1.3.7　Tasklist命令

Tasklist命令用来显示运行在本地或远程计算机上的所有进程，带有多个执行参数。Tasklist命令的格式如下。

    Tasklist [/S system [/U username [/P
[password]]]] [/M [module] | /SVC | /V]
[/FI filter] [/FO format] [/NH]

其中各个参数的作用如下：

●　/S system：指定连接到的远程系统。

●　/P [password]：为指定的用户指定密码。

●　/M [module]：列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。

●　/SVC：显示每个进程中的服务。

●　/V：显示详细信息。

●　/FI filter：显示一系列符合筛选器指定的进程。

●　/FO format：指定输出格式，有效值为TABLE、LIST、CSV。

●　/NH：指定输出中不显示栏目标题。只对TABLE和CSV格式有效。

利用Tasklist命令可以查看本机中的进程，还查看每个进程提供的服务。下面将介绍使用Tasklist命令的具体操作步骤。

Step 01　在“命令提示符”窗口中输入Tasklist命令，按Enter键即可显示本机的所有进程，如图1-36所示。在显示结果中可以看到映像名称、PID、会话名、会话#和内存使用5部分。

图1-36　查看本机进程

Step 02　Tasklist命令不但可以查看系统进程，而且还可以查看每个进程提供的服务。例如查看本机进程svchost.exe提供的服务，在“命令提示符”窗口中输入Tasklist /svc命令即可，如图1-37所示。

图1-37　查看本机进程svchost.exe提供的服务

Step 03　要查看本地系统中哪些进程调用了shell32.dll模块文件，只需在“命令提示符”窗口中输入Tasklist /m shell32.dll命令，即可显示这些进程的列表，如图1-38所示。

图1-38　显示调用shell32.dll模块的进程

Step 04　使用筛选器可以查找指定的进程，在“命令提示符”窗口中输入TASKLIST/FI "USERNAME ne NT AUTHORITY\SYSTEM"/FI "STATUS eq running命令，按Enter键即可列出系统中正在运行的非SYSTEM状态的所有进程，如图1-39所示。其中/FI为筛选器参数，ne和eq为关系运算符“不相等”和“相等”。

图1-39　列出系统中正在运行的非SYSTEM状态的所有进程