資源描述:
《tasklist和find判斷進(jìn)程命令》由會員上傳分享����,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、TASKLIST Tasklist命令用來顯示運行在本地或遠(yuǎn)程計算機上的所有進(jìn)程����,帶有多個執(zhí)行參數(shù)?����! ∈褂酶袷健 asklist[/Ssystem[/Uusername[/P[password]]]][/M[module]
2����、/SVC
3、/V][/FIfilter][/FOformat][/NH] 參數(shù)含義 /Ssystem 指定連接到的遠(yuǎn)程系統(tǒng)����。 /U[domain]user 指定使用哪個用戶執(zhí)行這個命令��?���! ?P[password] 為指定的用戶指定密碼?��! ?M[module] 列出調(diào)用指定的DLL模塊的所有進(jìn)程�����。如果沒有指定模塊名�,顯示每個
4、進(jìn)程加載的所有模塊����。 /SVC 顯示每個進(jìn)程中的服務(wù)��?! ?V 顯示詳細(xì)信息?���! ?FIfilter 顯示一系列符合篩選器指定的進(jìn)程?���! ?FOformat 指定輸出格式,有效值:TABLE��、LIST��、CSV?���! ?NH 指定輸出中不顯示欄目標(biāo)題���。只對TABLE和CSV格式有效���。 應(yīng)用實例���?��! ?.查看本機進(jìn)程 在“命令提示符”中輸入Tasklist命令即可顯示本機的所有進(jìn)程(圖1)。本機的顯示結(jié)果由5部分組成:圖像名(進(jìn)程名)����、PID、會話名����、會話#和內(nèi)存使用?! ?.查看遠(yuǎn)程系統(tǒng)的進(jìn)程 在命令提示符下輸入“Tasklist/s218.22.123
5、.26/ujtdd/p12345678”(不包括引號)即可查看到IP地址為218.22.123.26的遠(yuǎn)程系統(tǒng)的進(jìn)程(圖2)。其中/s參數(shù)后的“218.22.123.26”指要查看的遠(yuǎn)程系統(tǒng)的IP地址�����,/u后的“jtdd”指Tasklist命令使用的用戶賬號���,它必須是遠(yuǎn)程系統(tǒng)上的一個合法賬號���,/p后的“12345678”指jtdd賬號的密碼?����! ∽⒁猓菏褂肨asklist命令查看遠(yuǎn)程系統(tǒng)的進(jìn)程時���,需要遠(yuǎn)程機器的RPC服務(wù)的支持���,否則,該命令不能正常使用�。 3.查看系統(tǒng)進(jìn)程提供的服務(wù) Tasklist命令不但可以查看系統(tǒng)進(jìn)程�����,而且還可以查看每個進(jìn)程提供的服
6、務(wù)�����。如查看本機進(jìn)程SVCHOST.EXE提供的服務(wù)��,在命令提示符下輸入“Tasklist/svc”命令即可(圖3)����。你會驚奇地發(fā)現(xiàn)����,有4個SVCHOST.EXE進(jìn)程,而總共有二十幾項服務(wù)使用這個進(jìn)程����。 對于遠(yuǎn)程系統(tǒng)來說�,查看系統(tǒng)服務(wù)也很簡單,使用“Tasklist/s218.22.123.26/ujtdd/p12345678/svc”命令����,就可以查看IP地址為218.22.123.26的遠(yuǎn)程系統(tǒng)進(jìn)程所提供的服務(wù)?����! ?.查看調(diào)用DLL模塊文件的進(jìn)程列表 要查看本地系統(tǒng)中哪些進(jìn)程調(diào)用了shell32.dll模塊文件,只需在命令提示符下輸入“Tasklist
7���、/mshell32.dll”即可顯示這些進(jìn)程的列表��?! ?.使用篩選器查找指定的進(jìn)程 在命令提示符下輸入“TASKLIST/FI"USERNAMEneNTAUTHORITYSYSTEM"/FI"STATUSeqrunning”���,就可以列出系統(tǒng)中正在運行的非SYSTEM狀態(tài)的所有進(jìn)程�����。其中“/FI”為篩選器參數(shù)�,“ne”和“eq”為關(guān)系運算符“不相等”和“相等”�。 綜合應(yīng)用之結(jié)束進(jìn)程 一��、Tasklist 談到“Tasklist”命令��,我們就不得不提到它的孿生兄弟“Taskkill”命令����,顧名思義�����,它是用來關(guān)掉進(jìn)程的�����?! ∫P(guān)掉本機的notepad.
8����、exe進(jìn)程�����,有兩種方法: 1��、先使用Tasklist查找它的PID���,假設(shè)系統(tǒng)顯示本機notepad.exe(notepad.exe是個病毒性程序��,很難刪除�����,一般在C:/windows/system32下)進(jìn)程的PID值為1132���,然后運行“Taskkill/pid1132”命令即可�����。其中“/pid”參數(shù)后面是要終止進(jìn)程的PID值�?��! ?�����、直接運行“Taskkill/IMnotepad.exe”命令�����,其中“/IM”參數(shù)后面為進(jìn)程的圖像名��?! 《?����、NTSD 系統(tǒng)debug級的ntsd,很多進(jìn)程Tasklist是殺不了的���,但是用ntsd就可以�����,基本上除了WIN
9�����、DOWS系統(tǒng)自己的管理進(jìn)程,ntsd都可以殺掉��,不過有些rootkit級別的超級木馬就無能為力了���,不過幸好這類木馬還是很少的���?! ?�����、利用進(jìn)程的PID結(jié)束進(jìn)程 命令格式:ntsd-cq-ppid 命令范例:ntsd-cq-p1332(結(jié)束explorer.exe進(jìn)程) 2��、利用進(jìn)程名結(jié)束進(jìn)程 命令格式:ntsd-cq-pn***.exe(***.exe為進(jìn)程名,exe不能省) 命令范例:ntsd-cq-pnexplorer.exe名稱:find 作用:在文件中搜索字符串�。 用法:FIND[/V][/C][/N][/OFF[LINE]]"stri
10���、ng"[[drive:][path]filename
