ntsd.exe是一款專門為Win7系統(tǒng)打造的進程終止軟件，該軟件可以用于強制結(jié)束進程，功能非常強大，用于那些強行結(jié)束的某個比較頑固的進程來說非常好用，除了Windows系統(tǒng)自己的管理進程，其他的都可以殺掉。

【使用方法】

　　NTSD（Microsoft Windows NT Symbolic/Systems Debugger）是Windows 2000（Microsoft Windows XP）默認安裝的一個調(diào)試器。這其實是一個命令行版本的WinDBG，功能上稍微縮了一點水，但是對一般的調(diào)試來說是足夠用了。
　　usage: NTSD [-v] [-2] [-d] [-o] [-g] [-G] [-w] [-lines]
　　[-aDllName] [-s] [-r BreakErrorLevel] [-t PrintErrorLevel]
　　[-hd] [-x | -xd [except#] | -xe [except#]] [-e] [-z]
　　[-- | -p pid | command-line]
　　where: -? displays this help text
　　-aDllName sets the default extension DLL
　　-c executes the following debugger command
　　指定要執(zhí)行的調(diào)試命令，多個命令之間用“;”分隔
　　-d sends all debugger output to kernel debugger via DbgPrint
　　-g ignores initial breakpoint in debuggee
　　-G ignores final breakpoint at process termination
　　-hd disables heap manager validity checking
　　-i ignores AV generated by loader fixups on pre3.51 systems
　　-lines requests that line number information be used if present
　　-netsyms:{yes|no} allow or disallow loading symbols from a network path
　　-o debugs all processes launched by debuggee
　　-r specifies the (0-3) error level to break on (SeeSetErrorLevel)
　　-s disables lazy symbol loading
　　-t specifies the (0-3) error level to display (SeeSetErrorLevel)
　　-v enables verbose output from debugger
　　-n enables verbose output from symbol handler
　　-w specifies to debug 16 bit applications in a separate VDM
　　-x disables break on AV exceptions
　　-xd disables stopping on specified exception
　　-xe enables stopping on specified exception
　　-z reserved for OS/2 debugging
　　-2 creates a separate console window for debuggee
　　對于控制臺程序，將輸出定向到另一個窗口而不在NTSD窗口顯示
　　-- is the same as -G -g -o -p -1
　　-p pid specifies the decimal process Id to attach to
　　指定要調(diào)試的進程號，用于調(diào)試已經(jīng)運行的程序
　　command-line is the command to run under the debugger
　　Environment Variables:
　　_NT_SYMBOL_PATH=[Drive:][Path]
　　Specify symbol image path. (Default = %SystemRoot%)
　　_NT_ALT_SYMBOL_PATH=[Drive:][Path]
　　Specify an alternate symbol image path.
　　_NT_DEBUG_EXTENSIONS=dllname(s)
　　If specified, it is a semi-colon separated list of debugger extension DLL names
　　This specifies the search order when resolving debugger extension commands
　　A [<address>] - assemble
　　在指定地址輸入?yún)R編語句
　　BC[<bp>] - clear breakpoint(s)
　　清除斷點
　　BD[<bp>] - disable breakpoint(s)
　　禁用斷點
　　BE[<bp>] - enable breakpoint(s)
　　啟用斷點
　　BL[<bp>] - list breakpoint(s)
　　列出斷點
　　BP[#] <address> - set breakpoint
　　設(shè)斷點
　　C <range> <address> - compare
　　比較地址
　　D[type][<range>] - dump memory
　　顯示指定內(nèi)存范圍
　　E[type] <address> [<list>] - enter
　　在指定地址輸入數(shù)據(jù)
　　F <range> <list> - fill
　　在指定內(nèi)存段填充數(shù)據(jù)
　　G [=<address> [<address>...]] - go
　　運行到某個地址
　　J<expr> [']cmd1['];[']cmd2['] - conditional execution
　　條件執(zhí)行
　　K <count> - stacktrace
　　堆?；厮?br /> 　　KB = <base> <stack> <ip> - stacktrace from specific state
　　L{+|-}[lost*] - Control source options
　　LN <expr> - list near
　　參數(shù)為地址或者函數(shù)，顯示距離參數(shù)中指定地址或者函數(shù)最近的函數(shù)
　　LS[.] [<first>][,<count>] - List source file lines
　　LSA <addr>[,<first>][,<count>] - List source file lines at addr
　　LSC - Show current source file and line
　　LSF[-] <file> - Load or unload a source file for browsing
　　M <range> <address> - move
　　N [<radix>] - set / show radix
　　P[R] [=<addr>] [<value>] - program step
　　單步執(zhí)行
　　Q - quit
　　#R - multiprocessor register dump
　　多處理器環(huán)境下顯示寄存器
　　R[F][L][M <expr>] [[<reg> [= <expr>]]] - reg/flag
　　顯示寄存器
　　Rm[?] [<expr>] - Control prompt register output mask
　　S <range> <list> - search
　　在指定地址范圍內(nèi)搜尋字符串
　　0:000> s 77df0000 77e4c000 ff e4 //從user32的空間中找jmp esp
　　77e22c29
　　0:000> s 77df0000 77e4c000 'W' 'I' 'N' 'N' 'T' //搜索字符串“WINNT”
　　SS <n | a | w> - set symbol suffix
　　SX [e|d [<event>|*|<expr>]] - exception
　　T[R] [=<address>] [<expr>] - trace
　　U [<range>] - unassemble
　　顯示反匯編語句，同softice的U命令
　　X [<*|module>!]<*|symbol> - view symbols
　　顯示符號，支持通配符，類似于softice的exp命令
　　0:000> x user32!* //顯示user32的所有符號
　　…………
　　0:000> x user32!ws* //顯示user32的所有以ws開頭的符號
　　77dffa68 USER32!wsprintfW
　　77e0014a USER32!wsprintfA
　　.logopen [<file>] - open new log file
　　指定日志文件，開啟屏幕記錄非常有用的功能
　　.logappend [<file>] - append to log file
　　添加到已存在的日志文件
　　.logclose - close log file
　　停止記錄
　　~ - list threads status
　　顯示線程狀態(tài)
　　~#s - set default thread
　　設(shè)置默認線程
　　~[.|#|*|ddd]f - freeze thread
　　~[.|#|ddd]k[expr] - backtrace stack
　　堆棧追蹤
　　| - list processes status
　　顯示進程狀態(tài)
　　|#s - set default process
　　設(shè)置默認進程
　　|#<command> - default process override
　　? <expr> - display expression
　　顯示地址或者符號信息
　　0:000> ? wsprintfA
　　Evaluate expression: 2011169098 = 77e0014a
　　0:000> ? eip
　　Evaluate expression: 2012813324 = 77f9180c
　　#<string> [address] - search for a string in the dissasembly
　　反匯編指定地址，但是只輸出一行語句
　　$< <filename> - take input from a command file
　　從文件取得要輸入的命令
　　<expr> ops: + - * / not by wo dw poi mod(%) and(&) xor(^) or(|) hi low
　　operands: number in current radix, public symbol, <reg>
　　<type> : b (byte), w (word), d[s] (doubleword [with symbols]),
　　a (ascii), c (dword and Char), u (unicode), l (list)
　　f (float), D (double), s|S (ascii/unicode string)
　　q (quadword)
　　: [(nt | <dll-name>)!]<var-name> (<var-name> can include ? and *)
　　<event> : ct, et, ld, av, cc
　　<radix> : 8, 10, 16
　　<reg> : $u0-$u9, $ea, $exp, $ra, $p
　　<addr> : %<32-bit address>
　　<range> : <address> <address>
　　: <address> L <count>
　　<list> : <byte> [<byte> ...]
　　User-mode options:
　　i386 options:
　　BA[#] <e|r|w|i><1|2|4> <addr> - addr bp
　　<reg> : [e]ax, [e]bx, [e]cx, [e]dx, [e]si, [e]di, [e]bp, [e]sp, [e]ip, [e]fl,
　　al, ah, bl, bh, cl, ch, dl, dh, cs, ds, es, fs, gs, ss
　　fpcw, fpsw, fptw, st0-st7, mm0-mm7
　　<flag> : iopl, of, df, if, tf, sf, zf, af, pf, cf
　　<addr> : #<16-bit protect-mode [seg:]address>,
　　&<V86-mode [seg:]address>
　　NTSD還支持一些很有用的命令，但是不知為什么幫助中卻沒有提，這里也列出來：
　　KD [<count>] - stack trace with raw data
　　raw模式堆棧回溯
　　SQ - set quiet mode
　　設(shè)置安靜模式，運行一次打開，再運行則關(guān)閉
　　LD [<module>] - refresh module information
　　重新載入
　　LM list modules
　　列出進程加載的所有模塊信息
　　DL <address> <maxcount> <size> - dump linked list
　　NTSD支持的表達式和WinDBG差不多是一樣的，MASM的語法。
　　系統(tǒng)自帶的NTSD也支持部分擴展命令，如：
　　!peb
　　!teb
　　英文版本
　　進程文件: ntsd.exe or ntsd
　　進程名稱: Symbolic Debugger for Windows
　　描述:
　　ntsd.exe is a process belonging to the Microsoft symbolic debugger that enables you to debug user-mode applications. This program is a non-essential process, but should not be terminated unless suspected to be causing problems.
　　Recommendation for ntsd.exe:
　　ntsd.exe should not be disabled, required for essential applications to work properly.
　　Author: Microsoft
　　Part Of: Microsoft Windows Operating System
　　安全等級 (0-5): 0
　　間諜軟件: No
　　病毒: No ( Remove ntsd.exe )
　　木馬: No ( Remove ntsd.exe )
　　Memory Usage: N/A
　　System Process: Yes
　　Background Process: No
　　Uses Network: No
　　Hardware Related: No
　　Common ntsd.exe Errors: N/A

【問題描述編輯】

　　出現(xiàn)提示缺少exe文件問題的大部分原因是因該文件被木馬病毒破壞導(dǎo)致系統(tǒng)程序找不到此文件，出現(xiàn)錯誤提示框，或程序無法運行，解決此問題下載本站的exe文件，下載該文件后，找到適合程序的文件版本，復(fù)制到相應(yīng)目錄。即可解決。
　　1、Windows 95/98/Me系統(tǒng)，則復(fù)制到C:\WINdows\system32\ 目錄下。
　　2、Windows NT/2000系統(tǒng)，則復(fù)制到C:\WINNT\system32\ 目錄下。
　　3、Windows XP系統(tǒng)，則復(fù)制到C:\WINdows\system32\ 目錄下。
　　4、Windows 7/8系統(tǒng)，則復(fù)制到C:\WINdows\system32\目錄下。