Windows tasklist命令详解,Windows查看进程

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

tasklist 可以查看当前运行的进程。

  • /FI:筛选器。根据PID、进程名等操作符过滤进程。
  • /M:查看进程调用的DLL模块。指定DLL名,可以过滤调用指定DLL模块的进程。
  • /SVC:查看进程对应的服务。
  • /V:显示详细信息。
  • /NH:不显示第一行的列名。
  • /FO:指定输出格式。TABLE表格格式(默认);LIST列表格式;CSV文本数据格式。
  • /S:连接到指定计算机,默认本机。
  • /u:指定使用该命令的用户。
  • /P:指定用户密码。

tasklist

1、基本使用

执行 tasklist 不加参数默认以TABLE表格格式输出,从左到右依次是进程名、进程ID、会话、会话ID、内存使用大小。通常我们只看左边的进程名和进程ID就够了。

tasklist /v 可以显示所有字段。

2、执行原理

Windows系统的命令本质上都是「可执行程序」,默认存放在 C:\Windows\System32 目录下, tasklist 命令对应的便是 tasklist.exe 文件

当我们执行 tasklist 命令时,本质上就是执行了 tasklist.exe 这个程序.因此,当我们在命令行输入 tasklist.exe 时,执行的结果也是一样的。

2.1、tasklist命令无法使用

你能在任意目录都执行这个命令,是因为 system32 这个目录被配置到了「环境变量」里。

当你执行了一个没有完整路径的程序时,如果「当前路径」下没有同名的可执行文件,就会到环境变量里去找。

比如我再当前目录下新建一个 tasklist.exe 文件,他就执行我的这个文件,而不是执行系统的tasklist命令。

当你的系统提示你没有这个命令或无法使用时,可以到环境变量里检查下 system32 目录有没有加到环境变量里,或者 system32 目录下还有没有这个命令的文件。

3、筛选器

/FI 参数可以指定筛选器,筛选器配合运算符实现过滤查询、模糊匹配。

筛选器 可用的运算符
STATUS eq,ne RUNNING、SUSPENDED、NOT RESPONDING、UNKNOWN
IMAGENAME eq,ne 进程名称
PID eq,ne,gt,lt,ge,le 进程ID
SESSION eq,ne,gt,lt,ge,le 会话ID
SESSIONNAME eq,ne 会话名称
CPUTIME eq,ne,ge,lt,ge,le CPU时间。格式 hh:mm:ss,即时:分:秒
MEMUSAGE eq,ne,ge,lt,ge,le 内存使用大小,单位KB
USERNAME eq,ne 用户名。格式 [域]用户
SERVICES eq,ne 服务名
WINDOWTITLE eq,ne 窗口标题

运算符含义:

  • eq(equal):等于。
  • ne(not equal):不等于。
  • gt(greater than):大于。
  • lt(less than):小于
  • ge(greater than or equal):大于等于。
  • le(less than or equal):小于等于。

3.1、根据PID查找进程

tasklist /FI "PID eq 996" 查找PID等于996的进程。

3.2、根据进程名查找进程

tasklist /FI "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名,少个后缀都搜不到。

3.3、查看指定用户运行的进程

tasklist /FI "username eq administrator" /v 查看administrator用户运行的进程。

3.4、查看资源占用高的进程

tasklist /FI "cputime gt 0:00:30" /v 查看CPU使用超过30秒的进程

排查资源占用时,通常会用任务管理器。可以按CPU、内存使用大小排序。

4、分页查看

内容太多看起来不方便,用 tasklist | more 分页查看。

根据当前窗口大小显示一页,回车下一行、空格下一页、Ctrl+C退出查看。

5、查看进程调用的DLL模块

tasklist /m 查看进程调用的DLL模块。

5.1、查看调用指定DLL模块的进程

tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。

6、查看进程文件位置

查看cmd.exe进程的文件路径。

bash 复制代码
wmic process where name="cmd.exe" get processid,name,executablepath 
相关推荐
葡萄爱2 分钟前
OpenCV图像分割
人工智能·opencv·计算机视觉
www_3dyz_com28 分钟前
人工智能在VR展览中扮演什么角色?
人工智能·vr
刘不二34 分钟前
大模型应用—HivisionIDPhotos 证件照在线制作!支持离线、换装、美颜等
人工智能·开源
feilieren43 分钟前
AI 视频:初识 Pika 2.0,基本使用攻略
人工智能·ai视频
染指11101 小时前
50.第二阶段x86游戏实战2-lua获取本地寻路,跨地图寻路和获取当前地图id
c++·windows·lua·游戏安全·反游戏外挂·游戏逆向·luastudio
网安墨雨1 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
vortex51 小时前
Burp与其他安全工具联动及代理设置教程
网络·安全
开放知识图谱2 小时前
论文浅尝 | HippoRAG:神经生物学启发的大语言模型的长期记忆(Neurips2024)
人工智能·语言模型·自然语言处理
威化饼的一隅2 小时前
【多模态】swift-3框架使用
人工智能·深度学习·大模型·swift·多模态
dntktop2 小时前
Converseen:全能免费批量图像处理专家
windows