1、TASKLISTTasklist 命令用來顯示運行在本地或遠程計算機上的所有進程， 帶有多個執(zhí)行參 數(shù)。使用格式Tasklist /S system /U username /P password /M module | /SVC | /V /FI filter /FO format /NH參數(shù)含義/S system 指定連接到的遠程系統(tǒng)。/U domainuser 指定使用哪個用戶執(zhí)行這個命令。/P password 為指定的用戶指定密碼。/M module 列出調(diào)用指定的 DLL 模塊的所有進程。如果沒有指定模塊名，顯 示每個進程加載的所有模塊。/SVC 顯示每個進程中的服務(wù)。/V 顯示詳

2、細信息。/FI filter 顯示一系列符合篩選器指定的進程。/FO format 指定輸出格式，有效值： TABLE 、LIST、CSV。/NH 指定輸出中不顯示欄目標題。只對 TABLE 和 CSV 格式有效。 應(yīng)用實例。查看本機進程在“命令提示符 ”中輸入 Tasklist 命令即可顯示本機的所有進程 （圖 1） 。本機的顯示 結(jié)果由5部分組成：圖像名（進程名）、PID、會話名、會話#和內(nèi)存使用。查看遠程系統(tǒng)的進程在命令提示符下輸入 “Tasklist /s 218.22.123.26 /u jtdd /p 12345678”（ 不包括 引號）即可查看到IP地址為218.22.123.2

3、6的遠程系統(tǒng)的進程（圖2）。其中/s參數(shù)后的 “218.22.123.26”指要查看的遠程系統(tǒng)的IP地址，/u后的“jtdd”指Tasklist命令使用的 用戶賬號，它必須是遠程系統(tǒng)上的一個合法賬號，/p后的“12345678”指jtdd賬號的密碼。注意：使用 Tasklist 命令查看遠程系統(tǒng)的進程時，需要遠程機器的 RPC 服務(wù)的 支持，否則，該命令不能正常使用。查看系統(tǒng)進程提供的服務(wù)Tasklist 命令不但可以查看系統(tǒng)進程，而且還可以查看每個進程提供的服務(wù)。如 查看本機進程SVCHOST.EXE提供的服務(wù)，在命令提示符下輸入“Tasklist /svc”命令 即可（圖3）。你會驚奇地發(fā)

4、現(xiàn)，有4個SVCHOST.EXE進程，而總共有二十幾項服務(wù) 使用這個進程。對于遠程系統(tǒng)來說，查看系統(tǒng)服務(wù)也很簡單，使用 “Tasklist /s 218.22.123.26 / u jtdd /p 12345678 /svc” 命令，就可以查看 IP 地址為 218.22.123.26 的遠程系統(tǒng)進 程所提供的服務(wù)。查看調(diào)用 DLL 模塊文件的進程列表 要查看本地系統(tǒng)中哪些進程調(diào)用了 shell32.dll 模塊文件，只需在命令提示符下輸 入“Tasklist /m shell32.dll”即可顯示這些進程的列表。使用篩選器查找指定的進程在命令提示符下輸入 “TASKLIST /FI USER

5、NAME ne NT AUTHORITY SYS TEM /FI STATUS eq running” ，就可以列出系統(tǒng)中正在運行的非 SYSTEM 狀態(tài) 的所有進程。其中“/FI”為篩選器參數(shù)，“ne”和“eq”為關(guān)系運算符“不相等”和“相等”。綜合應(yīng)用之結(jié)束進程一、 Tasklist談到“Tasklist”命令，我們就不得不提到它的孿生兄弟“Taskkill”命令，顧名思義， 它是用來關(guān)掉進程的。要關(guān)掉本機的 notepad.exe 進程，有兩種方法：1、先使用Tasklist查找它的PID，假設(shè)系統(tǒng)顯示本機notepad.exe（notepad.exe 是個病毒性程序，很難刪除，一般在

6、C:/windows/system32 下）進程的 PID 值為 11 32，然后運行“Taskkill /pid 1132”命令即可。其中“/pid”參數(shù)后面是要終止進程的 PI D 值。2、直接運行“Taskkill /IM notepad.exe”命令，其中“/IM”參數(shù)后面為進程的圖像 名。二、 NTSD系統(tǒng)debug級的ntsd，很多進程Tasklist是殺不了的，但是用ntsd就可以，基 本上除了 WINDOWS 系統(tǒng)自己的管理進程 ,ntsd 都可以殺掉，不過有些 rootkit 級別的 超級木馬就無能為力了，不過幸好這類木馬還是很少的。1 、利用進程的 PID 結(jié)束進程命令格式： ntsd -c q -p pid命令范例： ntsd -c q -p 1332 （結(jié)束 explorer.exe 進程）2、利用進程名結(jié)束進程命令格式： ntsd -c q -pn *.exe （*.exe 為進程名 ,exe 不能省） 命令范例： ntsd -c q -pn explorer.exe 名稱：find作用：在文件中搜索字符串。用法：FIND /V /C /N /OFFLINEstring drive:pathfilename .參數(shù)：/V 顯示所有未包含指定字符串的行。/C 僅顯示包含字符串的行數(shù)。/N 顯string string 指定要搜索