原文:https://blog.csdn.net/bcbobo21cn/article/details/51759521shell
一 操做實例
不帶參數;windows
/svc參數;dom
/SVC 顯示每一個進程中的服務信息,當/fo參數設置爲table時有效。.net
列出調用了某個dll的進程;debug
列出系統中正在運行的非「SYSTEM「狀態的全部進程。orm
查看遠程主機進程列表;須要遠程主機的RPC服務支持;blog
/v 列出詳細信息;進程
/fi 過濾器;下圖是列出pid大於10000的進程;內存
/fo 輸出格式;下圖是csv格式;it
不帶輸出格式;
不列出詳細信息;
二 TASKLIST命令
Tasklist"是 winxp/win2003/vista/win7/win8下的命令,用來顯示運行在本地或遠程計算機上的全部進程,帶有多個執行參數。
中文名 任務列表 外文名 tasklist 功 能 列出當前運行的進程 適用系統Windows XP以上
目錄
1 Tasklist介紹
▪ 使用格式
▪ 參數含義
2 應用實例
▪ 查看本機進程
▪ 查看遠程系統的進程
▪ 查看系統進程提供的服務
▪ 查看調用DLL模塊文件的進程列表
▪ 使用篩選器查找指定的進程
3 綜合應用之結束進程
▪ Tasklist
▪ NTSD
Tasklist介紹
使用格式
tasklist [/s <Computer> [/u [<Domain>\]<UserName> [/p <Password>]]] [{/m <Module> | /svc | /v}] [/fo {table | list | csv}] [/nh] [/fi <Filter> [/fi <Filter> [ ... ]]]
參數含義
/S <computer> 指定鏈接到的計算機或IP地址,默認本機。
/u [<Domain>\]<UserName> 指定使用哪一個用戶執行這個命令。
/P [password] 爲指定的用戶指定密碼。
/M [module] 列出調用指定的DLL模塊的全部進程。若是沒有指定模塊名,顯示每一個進程加載的全部模塊。
/SVC 顯示每一個進程中的服務信息,當/fo參數設置爲table時有效。
/V 顯示詳細信息。
/FI filter 顯示一系列符合篩選器指定的進程。
/FO format 指定輸出格式,有效值:TABLE、LIST、CSV。
/NH 指定輸出中不顯示欄目標題。只對TABLE和CSV格式有效。
filter可以使用的參數和操做符
過濾器名稱
可用操做符 可用值
STATUS eq, ne RUNNING | NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名稱
PID eq, ne, gt, lt, ge, le PID值
SESSION eq, ne, gt, lt, ge, le 會話數量
SESSIONNAME eq, ne 會話名稱
CPUTIME eq, ne, gt, lt, ge, le CPU的使用時間,格式爲HH:MM:SS
MEMUSAGE eq, ne, gt, lt, ge, le kb爲單位的內存使用量
USERNAME eq, ne 合法用戶名
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 窗口標題
MODULES eq, ne DLL名稱
應用實例
查看本機進程
在「命令提示符」中輸入Tasklist命令便可顯示本機的全部進程(圖1)。本機的顯示結果由5部分組成:圖像名(進程名)、PID、會話名、會話#和內存使用。
查看遠程系統的進程
在命令提示符下輸入「Tasklist /s 218.22.123.26 /u jtdd /p 12345678」(不包括引號)便可查看到IP地址爲218.22.123.26的遠程系統的進程。其中/s參數後的「218.22.123.26」指要查看的遠程系統的IP地址,/u後的「jtdd」指Tasklist命令使用的用戶帳號,它必須是遠程系統上的一個合法帳號,/p後的「12345678」指jtdd帳號的密碼。
注意:使用Tasklist命令查看遠程系統的進程時,須要遠程機器的RPC服務的支持,不然,該命令不能正常使用。
查看系統進程提供的服務
Tasklist命令不但能夠查看系統進程,並且還能夠查看每一個進程提供的服務。如查看本機進程SVCHOST.EXE提供的服務,在命令提示符下輸入「Tasklist /svc」命令便可(圖3)。你會驚奇地發現,有4個SVCHOST.EXE進程,而總共有二十幾項服務使用這個進程。
對於遠程系統來講,查看系統服務也很簡單,使用「Tasklist /s 218.22.123.26 /u jtdd /p 12345678 /svc」命令,就能夠查看IP地址爲218.22.123.26的遠程系統進程所提供的服務。
查看調用DLL模塊文件的進程列表
要查看本地系統中哪些進程調用了shell32.dll模塊文件,只需在命令提示符下輸入「Tasklist /m shell32.dll」便可顯示這些進程的列表。
使用篩選器查找指定的進程
在命令提示符下輸入「TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running」,就能夠列出系統中正在運行的非SYSTEM狀態的全部進程。其中「/FI」爲篩選器參數,「ne」和「eq」爲關係運算符「不相等」和「相等」。
綜合應用之結束進程
Tasklist
談到「Tasklist」命令,咱們就不得不提到它的孿生兄弟「Taskill」命令,顧名思義,它是用來關掉進程的。
要關掉本機的notepad.exe進程,有兩種方法:
一、先使用Tasklist查找它的PID,假設系統顯示本機notepad.exe(notepad.exe是個病毒性程序,很難刪除,通常在C:/windows/system32下)進程的PID值爲1132,而後運行「Taskkill /pid 1132」命令便可。其中「/pid」參數後面是要終止進程的PID值。
二、直接運行「taskkill /IM notepad.exe」命令,其中「/IM」參數後面爲進程的圖像名。
NTSD
系統debug級的ntsd,不少進程Tasklist是殺不了的,可是用ntsd就能夠,基本上除了WINDOWS系統本身的管理進程,ntsd均可以殺掉,不過有些rootkit級別的超級木馬就無能爲力了,不過幸虧這類木馬仍是不多的。
一、利用進程的PID結束進程
命令格式:ntsd -c q -p pid
命令範例: ntsd -c q -p 1332 (結束explorer.exe進程)
二、利用進程名結束進程
命令格式:ntsd -c q -pn ***.exe (***.exe 爲進程名,exe不能省)
更多................tasklist /v /fi "PID gt 1000" /fo csvtasklist /fi "USERNAME ne NT AUTHORITY\SYSTEM" /fi "STATUS eq running"tasklist /v /fi "STATUS eq running"tasklist /s srvmain /nh tasklist /s srvmain /svc /fi "Modules eq ntdll*"tasklist /s srvmain /u maindom\hiropln /p p@ssW23 /nh