讲解对象:tasklist
作用:显示计算机所有运行的进程
常见参数:
/S 连接的远程系统
/U 使用哪个用户执行这个命令
/P 用户指定密码
/M 列出调用指定的 DLL 模块的所有进程
/SVC 显示每个进程中的服务
/V 显示详述信息
/FI 显示一系列符合筛选器指定的进程
实例
1 查看所有进程
C:\Users\Administrator>tasklist
映像名称 PID 会话名 会话# 内存使用
========================= ======== ================ =========== ============
System Idle Process 0 Services 0 8 K
System 4 Services 0 24 K
Registry 96 Services 0 8,072 K
2 查看进程开启的服务
C:\Users\Administrator>tasklist /svc
映像名称 PID 服务
========================= ======== ============================================
services.exe 760 暂缺
lsass.exe 768 EFS, KeyIso, SamSs, VaultSvc
svchost.exe 880 PlugPlay
svchost.exe 904 BrokerInfrastructure, DcomLaunch, Power,
SystemEventsBroker
3 哪些进程调用了DLL模块
C:\Users\Administrator>tasklist /m
映像名称 PID 模块
========================= ======== ============================================
RAVBg64.exe 5668 暂缺
SynTPEnh.exe 5688 ntdll.dll, KERNEL32.DLL, KERNELBASE.dll
...
4 哪些进程调用了ntdll.dll模块
C:\Users\Administrator>tasklist /m ntdll.dll
映像名称 PID 模块
========================= ======== ============================================
SynTPEnh.exe 5688 ntdll.dll
sihost.exe 5948 ntdll.dll
svchost.exe 5988 ntdll.dll
5 筛选指定进程
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
6 远程计算机进程
tasklist /s srvmain /u yu\rsgz /p 123456 /nh
分析:
/s Computer 定远程计算机的名称或IP地址
/u Domain \ User 指定域\用户
/p Password 指定密码
/nh 抑制输出的列标题
|
