Windows tasklist命令详解,Windows查看进程

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

tasklist 可以查看当前运行的进程。

  • /FI:筛选器。根据PID、进程名等操作符过滤进程。
  • /M:查看进程调用的DLL模块。指定DLL名,可以过滤调用指定DLL模块的进程。
  • /SVC:查看进程对应的服务。
  • /V:显示详细信息。
  • /NH:不显示第一行的列名。
  • /FO:指定输出格式。TABLE表格格式(默认);LIST列表格式;CSV文本数据格式。
  • /S:连接到指定计算机,默认本机。
  • /u:指定使用该命令的用户。
  • /P:指定用户密码。

tasklist

1、基本使用

执行 tasklist 不加参数默认以TABLE表格格式输出,从左到右依次是进程名、进程ID、会话、会话ID、内存使用大小。通常我们只看左边的进程名和进程ID就够了。

tasklist /v 可以显示所有字段。

2、执行原理

Windows系统的命令本质上都是「可执行程序」,默认存放在 C:\Windows\System32 目录下, tasklist 命令对应的便是 tasklist.exe 文件

当我们执行 tasklist 命令时,本质上就是执行了 tasklist.exe 这个程序.因此,当我们在命令行输入 tasklist.exe 时,执行的结果也是一样的。

2.1、tasklist命令无法使用

你能在任意目录都执行这个命令,是因为 system32 这个目录被配置到了「环境变量」里。

当你执行了一个没有完整路径的程序时,如果「当前路径」下没有同名的可执行文件,就会到环境变量里去找。

比如我再当前目录下新建一个 tasklist.exe 文件,他就执行我的这个文件,而不是执行系统的tasklist命令。

当你的系统提示你没有这个命令或无法使用时,可以到环境变量里检查下 system32 目录有没有加到环境变量里,或者 system32 目录下还有没有这个命令的文件。

3、筛选器

/FI 参数可以指定筛选器,筛选器配合运算符实现过滤查询、模糊匹配。

筛选器 可用的运算符
STATUS eq,ne RUNNING、SUSPENDED、NOT RESPONDING、UNKNOWN
IMAGENAME eq,ne 进程名称
PID eq,ne,gt,lt,ge,le 进程ID
SESSION eq,ne,gt,lt,ge,le 会话ID
SESSIONNAME eq,ne 会话名称
CPUTIME eq,ne,ge,lt,ge,le CPU时间。格式 hh:mm:ss,即时:分:秒
MEMUSAGE eq,ne,ge,lt,ge,le 内存使用大小,单位KB
USERNAME eq,ne 用户名。格式 [域]用户
SERVICES eq,ne 服务名
WINDOWTITLE eq,ne 窗口标题

运算符含义:

  • eq(equal):等于。
  • ne(not equal):不等于。
  • gt(greater than):大于。
  • lt(less than):小于
  • ge(greater than or equal):大于等于。
  • le(less than or equal):小于等于。

3.1、根据PID查找进程

tasklist /FI "PID eq 996" 查找PID等于996的进程。

3.2、根据进程名查找进程

tasklist /FI "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名,少个后缀都搜不到。

3.3、查看指定用户运行的进程

tasklist /FI "username eq administrator" /v 查看administrator用户运行的进程。

3.4、查看资源占用高的进程

tasklist /FI "cputime gt 0:00:30" /v 查看CPU使用超过30秒的进程

排查资源占用时,通常会用任务管理器。可以按CPU、内存使用大小排序。

4、分页查看

内容太多看起来不方便,用 tasklist | more 分页查看。

根据当前窗口大小显示一页,回车下一行、空格下一页、Ctrl+C退出查看。

5、查看进程调用的DLL模块

tasklist /m 查看进程调用的DLL模块。

5.1、查看调用指定DLL模块的进程

tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。

6、查看进程文件位置

查看cmd.exe进程的文件路径。

bash 复制代码
wmic process where name="cmd.exe" get processid,name,executablepath 
相关推荐
阿龟在奔跑41 分钟前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang1 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang1 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
Yang.991 小时前
基于Windows系统用C++做一个点名工具
c++·windows·sql·visual studio code·sqlite3
好想打kuo碎1 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
网络安全-老纪1 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
ZHOU_WUYI1 小时前
3.langchain中的prompt模板 (few shot examples in chat models)
人工智能·langchain·prompt
周全全1 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php
我不瘦但很逗1 小时前
Windows下使用DBeaver连接云数据库(MySQL)
数据库·windows