前驱动器上的dos系统⽂件,和command 传送到指定的驱动器上。

3．格式：sys[盘符：]

使⽤说明：如果磁盘剩余空间不⾜以存放系统⽂件，则提⽰：

no room for on destination disk.

DOS

命令⽂件命令

（⼀）⽂件复制命令

copy

1

．功能：拷贝⼀个或多个⽂件到指定盘上。

3copy [][] [][](

．格式：源盘路径（源⽂件名）⽬标盘路径⽬标⽂件名）

（）是⽂件对⽂件的⽅式复制数据，复制前⽬标盘必须已经格式化；

1copy

（）复制过程中，⽬标盘上相同⽂件名称的旧⽂件会被源⽂件取代；

2

（）复制⽂件时，必须先确定⽬标盘有⾜够的空间，否则会出现；的错误信息，提⽰磁盘空间不够；

3insufficient

（）⽂件名中允许使⽤通配举

4“”“？”，可同时复制多个⽂件；

（5）copy命令中源⽂件名必须指出，不可以省略。

（6）复制时，⽬标⽂件名可以与源⽂件名相同，称作“同名拷贝”此时⽬标⽂件名可以省略；

（7）复制时，⽬标⽂件名也可以与源⽂件名不相同，称作“异名拷贝”，此时，⽬标⽂件名不能省略；

（8）复制时，还可以将⼏个⽂件合并为⼀个⽂件，称为“合并拷贝”，格式如下：copy；[源盘][路径]〈源⽂件名1〉+〈源⽂件名2〉…[⽬标

盘][路径]〈⽬标⽂件名〉；

（9）利⽤copy命令，还可以从键盘上输⼊数据建⽴⽂件，格式如下：copy con [盘符：][路径]〈⽂件名〉；

编辑结束后，Ctrl+Z保存编辑。

（10）注意：copy命令的使⽤格式，源⽂件名与⽬标⽂件名之间必须有空格！

（⼆）xcopy——⽬录复制命令

1．功能：复制指定的⽬录和⽬录下的所有⽂件连同⽬录结构。

3．格式：xcopy [源盘：]〈源路径名〉[⽬标盘符：][⽬标路径名][/s][/v][/e]

（1）xcopy是copy的扩展，可以把指定的⽬录连⽂件和⽬录结构⼀并拷贝，但不能拷贝隐藏⽂件和系统⽂件；

（2）使⽤时源盘符、源⽬标路径名、源⽂件名⾄少指定⼀个；

（3）选⽤/s时对源⽬录下及其⼦⽬录下的所有⽂件进⾏copy。除⾮指定/e参数，否则/s不会拷贝空⽬录，若不指定/s参数，则xcopy只拷贝

源⽬录本⾝的⽂件，⽽不涉及其下的⼦⽬录；

（4）选⽤/v参数时，对的拷贝的扇区都进⾏较验，但速度会降低。

（三）type——显⽰⽂件内容命令

1．功能：显⽰ascii码⽂件的内容。

2．类型：内部命令。

3．格式：type[盘符：][路径]〈⽂件名〉

（1）显⽰由ascii码组成的⽂本⽂件，对.exe或.com等为扩展名的⽂件，其显⽰的内容是⽆法阅读的，没有实际意义；

（2）该命令⼀次只可以显⽰⼀个⽂件的内容，不能使⽤通配符；

（3）如果⽂件有扩展名，则必须将扩展名写上；

（4）当⽂件较长，⼀屏显⽰不下时，可以按以下格式显⽰；type[盘符：][路径]〈⽂件名〉|more，more为分屏显⽰命令，使⽤些参数后当满

屏时会暂停，按任意键会继续显⽰。

（5）若需将⽂件内容打印出来，可⽤如下格式：

type[盘符：][路径]〈⽂件名〉，>prn

此时，打印机应处于联机状态。

（四）ren——⽂件改名命令

1．功能：更改⽂件名称

3．格式：ren[盘符：][路径]〈旧⽂件名〉〈新⽂件名〉

（1）新⽂件名前不可以加上盘符和路径，因为该命令只能对同⼀盘上的⽂件更换⽂件名；

（2）允许使⽤通配符更改⼀组⽂件名或扩展名。

（五）fc——⽂件⽐较命令

1．功能：⽐较⽂件的异同，并列出差异处。

3．格式：fc[盘符：][路径名]〈⽂件名〉[盘符：][路径名][⽂件名][/a][/c][/n]

（1）选⽤/a参数，为ascii码⽐较模式；

（2）选⽤/b参数，为⼆进制⽐较模式；

（3）选⽤/c参数，将⼤⼩写字符看成是相同的字符。

（4）选⽤/n参数，在ascii码⽐较⽅式下，显⽰相异处的⾏号。

（六）attrib——修改⽂件属性命令

1．功能：修改指定⽂件的属性。（⽂件属性参见2.5.4（⼆）⽂件属性⼀节）

2．类型：外部命令。

3．格式：attrib[⽂件名][r][—r][a][—a][h][—h][—s]

（1）选⽤r参数，将指定⽂件设为只读属性，使得该⽂件只能读取，⽆法写⼊数据或删除；选⽤—r参数，去除只读属性；

（2）选⽤a参数，将⽂件设置为档案属性；选⽤—a参数，去除档案属性； （3）选⽤h参数，将⽂件调协为隐含属性；选⽤—h参数，去隐

含属性；

（4）选⽤s参数，将⽂件设置为系统属性；选⽤—s参数，去除系统属性； （5）选⽤/s参数，对当前⽬录下的所有⼦⽬录及作设置。

（七）del——删除⽂件命令

1．功能：删除指定的⽂件。

3．格式：del[盘符：][路径]〈⽂件名〉[/p]

（1）选⽤/p参数，系统在删除前询问是否真要删除该⽂件，若不使⽤这个参数，则⾃动删除；

（2）该命令不能删除属性为隐含或只读的⽂件；

（3）在⽂件名称中可以使⽤通配符；

（4）若要删除磁盘上的所有⽂件（del·或del·），则会提⽰：（arey ou sure？）（你确定吗？）若回答y，则进⾏删除，回答n，则取消此

次删除作业。

（⼋）undelete——恢复删除命令

1．功能：恢复被误删除命令

3．格式：undelete[盘符：][路径名]〈⽂件名〉[/dos][/list][/all]

4．使⽤说明：使⽤undelete可以使⽤“”“”

和？通配符。

（）选⽤参数根据⽬录⾥残留的记录来恢复⽂件。由于⽂件被删除时，⽬录所记载斩⽂件名第⼀个字符会被改为，即依据⽂件开

1/dose5dos

头的和其后续的字符来找到欲恢复的⽂件，所以，会要求⽤户输⼊⼀个字符，以便将⽂件名字补齐。但此字符不必和原来的⼀

e5undelete

样，只需符合的⽂件名规则即可。

dos

（）选⽤只列出符合指定条件的⽂件⽽不做恢复，所以对磁盘内容完全不会有影响。

2/list“”

（）选⽤⾃动将可完全恢复的⽂件完全恢复，⽽不⼀⼀地询问⽤户，使⽤此参数时，若利⽤⽬录⾥残留的记录来将⽂件恢复，

3/allundelete

则会⾃动选⼀个字符将⽂件名补齐，并且使其不与现存⽂件名相同，选⽤字符的优选顺序为：。

#%——9a~z

undeletedos

还具有建⽴⽂件的防护措施的功能，已超出本课程授课范围，请读者在使⽤些功能时查阅有关⼿册。

DOS

命令其它命令

（⼀）清屏幕命令

cls——

1

功能：清除屏幕上的所有显⽰，光标置于屏幕左上⾓。

2

类型：内部命令

3cls

格式：

（⼆）查看系统版本号命令

ver

1

功能：显⽰当前系统版本号

3ver

格式：

（三）⽇期设置命令

date

1

功能：设置或显⽰系统⽇期。

3date[mm——dd——yy]

格式：

4

使⽤说明：

（）省略显⽰系统⽇期并提⽰输⼊新的⽇期，不修改则可直接按回车键，为⽉⽉⽇⽇年

1[mm——dd——yy][mm——dd——yy]“————

年格式；

”

（）当机器开始启动时，有⾃动处理⽂件（）被执⾏，则系统不提⽰输⼊系统⽇期。否则，提⽰输⼊新⽇期和时间。

2

（四）系统时钟设置命令

time

1

功能：设置或显⽰系统时期。

3time[hhmmssxx]

格式：：：：

（五）查看当前内存状况命令

mem

1

功能：显⽰当前内存使⽤的情况

2

类型：外部命令

3mem[/c][/f][/m][/p]

格式：

（）选⽤参数列出装⼊常规内存和的各⽂件的长度，同时也显⽰内存空间的使⽤状况和最⼤的可⽤空间；

1/ccmb

（）选⽤参数分别列出当前常规内存剩余的字节⼤⼩和可⽤的区域及⼤⼩；

2/fumb

（）选⽤参数显⽰该模块使⽤内存地地址、⼤⼩及模块性质；

3/m

（）选⽤参数指定当输出超过⼀屏时，暂停供⽤户查看。

4/p

（六）显⽰系统信息命令：

msg

1

功能：显⽰系统的硬件和操作系统的状况。

3msg[/s]

格式：

（）选⽤参数时，不检测硬件；

1/i

（）选⽤参数时，以⿊⽩⽅式启动；

2/bmsg

（）选⽤参数时，显⽰出简明的系统报告。

3/s

DOSping

命令命令

对于下命令相信⼤家已经再熟悉不过了，但是能把的功能发挥到最⼤的⼈却并不是很多，当然我也并不是说我可以让

windowspingpingping

发挥最⼤的功能，我也只不过经常⽤这个⼯具，也总结了⼀些⼩经验，现在和⼤家分享⼀下。

ping

参照命令的帮助说明，使⽤时可⽤到的技巧，只有在安装了协议以后才可以使⽤：

pingpingpingtcp/ip

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-wz timeout] destination-list

options:

-t ping the specified host until stopped to see statistics and continue - type control-break;to stop - type control-c.

不停的地⽅主机，直到你按下。

pingcontrol-c

此功能没有什么特别的技巧，不过可以配合其他参数使⽤，将在下⾯提到。

net use ipipc""/user:""ipcnetuseipipc "" /user:"" ipc

建⽴空链接密码⽤户名建⽴⾮空链接

net use h: ipc""/user:""ch:netuseh:ipc c

密码⽤户名直接登陆后映射对⽅：到本地为登陆后映射对⽅：到本地为

h:

net use ipipc$ /del ipc

删除链接

net use h: /del h

删除映射对⽅到本地的为：的映射

net user /add

⽤户名密码建⽴⽤户

net user guest /active:yes guest

激活⽤户

net user

查看有哪些⽤户

net user

帐户名查看帐户的属性

net localgroup istrators /add “”istrators

⽤户名把⽤户添加到管理员中使其具有管理员权限，注意：后加⽤复数

net start net start net start telnet

查看开启了哪些服务服务名开启服务；（如：，

net start schedule)net stop

服务名停⽌某服务

net time ip

⽬标查看对⽅时间

net time ip /set “ip”/yes

⽬标设置本地计算机时间与⽬标主机的时间同步，加上参数可取消确认信息

net view

查看本地局域⽹内开启了哪些共享

net view ip

查看对⽅局域⽹内开启了哪些共享

net config

显⽰系统⽹络设置

net logoff

断开连接的共享

net pause

服务名暂停某服务

net send ip ""

⽂本信息向对⽅发信息

net ver

局域⽹内正在使⽤的⽹络连接类型和信息

net share

查看本地开启的共享

net share ipc$ ipcnetshareipc /del ipcnetsharec /del c

开启共享删除共享删除：共享

net user guest 12345 guest12345net password

⽤⽤户登陆后⽤将密码改为密码更改系统登陆密码

netstat -a

查看开启了哪些端⼝，常⽤

netstat -annetstat -n

查看端⼝的⽹络连接情况，常⽤

netstat -annetstat -v

查看正在进⾏的⼯作

netstat -p netstat -p tcp/ip tcp/ip

协议名例：查看某协议使⽤情况（查看协议使⽤情况）

netstat -s

查看正在使⽤的所有协议使⽤情况

nbtstat -a ip 13613903--a

对⽅到其中⼀个端⼝开了的话，就可查看对⽅最近登陆的⽤户名（前的为⽤户名）注意：参数要⼤写

tracert - ip “-w”

参数（或计算机名）跟踪路由（数据包），参数：数字⽤于设置超时间隔。

ping ip 32“-l[]”“-n”“-t”ping

（或域名）向对⽅主机发送默认⼤⼩为字节的数据，参数：空格数据包⼤⼩；发送数据次数；指⼀直。

ping -t -l 65500 ip ping64kpingping)

死亡之（发送⼤于的⽂件并⼀直就成了死亡之

ipconfig (winipcfg) windows ntxp(windows 95 98ip

⽤于及）查看本地地址，

ipconfig“/all”

可⽤参数显⽰全部配置信息

tlist -t support/tools

以树⾏列表显⽰进程（为系统的附加⼯具，默认是没有安装的，在安装⽬录的⽂件夹内）

kill -f -fsupport/tools

进程名加参数后强制结束某进程（为系统的附加⼯具，默认是没有安装的，在安装⽬录的⽂件夹内）

del -f -f,/ar/ah/as/aa/a-r/a-h/a-s/a-a

⽂件名加参数后就可删除只读⽂件、、、分别表⽰删除只读、隐藏、系统、存档⽂件，、、、表⽰删除除

只读、隐藏、系统、存档以外的⽂件。例如表⽰删除当前⽬录下所有只读⽂件，表⽰删除当前⽬录下除系统⽂件以外的所

“del/ar .”“del/a-s .”

有⽂件

DOSshutdown

命令

命令如下：

-a

取消关机

-s

关机

-f

强⾏关闭应⽤程序。

-m

计算机名控制远程计算机。

-i Shutdown

显⽰图形⽤户界⾯，但必须是的第⼀个参数。

-l

注销当前⽤户。

-r

关机并重启。

-t

时间设置关机倒计时。

-c"" 127

消息内容输⼊关机对话框中的消息内容（不能超个字符）。

⽐如你的电脑要在关机，可以选择开始运⾏，输⼊，这样，到了点，电脑就会出现系统关机对话框，默

24:00“→”“at 24:00 Shutdown -s”24“”

认有秒钟的倒计时并提⽰你保存⼯作。如果你想以倒计时的⽅式关机，可以输⼊，这⾥表⽰分钟后⾃动关

30“ -s -t 7200”120

机，代表分钟。

“7200”120

如果想取消的话，可以在运⾏中输⼊。另外输⼊，则可以打开设置⾃动关机对话框，对⾃动关机进⾏设置。

“shutdown -a”“shutdown -i”

让也实现同样的效果，可以把复制到系统⽬录下

Windows 2000System32

eg: -s -m z20235

当然你还可以把与命配合使⽤来定时关机，会更加的精确，格式：关机时间选项

shutdownatat shutdown

实例：就是让机⼦在关机，并倒计时秒。须要注意的是在使⽤它时须先打开服务。

at 12:45 shutdown -s -t 20 12:4520 “Task Scheduler”

DOS

命令基本命令

DOSping

命令

它是⽤来检查⽹络是否通畅或者⽹络连接速度的命令。作为⼀个⽣活在⽹络上的管理员或者⿊客来说，命令是第⼀个必须掌握的命

pingDOS

令，它所利⽤的原理是这样的：⽹络上的机器都有唯⼀确定的地址，我们给⽬标地址发送⼀个数据包，对⽅就要返回⼀个同样⼤⼩的数

IPIP

据包，根据返回的数据包我们可以确定⽬标主机的存在，可以初步判断⽬标主机的操作系统等。下⾯就来看看它的⼀些常⽤的操作。先看看

帮助吧，在窗⼝中键⼊：回车，。所⽰的帮助画⾯。在此，我们只掌握⼀些基本的很有⽤的参数就可以了（下同）。

DOSping /?

-t IP100MIP56K

表⽰将不间断向⽬标发送数据包，直到我们强迫其停⽌。试想，如果你使⽤的宽带接⼊，⽽⽬标是的⼩猫，那么要不了多

久，⽬标就因为承受不了这么多的数据⽽掉线，呵呵，⼀次攻击就这么简单的实现了。

IP

-l 3265500-t

定义发送数据包的⼤⼩，默认为字节，我们利⽤它可以最⼤定义到字节。结合上⾯介绍的参数⼀起使⽤，会有更好的效果哦。

-n IP33

定义向⽬标发送数据包的次数，默认为次。如果⽹络速度⽐较慢，次对我们来说也浪费了不少时间，因为现在我们的⽬的仅仅是判断

⽬标是否存在，那么就定义为⼀次吧。

IP

说明⼀下，如果参数和参数⼀起使⽤，命令就以放在后⾯的参数为标准，⽐如，虽然使⽤了参数，但并不是⼀直

-t -nping“ping IP -t -n 3”-t

pingping 3pingping IPpingIP

下去，⽽是只次。另外，命令不⼀定⾮得，也可以直接主机域名，这样就可以得到主机的。

DOSnbtstat

命令

该命令使⽤上的显⽰协议统计和当前连接，使⽤这个命令你可以得到远程主机的信息，⽐如⽤户名、所属

TCP/IPNetBIOSTCP/IPNETBIOS

的⼯作组、⽹卡的地址等。在此我们就有必要了解⼏个基本的参数。

MAC

-a NETBIOS

使⽤这个参数，只要你知道了远程主机的机器名称，就可以得到它的信息（下同）。

-A NETBIOSIP

这个参数也可以得到远程主机的信息，但需要你知道它的。

-n NETBIOS

列出本地机器的信息。

当得到了对⽅的或者机器名的时候，就可以使⽤命令来进⼀步得到对⽅的信息了，这⼜增加了我们⼊侵的保险系数。

IPnbtstat

DOSnetstat

命令

这是⼀个⽤来查看⽹络状态的命令，操作简便功能强⼤。

-a 4

查看本地机器的所有开放端⼝，可以有效发现和预防⽊马，可以知道机器所开的服务等信息，如图。

这⾥可以看出本地机器开放有服务、服务、邮件服务、服务等。⽤法：。

FTPTelnetWEBnetstat -a IP

-r netstat -r IP

列出当前的路由信息，告诉我们本地机器的⽹关、⼦⽹掩码等信息。⽤法：。

DOStracert

命令

跟踪路由信息，使⽤此命令可以查出数据从本地机器传输到⽬标主机所经过的所有途径，这对我们了解⽹络布局和结构很有帮助。如图。

5

这⾥说明数据从本地机器传输到的机器上，中间没有经过任何中转，说明这两台机器是在同⼀段局域⽹内。⽤法：。

192.168.0.1tracert IP

DOSnet

命令

这个命令是⽹络命令中最重要的⼀个，必须透彻掌握它的每⼀个⼦命令的⽤法，因为它的功能实在是太强⼤了在这⾥，我们重点掌握⼏个常

⽤的⼦命令。

net view

使⽤此命令查看远程主机的所有共享资源。命令格式为。

net view IP

net use

把远程主机的某个共享资源影射为本地盘符，图形界⾯⽅便使⽤。命令格式为。上⾯⼀个表⽰把的共

net use x: IPsharename192.168.0.5IP

享名为的⽬录影射为本地的盘。下⾯表⽰和建⽴连接（），

magicZ192.168.0.7IPC$net use ">IPIPC "password" /user:"name"

建⽴了连接后，呵呵，就可以上传⽂件了：，表⽰把本地⽬录下的传到远程主机，结合后⾯

IPC$copy ">192.168.0.7admin

要介绍到的其他命令就可以实现⼊侵了。

DOS

net start

使⽤它来启动远程主机上的服务。当你和远程主机建⽴连接后，如果发现它的什么服务没有启动，⽽你⼜想利⽤此服务怎么办？就使⽤这个

命令来启动吧。⽤法：，如图，成功启动了服务。

net start servername9telnet

net stop

⼊侵后发现远程主机的某个服务碍⼿碍脚，怎么办？利⽤这个命令停掉就了，⽤法和同。

oknet start

net user

查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁⽤等。这对我们⼊侵是很有利的，最重要的，它为我

们克隆帐户提供了前提。键⼊不带参数的，可以查看所有⽤户，包括已经禁⽤的。下⾯分别讲解。

net user

1net user abcd 1234 /addabcd1234user

，，新建⼀个⽤户名为，密码为的帐户，默认为组成员。

2net user abcd /delabcd

，，将⽤户名为的⽤户删除。

3net user abcd /active:noabcd

，，将⽤户名为的⽤户禁⽤。

4net user abcd /active:yesabcd

，，激活⽤户名为的⽤户。

5net user abcdabcd

，，查看⽤户名为的⽤户的情况

net localgroup net localgroup

查看所有和⽤户组有关的信息和进⾏相关操作。键⼊不带参数的即列出当前所有的⽤户组。在⼊侵过程中，我

们⼀般利⽤它来把某个帐户提升为组帐户，这样我们利⽤这个帐户就可以控制整个远程主机了。

administrator

net time

这个命令可以查看远程主机当前的时间。如果你的⽬标只是进⼊到远程主机⾥⾯，那么也许就⽤不到这个命令了。但简单的⼊侵成功了，难

道只是看看吗？我们需要进⼀步渗透。这就连远程主机当前的时间都需要知道，因为利⽤时间和其他⼿段（后⾯会讲到）可以实现某个命令

和程序的定时启动，为我们进⼀步⼊侵打好基础。⽤法：。

net time IP

DOSat

命令

这个命令的作⽤是安排在特定⽇期或时间执⾏某个特定的命令和程序（知道的重要了吧？）。当我们知道了远程主机的当前时间，

net time

就可以利⽤此命令让其在以后的某个时间（⽐如分钟后）执⾏某个程序和命令。⽤法：。

2at time command computer

表⽰在点分时，让名称为的计算机开启服务（这⾥即为开启服务的命令）。

655a-01telnetnet start telnettelnet

DOSftp

命令

⾸先在命令⾏键⼊回车，出现的提⽰符，这时候可以键⼊来查看帮助（任何命令都可以使⽤此⽅法查看其帮助）。

ftpftp“help”DOS

⾸先是登陆过程，这就要⽤到了，直接在的提⽰符下输⼊主机端⼝回车即可，⼀般端⼝默认都是，可以不写。接着就

openftp“open IP ftp”21

是输⼊合法的⽤户名和密码进⾏登陆了，这⾥以匿名为例介绍。

ftp

⽤户名和密码都是，密码是不显⽰的。当提⽰

ftp*** logged in时，就说明登陆成功。这⾥因为是匿名登陆，所以⽤户显⽰为Anonymous。 接

下来就要介绍具体命令的使⽤⽅法了。

dir 跟DOS命令⼀样，⽤于查看服务器的⽂件，直接敲上dir回车，就可以看到此ftp服务器上的⽂件。

cd 进⼊某个⽂件夹。

get 下载⽂件到本地机器。

put 上传⽂件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了，如果可以，呵呵，该怎么 利⽤就不多说了，⼤家就⾃由发挥

去吧。

delete 删除远程ftp服务器上的⽂件。这也必须保证你有可写的权限。

bye 退出当前连接。

quit 同上。

DOS命令telnet

功能强⼤的远程登陆命令，⼏乎所有的⼊侵者都喜欢⽤它，屡试不爽。为什么？它操作简单，如同使⽤⾃⼰的机器⼀样，只要你熟悉DOS命

令，在成功以administrator⾝份连接了远程机器后，就可以⽤它来**想⼲的⼀切了。下⾯介绍⼀下使⽤⽅法，⾸先键⼊telnet回车，再键⼊

help查看其帮助信息。

然后在提⽰符下键⼊open IP回车，这时就出现了登陆窗⼝，让你输⼊合法的⽤户名和密码，这⾥输⼊任何密码都是不显⽰的。

当输⼊⽤户名和密码都正确后就成功建⽴了telnet连接，这时候你就在远程主机上具有了和此⽤户⼀样的权限，利⽤DOS命令就可以实现你

想⼲的事情了。这⾥我使⽤的超级管理员权限登陆的。

DOS命令字符应⽤

DOS命令单符号

【~】

①在for中表⽰使⽤增强的变量扩展。

②在%var:~n,m%中表⽰使⽤扩展环境变量指定位置的字符串。

③在set/a中表⽰⼀元运算符，将操作数按位取反。

【！】

①在set /a中⼀元运算符，表⽰逻辑⾮。⽐如set /a a=!0，这时a就表⽰逻辑1。

【@】

① 隐藏命令⾏本⾝的回显，常⽤于批处理中。

【$】

①在findstr命令⾥⾯表⽰⼀⾏的结束。

②在prompt命令⾥⾯，表⽰将其后的字符转义（符号化或者效果化）。

【%】

①在set /a中的⼆元运算符，表⽰算术取余。

② 命令⾏环境下，在for命令in前，后⾯接⼀个字符（可以是字母、数字或者⼀些特定字符），表⽰指定⼀个循环或者遍历指标变量。

③ 批处理中，后接⼀个数字表⽰引⽤本批处理当前执⾏时的指定的参数。

④ 其它情况下，%将会被脱去（批处理）或保留（命令⾏）

【^】

① 取消特定字符的转义作⽤，⽐如& | > < ! "等，但不包括%。⽐如要在屏幕显⽰⼀些特殊的字符，⽐如> >> | ^ &；等符号时，就可以在其前

⾯加⼀个后⾯的字符了，^，^|就是显⽰⼀个|字符了；

符号来显⽰这个就是显⽰⼀个

②在set/a中的⼆元运算符，表⽰按位异或。

③在findstr/r的[]中表⽰不匹配指定的字符集。

【&；】

① 命令连接字符。⽐如我要在⼀⾏⽂本上同时执⾏两个命令，就可以⽤&；命令连接这两个命令。

②在set/a中是按位与。

【

】

① "";cc.txt

代表任意个任意字符，就是我们通常所说的通配符⽐如想在盘的根⽬录查找盘根⽬录⾥所有的⽂本⽂件（），那么就可以输⼊命

令。

"dir c:*.txt"

②set /a

在中的⼆元运算符，表⽰算术乘法。

③findstr/r

在中表⽰将前⼀个字符多次匹配。

【】

-

① fortokens

范围表⽰符，⽐如⽇期的查找，命令⾥的操作中就可以⽤到这个字符。

②findstr/r

在中连接两个字符表⽰匹配范围。

③ -/

跟在某些命令的后表⽰取反向的开关。

④set /a

在中：

1.

表⽰⼀个负数。

2.

表⽰算术减运算。

【】

+

① copy+

主要是在命令⾥⾯会⽤到它，表⽰将很多个⽂件合并为⼀个⽂件，就要⽤到这个字符了。

②set/a

在中的⼆元运算符，表⽰算术加法。

【：】

① goto":begin""goto

标签定位符，表⽰其后的字符串为以标签，可以作为命令的作⽤对象。⽐如在批处理⽂件⾥⾯定义了⼀个标签，⽤

begin"":begin"

命令就可以转到标签后⾯来执⾏批处理命令了。

②%var:string1=string2%

在中分隔变量名和被替换字串关系。

【】

|

① ."dir /a/b |more"dir

管道符，就是将上⼀个命令的输出，作为下⼀个命令的输⼊就可以逐屏的显⽰命令所输出的信息。

②set/a

在中的⼆元运算符，表⽰按位或。

③

在帮助⽂档中表⽰其前后两个开关、选项或参数是⼆选⼀的。

【】

/

① "dir /s/b/a-d""dir"

表⽰其后的字符（串）是命令的功能开关（选项）。⽐如表⽰命令指定的不同的参数。

②set/a

在中表⽰除法。

【；】

>

①

命令重定向符，

echo >d:

唐⼭味⼉不浓欢迎你；写⼊⽂本到指定⽂件（如果⽂件存在则替换）

②findstr/r

在中表⽰匹配单词的右边界，需要配合转义字符使⽤。

【；】

<

①

将其后⾯的⽂件的内容作为其前⾯命令的输⼊。

②findstr/r

在中表⽰匹配单词的左边界，需要配合转义字符使⽤。

【】

=

① "set a=windows""windows""a"

赋值符号，⽤于变量的赋值。⽐如的意思意思是将这个字符串赋给变量。

②set/a"set /a x=5-65"。

在中表⽰算术运算，⽐如

【】

① 这个""符号在有的情况下，代表的是当前路径的根⽬录.⽐如当前⽬录在c:windowssystem32下，那么你"dir "的话，就相当与"dir c:"。

②在findstr/r中表⽰正则转义字符。

【，】

①在set /a中表⽰连续表达式的分割符。

② 在某些命令中分割元素。

【.】

① 在路径的后紧跟或者单独出现时：

⼀个.表⽰当前⽬录。

两个.表⽰上⼀级⽬录。

② 在路径中的⽂件名中出现时：

最后的⼀个.表⽰主⽂件名与扩展⽂件名的分隔。

【?】

①在findstr/r中表⽰在此位置匹配⼀个任意字符。

② 在路径中表⽰在此位置通配任意⼀个字符。

③ 紧跟在/后表⽰获取命令的帮助⽂档。

DOS命令多符号

【&&；】

① 连接两个命令，当&&；前的命令成功时，才执⾏&&；后的命令。

【||】

① 连接两个命令，当||前的命令失败时，才执⾏||后的命令。

【>&；】

① 将⼀个句柄的输出写⼊到另⼀个句柄的输⼊中。

【<&；】

① 从⼀个句柄读取输⼊并将其写⼊到另⼀个句柄输出中。

【%%】

① 两个连续的%表⽰在预处理中脱为⼀个%。

② 批处理中，在for语句的in⼦句之前，连续两个%紧跟⼀个字符（可以是字母、数字和⼀些特定字符），表⽰指定⼀个循

环或者遍历指标变量。

③ 批处理中，在for语句中，使⽤与in之前指定的指标变量相同的串，表⽰引⽤这个指标变量。

【>>；】

① 命令重定向符，将其前⾯的命令的输出结果追加到其后⾯。

参数：命令+ >> +写⼊路径⽂件名

netstat -an >>d: ；即追随‘’的尾端继续写⼊‘netstat -an’命令输出结果

②在set /a中的⼆元运算符，表⽰逻辑右移。

【】

①在if命令中判断两边的元素是否相同。

【<<；】

①在set /a中的⼆元运算符，表⽰逻辑左移。

【+=】

①在set /a中的⼆元运算符。例如set /a a+=b表⽰将a加上b的结果赋值给a。

【-=】

①在set /a中的⼆元运算符。例如set /a a-=b表⽰将a减去b的结果赋值给a。

【=

】

①set /aset /a a=b表⽰将a乘以b的结果赋值给a。

在中的⼆元运算符。例如

【/=】

①在set /a中的⼆元运算符。例如set /a a/=b表⽰将a加上b的结果赋值给a。

【%=】

①在set /a中的⼆元运算符。例如set /a a%=b表⽰将a除以b的余数赋值给a。

注：命令⾏可以直接⽤ set /a a%=b ，在批处理⾥⾯可以⽤ set /a a%%=b。

【^=】

①在set /a中的⼆元运算符。例如set /a a"^="b表⽰将a与b按位异的结果赋值给a。

注：这⾥ "^=" 加引号是为了防⽌^被转义，下同。

【&=】

①在set /a中的⼆元运算符。例如set /a a"&="b表⽰将a与b按位与的结果赋值给a。

【|=】

①在set /a中的⼆元运算符。例如set /a a"|="b表⽰将a与b按位或的结果赋值给a。

【<<=】

①在set /a中的⼆元运算符。例如set /a a"<<="b表⽰将a按位左移b位的结果赋值给a。

【>>=】

①在set /a中的⼆元运算符。例如set /a a">>="b表⽰将a按位右移b位的结果赋值给a。

【<；】

①在findstr的⼀般表达式中表⽰字的开始处。

【>；】

①在findstr的⼀般表达式中表⽰字的结束处。

【！！】

① 当启⽤变量延迟时，使⽤！！将变量名扩起来表⽰对变量值的引⽤。

【' '】

①在for/f中表⽰将它们包含的内容当作命令⾏执⾏并分析其输出。

②在for/f "usebackq"中表⽰将它们包含的字符串当作字符串分析。

【（）】

① 命令包含或者是具有优先权的界定符，⽐如for命令要⽤到这个（），我们还可以在if，echo等命令中见到它的⾝影。

②在set /a中表⽰表达式分组。

【" "】

① 界定符，在表⽰带有空格的路径时常要⽤""来将路径括起来，在⼀些命令⾥⾯也需要" "符号。

②在for/f中将表⽰它们包含的内容当作字符串分析。

③在for/f "usebackq"表⽰它们包含的内容当作⽂件路径并分析其⽂件的内容。

④ 在其它情况下表⽰其中的内容是⼀个完整的字符串，其中的>；、>>；、<；、&；、|、空格等不再转义。

【】

①在for/f中表⽰它们所包含的内容当作命令⾏执⾏并分析它的输出。

【[ ]】

① 在帮助⽂档表⽰其中的开关、选项或参数是可选的。

②在findstr /r中表⽰按其中指定的字符集匹配

按住shift可少量输⼊⼤写字母，？+？键表⽰先按住前⼀个键，同时按第⼆个键。

ctrl+sc或ctrl+num lock 暂停以便观察屏幕显⽰，在按⼀次继续。

ctrl+c或ctrl+break 终⽌程序运⾏，返回操作系统。

DOS命令程序进程

ntsd 是⼀条dos命令，功能是⽤于结束⼀些常规下结束不了的死进程。

⽤法为打开cmd 后输⼊以下命令就可以结束进程：

⽅法⼀：利⽤进程的PID结束进程

命令格式：ntsd -c q -p pid

命令范例：ntsd -c q -p 1332 （结束进程）

范例详解：的pid为1332，但是如何获取进程的pid呢？在CMD下输⼊TASKLIST就可以获取当前任务管理器所有进程的PID

⽅法⼆：利⽤进程名结束进程

命令格式：ntsd -c q -pn .exe .exe 为进程名，exe不能省）

（

命令范例：ntsd -c q -pn

另外的能结束进程的DOS命令还有taskkill：

命令格式：taskkill /pid 1234 /f （ 也可以达到同样的效果。）

如果上⾯这些还不能满⾜您的求知欲，下⾯还有：

ntsd详解

有⼀些⾼等级的进程，tskill和taskkill或许⽆法结束，那么我们还有⼀个更强⼤的⼯具，那就是系统debug

级的ntsd.准确的说，ntsd是⼀个

系统调试⼯具，只提供给系统开发级的管理员使⽤，但是对我们杀掉进程还是很爽的.基本上除了WINDOWS系

统⾃⼰的管理进程，ntsd都可以杀掉.

当然咯，有些rootkit级别的超级⽊马，还是⽆能为⼒，幸好这种⽜⽜级别的⽊马还是很少的.

NTSD 调试程序在启动时要求⽤户指定⼀个要连接的进程。使⽤ TLIST 或 PVIEWER，您可以获得某个现有

进程的进程 ID，然后键⼊ NTSD -p pid 来调试这个进程。NTSD 命令⾏使⽤如下的句法：

NTSD [options] imagefile

其中，imagefile 是要调试的映像名称，options 是下⾯选项之⼀：

选项说明-2打开⼀个⽤于调试字符模式的应⽤程序的新窗⼝-d将输出重定向到调试终端-g 使执⾏⾃动通

过第⼀个断点-G使 NTSD 在⼦程序终⽌时⽴即退出o启⽤多个进程的调试，默认值为由调试程序衍⽣的⼀

个进程-p指定调试由进程 ID 标识的进程-v产⽣详细的输出

例如，假设 的进程 ID 为 104。键⼊以下命令将 NTSD 调试程序连接到 inetinfo 进程

（IIS）。

NTSD -p 104

也可使⽤ NTSD 启动⼀个新进程来进⾏调试。例如，NTSD 将启动⼀个新的 进

程，并与它建⽴连接。

⼀旦连接到某个进程，您就可以⽤各种命令来查看堆栈、设置断点、转储内存，等等。

命令含义~显⽰所有线程的⼀个列表KB 显⽰当前线程的堆栈轨迹~*KB显⽰所有线程的堆栈轨迹R显⽰当前

帧的寄存器输出U反汇编代码并显⽰过程名和偏移量D转储内存BP设置断点BC清除⼀个或多个断点BD禁⽤⼀个或多个断点BE启⽤⼀个或多

个断点BL列出⼀个或多个断点

个⼈意见，有⼀个⾮常重要的参数就是-v参数，我们可以通过它发现⼀个进程下⾯挂接了哪些连接库⽂件.

有很多病毒，⽊马，或者恶意软件，都喜欢把⾃⼰做成动态库，然后注册到系统正常程序的加载库列表中，达

到隐藏⾃⼰的⽬的.

⾸先我们需要设置⼀下ntsd的输出重定向，最好是重定向到⼀个⽂本⽂件，⽅便我们分析研究.

c:>set _NT_DEBUG_LOG_FILE_APPEND=c:

注意，虽然输出重定向了，但是我们的输出依然会继续显⽰在屏幕上，⽽且会进⼊到debug模式，我们使⽤-c

q参数，就可以避免这个问题.

c:>ntsd -c q -v

现在我们的⽂件中，就可以看见⽂件的调试信息.

ntsd使⽤以下参数杀死进程.

c:>ntsd -c q -p PID 只要你能提供进程的PID，那么你就可以⼲掉进程.

我们知道，Windows的任务管理器是我们了解当前计算机运⾏了哪些程序的有利⼯具，那么如何打开这个任务管理器呢？在实际使⽤中通常

有两种⽅法：⼀是按下键盘上的Ctrl+Alt+Del就可以打开任务管理器；⼆是⿏标移到任务栏上空⽩处，右键→选择任务管理器即打开任务管理

器。但是，有时候电脑中病毒后，病毒会禁⽤任务管理器，这个时候怎么办呢？请往下看。

这个时候我们就要采⽤更专业的⽅法来打开任务管理器，即采⽤命令提⽰符的⽅式，下⾯教⼤家如何使⽤命令提⽰符打开任务管理器，以及

如何利⽤命令来关闭相关进程。

1、⽤命令提⽰符（cmd）打开任务管理器查看进程⽅法

开始→运⾏→cmd，然后在命令提⽰符窗⼝中输⼊Tasklist就可以查看计算机当前的进程了。

2、⽤命令提⽰符（cmd）终⽌某个进程的⽅法

在这⾥⽤举例的⽅法来说明问题，假如要中⽌当前进程中的记事本进程，即可采⽤下列命令：

taskkill /f /im

如果你知道了要终⽌的进程pid值（通过任务管理器可以看出每个进程的pid值），⽐如是100，就可以采⽤下列命令：

ntsd -c q -p 100 或者 taskkill /f /pid 100

⼩贴⼠：清除U盘病毒

1、按“WIN+R”打开“运⾏”窗⼝，输⼊“CMD”命令，按确定，打开命令提⽰符窗⼝。

2、在命令提⽰符窗⼝中切换到U盘所在盘符或是中了病毒的盘符下，依次执⾏命令：attrib -S -H -R 按回车。

3、再次执⾏命令：del 按回车即可

Loading [MathJax]/jax/output/HTML-CSS/fonts/TeX/