(转)tasklist命令参数应用详细图解

原文：https://blog.csdn.net/bcbobo21cn/article/details/51759521

一 操作实例
不带参数；

/svc参数；

/SVC　显示每个进程中的服务信息，当/fo参数设置为table时有效。

列出调用了某个dll的进程；

列出系统中正在运行的非“SYSTEM“状态的所有进程。

查看远程主机进程列表；需要远程主机的RPC服务支持；

/v 列出详细信息；

/fi 过滤器；下图是列出pid大于10000的进程；

/fo 输出格式；下图是csv格式；

不带输出格式；

不列出详细信息；

二 TASKLIST命令
Tasklist"是 winxp/win2003/vista/win7/win8下的命令,用来显示运行在本地或远程计算机上的所有进程，带有多个执行参数。
中文名 任务列表 外文名 tasklist 功    能 列出当前运行的进程 适用系统Windows XP以上
目录
1 Tasklist介绍
▪ 使用格式
▪ 参数含义
2 应用实例
▪ 查看本机进程
▪ 查看远程系统的进程
▪ 查看系统进程提供的服务
▪ 查看调用DLL模块文件的进程列表
▪ 使用筛选器查找指定的进程
3 综合应用之结束进程
▪ Tasklist
▪ NTSD
Tasklist介绍
使用格式
tasklist [/s <Computer> [/u [<Domain>\]<UserName> [/p <Password>]]] [{/m <Module> | /svc | /v}] [/fo {table | list | csv}] [/nh] [/fi <Filter> [/fi <Filter> [ ... ]]]
参数含义
/S <computer>　指定连接到的计算机或IP地址，默认本机。
/u [<Domain>\]<UserName>　指定使用哪个用户执行这个命令。
/P [password]　为指定的用户指定密码。
/M [module]　列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。
/SVC　显示每个进程中的服务信息，当/fo参数设置为table时有效。
/V　显示详细信息。
/FI filter　显示一系列符合筛选器指定的进程。
/FO format　指定输出格式，有效值：TABLE、LIST、CSV。
/NH　指定输出中不显示栏目标题。只对TABLE和CSV格式有效。
filter可使用的参数和操作符
过滤器名称
　　 可用操作符 可用值
STATUS eq, ne RUNNING | NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名称
PID eq, ne, gt, lt, ge, le PID值
SESSION eq, ne, gt, lt, ge, le 会话数量
SESSIONNAME eq, ne 会话名称
CPUTIME eq, ne, gt, lt, ge, le CPU的使用时间，格式为HH：MM：SS
　　
MEMUSAGE eq, ne, gt, lt, ge, le kb为单位的内存使用量
USERNAME eq, ne 合法用户名
　　
SERVICES eq, ne 服务名称
WINDOWTITLE eq, ne 窗口标题
MODULES eq, ne DLL名称
应用实例
查看本机进程
在“命令提示符”中输入Tasklist命令即可显示本机的所有进程(图1)。本机的显示结果由5部分组成：图像名(进程名)、PID、会话名、会话#和内存使用。
查看远程系统的进程
在命令提示符下输入“Tasklist /s 218.22.123.26 /u jtdd /p 12345678”(不包括引号)即可查看到IP地址为218.22.123.26的远程系统的进程。其中/s参数后的“218.22.123.26”指要查看的远程系统的IP地址，/u后的“jtdd”指Tasklist命令使用的用户账号，它必须是远程系统上的一个合法账号，/p后的“12345678”指jtdd账号的密码。
注意：使用Tasklist命令查看远程系统的进程时，需要远程机器的RPC服务的支持，否则，该命令不能正常使用。
查看系统进程提供的服务
Tasklist命令不但可以查看系统进程，而且还可以查看每个进程提供的服务。如查看本机进程SVCHOST.EXE提供的服务，在命令提示符下输入“Tasklist /svc”命令即可(图3)。你会惊奇地发现，有4个SVCHOST.EXE进程，而总共有二十几项服务使用这个进程。
对于远程系统来说，查看系统服务也很简单，使用“Tasklist /s 218.22.123.26 /u jtdd /p 12345678 /svc”命令，就可以查看IP地址为218.22.123.26的远程系统进程所提供的服务。
查看调用DLL模块文件的进程列表
要查看本地系统中哪些进程调用了shell32.dll模块文件，只需在命令提示符下输入“Tasklist /m shell32.dll”即可显示这些进程的列表。
使用筛选器查找指定的进程
在命令提示符下输入“TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running”，就可以列出系统中正在运行的非SYSTEM状态的所有进程。其中“/FI”为筛选器参数，“ne”和“eq”为关系运算符“不相等”和“相等”。
综合应用之结束进程
Tasklist
谈到“Tasklist”命令，我们就不得不提到它的孪生兄弟“Taskill”命令，顾名思义，它是用来关掉进程的。
要关掉本机的notepad.exe进程，有两种方法：
1、先使用Tasklist查找它的PID，假设系统显示本机notepad.exe(notepad.exe是个病毒性程序，很难删除，一般在C:/windows/system32下）进程的PID值为1132，然后运行“Taskkill /pid 1132”命令即可。其中“/pid”参数后面是要终止进程的PID值。
2、直接运行“taskkill /IM notepad.exe”命令，其中“/IM”参数后面为进程的图像名。
NTSD
系统debug级的ntsd，很多进程Tasklist是杀不了的，但是用ntsd就可以，基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉，不过有些rootkit级别的超级木马就无能为力了，不过幸好这类木马还是很少的。
1、利用进程的PID结束进程
命令格式：ntsd -c q -p pid
命令范例： ntsd -c q -p 1332 （结束explorer.exe进程）
2、利用进程名结束进程
命令格式：ntsd -c q -pn ***.exe （***.exe 为进程名,exe不能省）

更多................
tasklist /v /fi "PID gt 1000" /fo csv
tasklist /fi "USERNAME ne NT AUTHORITY\SYSTEM" /fi "STATUS eq running"
tasklist /v /fi "STATUS eq running"
tasklist /s srvmain /nh tasklist /s srvmain /svc /fi "Modules eq ntdll*"
tasklist /s srvmain /u maindom\hiropln /p p@ssW23 /nh