功能强大的黑客软件Tasklist常见用法

cmd.exe控制台下输入tasklist /?显示帮助

TASKLIST [/S system [/U username [/P [password]]]]
         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

描述:
    这个命令行工具显示应用程序和本地
    或远程系统上运行的相关任务/进程的
    列表。

参数列表:
   /S     system           指定连接到的远程系统。

   /U     [domain\]user    指定应该在哪个用户上下文
                           执行这个命令。

   /P     [password]       为提供的用户上下文指定
                           密码。如果忽略，提示输入。

   /M     [module]         列出所有其中符合指定模式名
                           的 DLL 模块的所有任务。
                           如果没有指定模块名，则
                           显示每个任务加载的所有模块。

   /SVC                    显示每个进程中的服务。

   /V                      指定要显示详述
                           信息。

   /FI    filter           显示一系列符合筛选器指定的标准
                           的任务。

   /FO    format           指定输出格式。
                           有效值: "TABLE"、"LIST"、"CSV"。

   /NH                     指定栏标头不应该在
                           输出中显示。
                           只对 "TABLE" 和 "CSV" 格式有效。

   /?                      显示帮助/用法。


筛选器:
    筛选器名        有效操作符                有效值
    -----------     ---------------           --------------
    STATUS          eq, ne                    正在运行 | 没有响应
    IMAGENAME       eq, ne                    图像名
    PID             eq, ne, gt, lt, ge, le    PID 值
    SESSION         eq, ne, gt, lt, ge, le    会话编号
    SESSIONNAME     eq, ne                    会话名
    CPUTIME         eq, ne, gt, lt, ge, le    CPU 时间，格式为
                                              hh:mm:ss。
                                              hh - 时，
                                              mm - 分，ss - 秒
    MEMUSAGE        eq, ne, gt, lt, ge, le    内存使用量(KB)
    USERNAME        eq, ne                    用户名，格式为 [domain\]user

    SERVICES        eq, ne                    服务名
    WINDOWTITLE     eq, ne                    窗口标题
    MODULES         eq, ne                    DLL 名

例如:
    TASKLIST
    TASKLIST /M
    TASKLIST /V
    TASKLIST /SVC
    TASKLIST /M wbem*
    TASKLIST /S system /FO LIST
    TASKLIST /S system /U domain\username /FO CSV /NH
    TASKLIST /S system /U username /P password /FO TABLE /NH
    TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"


常用的有:
    查看正在启动的服务:
    TASKLIST /SVC
    列出加载的所有模块:
    TASKLIST /M
    查找指定的模块的宿主进程(对可疑dll检测时常用):
    TASKLIST /M nameless.dll
    显示

图像名                 PID   模块
=========== === =============================================
SVCHOST.EXE      1484 nameless.dll

    或者:
    TASKLIST /M /FI "MODULES eq nameless.dll"

图像名                 PID   模块
=========== === =============================================
SVCHOST.EXE     1484 ntdll.dll, kernel32.dll, ADVAPI32.dll,
                                 RPCRT4.dll, ShimEng.dll, AcGenral.DLL,
                                 USER32.dll, GDI32.dll, WINMM.dll, ole32.dll,
                                 msvcrt.dll, OLEAUT32.dll, MSACM32.dll,
                                 VERSION.dll, SHELL32.dll, SHLWAPI.dll,
                                 USERENV.dll, UxTheme.dll, IMM32.DLL,
                                 LPK.DLL, USP10.dll, comctl32.dll,
                                 comctl32.dll, NTMARTA.DLL, WLDAP32.dll,
                                 SAMLIB.dll, xpsp2res.dll, nameless.dll,       ←
                                 PSAPI.DLL, NETAPI32.dll, urlmon.dll,
                                 WS2_32.dll, WS2HELP.dll, iphlpapi.dll,
                                 mswsock.dll, DNSAPI.dll, winrnr.dll,
                                 rasadhlp.dll, hnetcfg.dll, wshtcpip.dll,
                                 Secur32.dll