Windows命令之tasklist命令用法详解(Windows查看进程)
5人参与 • 2025-04-24 • Dos/bat
tasklist命令显示本地计算机或远程计算机上当前正在运行的进程列表。命令结合筛选器一起使用,可以按照我们的需求进行过滤,查找我们需要了解的进程信息。
tasklist 替换 tlist.exe 工具。
命令帮助
tasklist 可以查看当前运行的进程。
e:\> tasklist /?
tasklist [/s system [/u username [/p [password]]]]
[/m [module] | /svc | /v] [/fi filter] [/fo format] [/nh]
描述:
该工具显示在本地或远程机器上当前运行的进程列表。
参数列表:
/s system 指定连接到的远程系统。
/u [domain\]user 指定应该在哪个用户上下文执行这个命令。
/p [password] 为提供的用户上下文指定密码。如果省略,则
提示输入。
/m [module] 列出当前使用所给 exe/dll 名称的所有任务。
如果没有指定模块名称,显示所有加载的模块。
/svc 显示每个进程中主持的服务。
/apps 显示 microsoft store 应用及其关联的进程。
/v 显示详细任务信息。
/fi filter 显示一系列符合筛选器
指定条件的任务。
/fo format 指定输出格式。
有效值: "table"、"list"、"csv"。
/nh 指定列标题不应该
在输出中显示。
只对 "table" 和 "csv" 格式有效。
/? 显示此帮助消息。
筛选器:
筛选器名称 有效运算符 有效值
----------- --------------- --------------------------
status eq, ne running | suspended
not responding | unknown
imagename eq, ne 映像名称
pid eq, ne, gt, lt, ge, le pid 值
session eq, ne, gt, lt, ge, le 会话编号
sessionname eq, ne 会话名称
cputime eq, ne, gt, lt, ge, le cpu 时间,格式为
hh:mm:ss。
hh - 小时,
mm - 分钟,ss - 秒
memusage eq, ne, gt, lt, ge, le 内存使用(以 kb 为单位)
username eq, ne 用户名,格式为
[域\]用户
services eq, ne 服务名称
windowtitle eq, ne 窗口标题
模块 eq, ne dll 名称
注意: 当查询远程计算机时,不支持 "windowtitle" 和 "status"
筛选器。
examples:
tasklist
tasklist /m
tasklist /v /fo csv
tasklist /svc /fo list
tasklist /apps /fi "status eq running"
tasklist /m wbem*
tasklist /s system /fo list
tasklist /s system /u 域\用户名 /fo csv /nh
tasklist /s system /u username /p password /fo table /nh
tasklist /fi "username ne nt authority\system" /fi "status eq running"1、基本使用
执行 tasklist 不加参数默认以table表格格式输出,从左到右依次是进程名、进程id、会话、会话id、内存使用大小。通常我们只看左边的进程名和进程id就够了。
tasklist /v 可以显示所有字段。
2、执行原理
windows系统的命令本质上都是「可执行程序」,默认存放在 c:\windows\system32 目录下, tasklist 命令对应的便是 tasklist.exe 文件
当我们执行 tasklist 命令时,本质上就是执行了 tasklist.exe 这个程序.因此,当我们在命令行输入 tasklist.exe 时,执行的结果也是一样的。
2.1、tasklist命令无法使用
你能在任意目录都执行这个命令,是因为 system32 这个目录被配置到了「环境变量」里。
当你执行了一个没有完整路径的程序时,如果「当前路径」下没有同名的可执行文件,就会到环境变量里去找。
比如我再当前目录下新建一个 tasklist.exe 文件,他就执行我的这个文件,而不是执行系统的tasklist命令。
当你的系统提示你没有这个命令或无法使用时,可以到环境变量里检查下 system32 目录有没有加到环境变量里,或者 system32 目录下还有没有这个命令的文件。
3、筛选器
/fi 参数可以指定筛选器,筛选器配合运算符实现过滤查询、模糊匹配。
| 筛选器 | 可用的运算符 | 值 |
|---|---|---|
| status | eq,ne | running、suspended、not responding、unknown |
| imagename | eq,ne | 进程名称 |
| pid | eq,ne,gt,lt,ge,le | 进程id |
| session | eq,ne,gt,lt,ge,le | 会话id |
| sessionname | eq,ne | 会话名称 |
| cputime | eq,ne,ge,lt,ge,le | cpu时间。格式 hh:mm:ss,即时:分:秒 |
| memusage | eq,ne,ge,lt,ge,le | 内存使用大小,单位kb |
| username | eq,ne | 用户名。格式 [域]用户 |
| services | eq,ne | 服务名 |
| windowtitle | eq,ne | 窗口标题 |
运算符含义:
eq(equal):等于。ne(not equal):不等于。gt(greater than):大于。lt(less than):小于ge(greater than or equal):大于等于。le(less than or equal):小于等于。
3.1、根据pid查找进程
tasklist /fi "pid eq 996" 查找pid等于996的进程。
3.2、根据进程名查找进程
tasklist /fi "imagename eq cmd.exe" 查找进程名时cmd.exe的进程。必须是全名,少个后缀都搜不到。
3.3、查看指定用户运行的进程
tasklist /fi "username eq administrator" /v 查看administrator用户运行的进程。
3.4、查看资源占用高的进程
tasklist /fi "cputime gt 0:00:30" /v 查看cpu使用超过30秒的进程
排查资源占用时,通常会用任务管理器。可以按cpu、内存使用大小排序。
4、分页查看
内容太多看起来不方便,用 tasklist | more 分页查看。
根据当前窗口大小显示一页,回车下一行、空格下一页、ctrl+c退出查看。
5、查看进程调用的dll模块
tasklist /m 查看进程调用的dll模块。
5.1、查看调用指定dll模块的进程
tasklist /m wininet.dll 查看调用wininet.dll 模块的进程。
6、查看进程文件位置
查看cmd.exe进程的文件路径。
wmic process where name="cmd.exe" get processid,name,executablepath
7、案例代码
显示进程号大于1000的进程
e:\>tasklist /fi "pid gt 1000" 映像名称 pid 会话名 会话# 内存使用 ========================= ======== ================ =========== ============ svchost.exe 1084 services 0 13,380 k svchost.exe 1132 services 0 11,260 k dwm.exe 1220 console 1 165,852 k svchost.exe 1260 services 0 12,876 k svchost.exe 1296 services 0 5,748 k svchost.exe 1312 services 0 12,132 k svchost.exe 1432 services 0 12,684 k svchost.exe 1440 services 0 10,568 k svchost.exe 1528 services 0 17,452 k intelcphdcpsvc.exe 1608 services 0 7,928 k svchost.exe 1636 services 0 6,488 k svchost.exe 1720 services 0 9,384 k svchost.exe 1828 services 0 8,588 k svchost.exe 1852 services 0 8,228 k intelcphecisvc.exe 1872 services 0 7,668 k svchost.exe 1948 services 0 10,496 k svchost.exe 1984 services 0 7,068 k svchost.exe 2080 services 0 7,616 k ibmpmsvc.exe 2108 services 0 6,856 k lplatsvc.exe 2128 services 0 8,004 k litssvc.exe 2140 services 0 8,012 k svchost.exe 2200 services 0 16,444 k svchost.exe 2260 services 0 6,892 k qqpcrtp.exe 2456 services 0 70,004 k qmbsrv.exe 2476 services 0 6,140 k svchost.exe 2504 services 0 12,944 k svchost.exe 2568 services 0 7,116 k
列出mysql用户正在运行的进程
使用tasklist /fi "username ne mysql" /fi "status eq running"命令查看mysql用户正在运行的进程。
e:\>tasklist /fi "username ne mysql" /fi "status eq running" 映像名称 pid 会话名 会话# 内存使用 ========================= ======== ================ =========== ============ csrss.exe 788 console 1 7,588 k dwm.exe 1220 console 1 164,540 k lplatsvc.exe 8764 console 1 7,536 k sihost.exe 8832 console 1 32,280 k svchost.exe 8856 console 1 32,084 k taskhostw.exe 8984 console 1 17,592 k ctfmon.exe 7172 console 1 22,668 k igfxem.exe 8376 console 1 14,596 k explorer.exe 8336 console 1 194,456 k chsime.exe 7844 console 1 24,808 k textinputhost.exe 4956 console 1 67,200 k startmenuexperiencehost.e 1228 console 1 55,820 k searchapp.exe 9248 console 1 68,396 k powermgr.exe 9840 console 1 6,512 k shellexperiencehost.exe 9884 console 1 77,392 k runtimebroker.exe 9976 console 1 33,968 k igfxext.exe 9548 console 1 11,020 k sogouwbimeloader.exe 4684 console 1 16,152 k yundetectservice.exe 5484 console 1 15,024 k svchost.exe 1344 console 1 17,700 k 360chromex.exe 1780 console 1 276,432 k 360chromex.exe 11544 console 1 317,772 k wpscloudsvr.exe 1960 console 1 19,300 k sdxhelper.exe 7832 console 1 29,284 k qq.exe 5044 console 1 348,496 k txplatform.exe 4816 console 1 3,368 k qqguild.exe 12196 console 1 161,612 k qqguild.exe 8660 console 1 61,296 k powerpnt.exe 4064 console 1 802,484 k chromium.exe 9388 console 1 110,232 k chromium.exe 6952 console 1 7,588 k chromium.exe 10340 console 1 65,908 k cmd.exe 12880 console 1 6,064 k conhost.exe 12720 console 1 40,108 k 语雀.exe 10424 console 1 171,292 k 语雀.exe 3660 console 1 30,492 k 语雀.exe 12280 console 1 121,444 k 语雀.exe 7484 console 1 48,652 k smartscreen.exe 7328 console 1 23,624 k
列表远程计算机运行的进程
使用命令tasklist /s 192.168.1.6 /u root /p password列出远程主机192.168.0.9的进程,使用账户root,密码password登录。
列出使用shell32.dll文件的所有进程
e:\>tasklist /m shell32.dll 映像名称 pid 模块 ========================= ======== ============================================ dwm.exe 1220 shell32.dll ibmpmsvc.exe 2108 shell32.dll lplatsvc.exe 2128 shell32.dll litssvc.exe 2140 shell32.dll svchost.exe 2200 shell32.dll svchost.exe 2960 shell32.dll svchost.exe 3560 shell32.dll svchost.exe 3668 shell32.dll spoolsv.exe 4172 shell32.dll adskaccessservicehost.exe 4496 shell32.dll officeclicktorun.exe 4532 shell32.dll oneapp.igcc.winservice.ex 4892 shell32.dll msofficeplusservice.exe 5092 shell32.dll paupdateservice.exe 4700 shell32.dll vmware-usbarbitrator64.ex 6160 shell32.dll svchost.exe 8644 shell32.dll
列出svchost进程所运行的服务
使用命令tasklist /svc /fi "imagename eq svchost.exe"列出svchost进程所运行的服务。
e:\>tasklist /svc /fi "imagename eq svchost.exe
映像名称 pid 服务
========================= ======== ============================================
svchost.exe 616 brokerinfrastructure, dcomlaunch, plugplay,
power, systemeventsbroker
svchost.exe 1084 rpceptmapper, rpcss
svchost.exe 1132 lsm
svchost.exe 1260 termservice
svchost.exe 1296 lmhosts
svchost.exe 1312 bthserv
svchost.exe 1432 timebrokersvc
svchost.exe 1440 ncbservice
svchost.exe 1528 eventlog查看进程详细信息
e:\>tasklist /v |more 映像名称 pid 会话名 会话# 内存使用 状态 用户名 cpu 时间 窗口标题 ========================= ======== ================ =========== ============ =============== ================================================== ============ ======================================================================== system idle process 0 services 0 8 k unknown nt authority\system 35:35:12 暂缺 system 4 services 0 144 k unknown 暂缺 0:11:53 暂缺 registry 116 services 0 71,776 k unknown nt authority\system 0:00:02 暂缺 smss.exe 428 services 0 1,284 k unknown nt authority\system 0:00:00 暂缺 csrss.exe 688 services 0 6,940 k unknown nt authority\system 0:00:01 暂缺 wininit.exe 768 services 0 7,192 k unknown nt authority\system 0:00:00 暂缺 csrss.exe 788 console 1 7,620 k running nt authority\system 0:00:20 暂缺 services.exe 836 services 0 10,708 k unknown nt authority\system 0:00:19 暂缺 winlogon.exe 868 console 1 11,804 k unknown nt authority\system 0:00:01 暂缺 lsass.exe 908 services 0 22,328 k unknown nt authority\system 0:00:06 暂缺 svchost.exe 616 services 0 29,508 k unknown nt authority\system 0:00:23 暂缺 fontdrvhost.exe 644 console 1 60,380 k unknown font driver host\umfd-1 0:00:11 暂缺 fontdrvhost.exe 680 services 0 15,496 k unknown font driver host\umfd-0 0:00:00 暂缺 wudfhost.exe 668 services 0 5,692 k unknown nt authority\local service 0:00:00 暂缺 svchost.exe 1084 services 0 13,684 k unknown nt authority\network service 0:00:11 暂缺 svchost.exe 1132 services 0 11,380 k unknown nt authority\system 0:00:02 暂缺 dwm.exe 1220 console 1 149,108 k running window manager\dwm-1 0:24:28 dwm notification window svchost.exe 1260 services 0 12,880 k unknown nt authority\network service 0:00:00 暂缺 svchost.exe 1296 services 0 5,732 k unknown nt authority\local service 0:00:00 暂缺 svchost.exe 1312 services 0 12,136 k unknown nt authority\local service 0:00:00 暂缺 svchost.exe 1432 services 0 12,664 k unknown nt authority\local service 0:00:00 暂缺 svchost.exe 1440 services 0 10,552 k unknown nt authority\system 0:00:00 暂缺
到此这篇关于windows命令之tasklist命令用法详解(windows查看进程)的文章就介绍到这了,更多相关tasklist命令内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
赞 (0)
打赏
微信扫一扫
微信扫一扫
您想发表意见!!点此发布评论
发表评论