tasklist

1、查看进程对应哪服务 tasklist -svc

2、查看进程调用哪些DLL tasklist -m

3、查看调用某一Dll的所有进程 tasklist -m MSVCP60.DLL,有时候不得以需要删除文件夹,老是提示dll文件受保护,不能删除文件夹,找到进程结束掉,regsvr32 -u *.dll注销dll文件,删除。这样应该可以了。

4、查看进程详细信息 tasklist -v: “进程名”,“PID”,“会话名 “,“会话#",“内存使用 “,“状态  “,“用户名”,“CPU 时间”,“窗口标题 "

5、筛选器查找进程

EQ: 等于

NE: 不等于

LT: 小于

LE: 小于等于

GT: 大于

GE: 大于等于

tasklist -fi “username ne NT authority\system” -fi “status eq running” 列出系统中正在运行的非SYSTEM状态的所有进程

tasklist -fi "username ne NT authority\system" -fi "status eq running" 列出系统中正在运行的非SYSTEM状态的所有进程


tasklist -fi "pid eq 2860" -svc列出pid是2860的这个进程中的服务 (有问题的进程调用哪些服务)


tasklist -fi "pid eq 2860" -m列出pid是2860的这个进程加载的dll模块(有问题的进程调用哪些DLL文件)


tasklist -fi "pid eq 2860" -v列出pid是2860的这个进程的详细信息


tasklist -fi "servicers eq spooler"列出对应服务是spooler的进程(哪些进程在使用这个有问题的服务)


tasklist -fi "modules eq MSVCP60.DLL"列出调用MSVCP60.DLL的进程(哪些进程在使用这个有问题的DLL)


Taskkill -pid 2860/Taskkill -im qq.exe 关掉进程


系统debug级的ntsd,很多进程Tasklist是杀不了的,但是用ntsd就可以,基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉,不过有些rootkit级别的超级木马就无能为力了,不过幸好这类木马还是很少的。



ntsd


系统debug级的ntsd,很多进程Tasklist是杀不了的,但是用ntsd就可以,基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉,不过有些rootkit级别的超级木马就无能为力了,不过幸好这类木马还是很少的。


1、利用进程的PID结束进程


  命令格式: ntsd -c q -p pid


  命令范例:  ntsd -c q -p 1332 (结束explorer.exe进程)


2、利用进程名结束进程


  命令格式: ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)


  命令范例: ntsd -c q -pn explorer.exe

大家有补充的,请留言

本文出自 “Colt-‘s-Cyberspace” 博客,请务必保留此出处http://coltiam.blog.51cto.com/1364465/394060