Windows tasklist命令详解，Windows查看进程

「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作《网络安全自学教程》，适合基础薄弱的同学系统化的学习网络安全，用最短的时间掌握最核心的技术。

tasklist 可以查看当前运行的进程。

1、基本使用

执行 tasklist 不加参数默认以TABLE表格格式输出，从左到右依次是进程名、进程ID、会话、会话ID、内存使用大小。通常我们只看左边的进程名和进程ID就够了。

tasklist /v 可以显示所有字段。

Windows系统的命令本质上都是「可执行程序」，默认存放在 C:\Windows\System32 目录下， tasklist 命令对应的便是 tasklist.exe 文件

当我们执行 tasklist 命令时，本质上就是执行了 tasklist.exe 这个程序.因此，当我们在命令行输入 tasklist.exe 时，执行的结果也是一样的。

你能在任意目录都执行这个命令，是因为 system32 这个目录被配置到了「环境变量」里。

当你执行了一个没有完整路径的程序时，如果「当前路径」下没有同名的可执行文件，就会到环境变量里去找。

比如我再当前目录下新建一个 tasklist.exe 文件，他就执行我的这个文件，而不是执行系统的tasklist命令。

当你的系统提示你没有这个命令或无法使用时，可以到环境变量里检查下 system32 目录有没有加到环境变量里，或者 system32 目录下还有没有这个命令的文件。

/FI 参数可以指定筛选器，筛选器配合运算符实现过滤查询、模糊匹配。

筛选器	可用的运算符	值
STATUS	eq，ne	RUNNING、SUSPENDED、NOT RESPONDING、UNKNOWN
IMAGENAME	eq，ne	进程名称
PID	eq，ne，gt，lt，ge，le	进程ID
SESSION	eq，ne，gt，lt，ge，le	会话ID
SESSIONNAME	eq，ne	会话名称
CPUTIME	eq，ne，ge，lt，ge，le	CPU时间。格式 hh:mm:ss，即时：分：秒
MEMUSAGE	eq，ne，ge，lt，ge，le	内存使用大小，单位KB
USERNAME	eq，ne	用户名。格式 [域]用户
SERVICES	eq，ne	服务名
WINDOWTITLE	eq，ne	窗口标题

运算符含义：

tasklist /FI "PID eq 996" 查找PID等于996的进程。

tasklist /FI "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名，少个后缀都搜不到。

tasklist /FI "username eq administrator" /v 查看administrator用户运行的进程。

tasklist /FI "cputime gt 0:00:30" /v 查看CPU使用超过30秒的进程

排查资源占用时，通常会用任务管理器。可以按CPU、内存使用大小排序。

内容太多看起来不方便，用 tasklist | more 分页查看。

根据当前窗口大小显示一页，回车下一行、空格下一页、Ctrl+C退出查看。

tasklist /m 查看进程调用的DLL模块。

tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。

查看cmd.exe进程的文件路径。

bash 复制代码

wmic process where name="cmd.exe" get processid,name,executablepath