Windows tasklist命令详解,Windows查看进程

「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

tasklist 可以查看当前运行的进程。

  • /FI:筛选器。根据PID、进程名等操作符过滤进程。
  • /M:查看进程调用的DLL模块。指定DLL名,可以过滤调用指定DLL模块的进程。
  • /SVC:查看进程对应的服务。
  • /V:显示详细信息。
  • /NH:不显示第一行的列名。
  • /FO:指定输出格式。TABLE表格格式(默认);LIST列表格式;CSV文本数据格式。
  • /S:连接到指定计算机,默认本机。
  • /u:指定使用该命令的用户。
  • /P:指定用户密码。

tasklist

1、基本使用

执行 tasklist 不加参数默认以TABLE表格格式输出,从左到右依次是进程名、进程ID、会话、会话ID、内存使用大小。通常我们只看左边的进程名和进程ID就够了。

tasklist /v 可以显示所有字段。

2、执行原理

Windows系统的命令本质上都是「可执行程序」,默认存放在 C:\Windows\System32 目录下, tasklist 命令对应的便是 tasklist.exe 文件

当我们执行 tasklist 命令时,本质上就是执行了 tasklist.exe 这个程序.因此,当我们在命令行输入 tasklist.exe 时,执行的结果也是一样的。

2.1、tasklist命令无法使用

你能在任意目录都执行这个命令,是因为 system32 这个目录被配置到了「环境变量」里。

当你执行了一个没有完整路径的程序时,如果「当前路径」下没有同名的可执行文件,就会到环境变量里去找。

比如我再当前目录下新建一个 tasklist.exe 文件,他就执行我的这个文件,而不是执行系统的tasklist命令。

当你的系统提示你没有这个命令或无法使用时,可以到环境变量里检查下 system32 目录有没有加到环境变量里,或者 system32 目录下还有没有这个命令的文件。

3、筛选器

/FI 参数可以指定筛选器,筛选器配合运算符实现过滤查询、模糊匹配。

筛选器 可用的运算符
STATUS eq,ne RUNNING、SUSPENDED、NOT RESPONDING、UNKNOWN
IMAGENAME eq,ne 进程名称
PID eq,ne,gt,lt,ge,le 进程ID
SESSION eq,ne,gt,lt,ge,le 会话ID
SESSIONNAME eq,ne 会话名称
CPUTIME eq,ne,ge,lt,ge,le CPU时间。格式 hh:mm:ss,即时:分:秒
MEMUSAGE eq,ne,ge,lt,ge,le 内存使用大小,单位KB
USERNAME eq,ne 用户名。格式 [域]用户
SERVICES eq,ne 服务名
WINDOWTITLE eq,ne 窗口标题

运算符含义:

  • eq(equal):等于。
  • ne(not equal):不等于。
  • gt(greater than):大于。
  • lt(less than):小于
  • ge(greater than or equal):大于等于。
  • le(less than or equal):小于等于。

3.1、根据PID查找进程

tasklist /FI "PID eq 996" 查找PID等于996的进程。

3.2、根据进程名查找进程

tasklist /FI "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名,少个后缀都搜不到。

3.3、查看指定用户运行的进程

tasklist /FI "username eq administrator" /v 查看administrator用户运行的进程。

3.4、查看资源占用高的进程

tasklist /FI "cputime gt 0:00:30" /v 查看CPU使用超过30秒的进程

排查资源占用时,通常会用任务管理器。可以按CPU、内存使用大小排序。

4、分页查看

内容太多看起来不方便,用 tasklist | more 分页查看。

根据当前窗口大小显示一页,回车下一行、空格下一页、Ctrl+C退出查看。

5、查看进程调用的DLL模块

tasklist /m 查看进程调用的DLL模块。

5.1、查看调用指定DLL模块的进程

tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。

6、查看进程文件位置

查看cmd.exe进程的文件路径。

bash 复制代码
wmic process where name="cmd.exe" get processid,name,executablepath 
相关推荐
AIGC大时代44 分钟前
方法建议ChatGPT提示词分享
人工智能·深度学习·chatgpt·aigc·ai写作
糯米导航1 小时前
ChatGPT Prompt 编写指南
人工智能·chatgpt·prompt
金融OG1 小时前
99.8 金融难点通俗解释:净资产收益率(ROE)
大数据·python·线性代数·机器学习·数学建模·金融·矩阵
Damon小智1 小时前
全面评测 DOCA 开发环境下的 DPU:性能表现、机器学习与金融高频交易下的计算能力分析
人工智能·机器学习·金融·边缘计算·nvidia·dpu·doca
XLYcmy1 小时前
三篇物联网漏洞挖掘综述
论文阅读·物联网·网络安全·静态分析·漏洞挖掘·动态分析·固件
工业甲酰苯胺1 小时前
深入解析 Spring AI 系列:解析返回参数处理
javascript·windows·spring
赵孝正1 小时前
特征选择(机器学习)
人工智能·机器学习
QQ_7781329741 小时前
Pix2Pix:图像到图像转换的条件生成对抗网络深度解析
人工智能·神经网络
慵懒的猫mi1 小时前
deepin分享-Linux & Windows 双系统时间不一致解决方案
linux·运维·windows·mysql·deepin