Windows tasklist命令详解，Windows查看进程

news2024/9/19 15:15:21

「作者简介」：冬奥会网络安全中国代表队，CSDN Top100，就职奇安信多年，以实战工作为基础著作《网络安全自学教程》，适合基础薄弱的同学系统化的学习网络安全，用最短的时间掌握最核心的技术。

在这里插入图片描述

tasklist 可以查看当前运行的进程。

/FI：筛选器。根据PID、进程名等操作符过滤进程。
/M：查看进程调用的DLL模块。指定DLL名，可以过滤调用指定DLL模块的进程。
/SVC：查看进程对应的服务。
/V：显示详细信息。
/NH：不显示第一行的列名。
/FO：指定输出格式。TABLE表格格式（默认）；LIST列表格式；CSV文本数据格式。
/S：连接到指定计算机，默认本机。
/u：指定使用该命令的用户。
/P：指定用户密码。

tasklist

1、基本使用
2、执行原理
- 2.1、tasklist命令无法使用
3、筛选器
- 3.1、根据PID查找进程
- 3.2、根据进程名查找进程
- 3.3、查看指定用户运行的进程
- 3.4、查看资源占用高的进程
4、分页查看
5、查看进程调用的DLL模块
- 5.1、查看调用指定DLL模块的进程
6、查看进程文件位置

1、基本使用

执行 tasklist 不加参数默认以TABLE表格格式输出，从左到右依次是进程名、进程ID、会话、会话ID、内存使用大小。通常我们只看左边的进程名和进程ID就够了。

在这里插入图片描述

tasklist /v 可以显示所有字段。

在这里插入图片描述

2、执行原理

Windows系统的命令本质上都是「可执行程序」，默认存放在 C:\Windows\System32 目录下， tasklist 命令对应的便是 tasklist.exe 文件

在这里插入图片描述

当我们执行 tasklist 命令时，本质上就是执行了 tasklist.exe 这个程序.因此，当我们在命令行输入 tasklist.exe 时，执行的结果也是一样的。

在这里插入图片描述

2.1、tasklist命令无法使用

你能在任意目录都执行这个命令，是因为 system32 这个目录被配置到了「环境变量」里。

在这里插入图片描述

当你执行了一个没有完整路径的程序时，如果「当前路径」下没有同名的可执行文件，就会到环境变量里去找。

比如我再当前目录下新建一个 tasklist.exe 文件，他就执行我的这个文件，而不是执行系统的tasklist命令。

在这里插入图片描述

当你的系统提示你没有这个命令或无法使用时，可以到环境变量里检查下 system32 目录有没有加到环境变量里，或者 system32 目录下还有没有这个命令的文件。

3、筛选器

/FI 参数可以指定筛选器，筛选器配合运算符实现过滤查询、模糊匹配。

筛选器	可用的运算符	值
STATUS	eq，ne	RUNNING、SUSPENDED、NOT RESPONDING、UNKNOWN
IMAGENAME	eq，ne	进程名称
PID	eq，ne，gt，lt，ge，le	进程ID
SESSION	eq，ne，gt，lt，ge，le	会话ID
SESSIONNAME	eq，ne	会话名称
CPUTIME	eq，ne，ge，lt，ge，le	CPU时间。格式 hh:mm:ss，即时：分：秒
MEMUSAGE	eq，ne，ge，lt，ge，le	内存使用大小，单位KB
USERNAME	eq，ne	用户名。格式 [域]用户
SERVICES	eq，ne	服务名
WINDOWTITLE	eq，ne	窗口标题

运算符含义：

eq（equal）：等于。
ne（not equal）：不等于。
gt（greater than）：大于。
lt（less than）：小于
ge（greater than or equal）：大于等于。
le（less than or equal）：小于等于。

3.1、根据PID查找进程

tasklist /FI "PID eq 996" 查找PID等于996的进程。

在这里插入图片描述

3.2、根据进程名查找进程

tasklist /FI "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名，少个后缀都搜不到。

在这里插入图片描述

3.3、查看指定用户运行的进程

tasklist /FI "username eq administrator" /v 查看administrator用户运行的进程。

在这里插入图片描述

3.4、查看资源占用高的进程

tasklist /FI "cputime gt 0:00:30" /v 查看CPU使用超过30秒的进程

在这里插入图片描述

排查资源占用时，通常会用任务管理器。可以按CPU、内存使用大小排序。

在这里插入图片描述

4、分页查看

内容太多看起来不方便，用 tasklist | more 分页查看。

根据当前窗口大小显示一页，回车下一行、空格下一页、Ctrl+C退出查看。

在这里插入图片描述

5、查看进程调用的DLL模块

tasklist /m 查看进程调用的DLL模块。

在这里插入图片描述

5.1、查看调用指定DLL模块的进程

tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。

在这里插入图片描述

6、查看进程文件位置

查看cmd.exe进程的文件路径。

wmic process where name="cmd.exe" get processid,name,executablepath

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1937756.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！