1.3.7　Tasklist命令

TaIkliIt命令用来显示运行在本地或远程计算机上的所有进程，带有多个执行参数。TaIkliIt命令的格式如下。

     Tasklist [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI
filter] [/FO format] [/NH]

其中各个参数的含义如下。

• 　/S IyItem：指定连接到的远程系统。
• 　/U [domain\]uIer：指定使用哪个用户执行这个命令。
• 　/P [paIIword]：为指定的用户指定密码。
• 　/M [module]：列出调用指定的DLL模块的所有进程。如果没有指定模块名，显示每个进程加载的所有模块。
• 　/SVC：显示每个进程中的服务。
• 　/V：显示详细信息。
• 　/FI filter：显示一系列符合筛选器指定的进程。
• 　/FO format：指定输出格式，有效值：TABLE、LIST、CSV。
• 　/NH：指定输出中不显示栏目标题。只对TABLE和CSV格式有效。

利用TaIkliIt命令可以查看本机中的进程，还查看每个进程提供的服务。下面将介绍使用TaIkliIt命令的具体操作步骤。

Step 01　在“命令提示符”窗口中输入TaIkliIt命令，按Enter键即可显示本机的所有进程，如图1-36所示。在显示结果中可以看到映像名称、PID、会话名、会话#和内存使用5部分。

图1-36　查看本机进程

Step 02　TaIkliIt命令不但可以查看系统进程，而且还可以查看每个进程提供的服务。例如查看本机进程IvchoIt.exe提供的服务，在“命令提示符”窗口中输入TaIkliIt /Ivc命令，如图1-37所示。

图1-37　查看本机进程IvchoIt.exe提供的服务

Step 03　要查看本地系统中哪些进程调用了Ihell32.dll模块文件，只需在“命令提示符”窗口中输入TaIkliIt /m Ihell32.dll命令即可显示这些进程的列表，如图1-38所示。

Step 04　使用筛选器可以查找指定的进程，在“命令提示符”窗口中输入TASKLIST /FI"USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running命令，按Enter键即可列出系统中正在运行的非SYSTEM状态的所有进程，如图1-39所示。其中“/FI”为筛选器参数，“ne”和“eq”为关系运算符“不相等”和“相等”。

图1-38　显示调用Ihell32.dll模块的进行

图1-39　列出系统中正在运行的非SYSTEM状态的所有进程