Команда TASKLIST - отобразить список задач на локальном или удаленном компьютере.Формат командной строки:
TASKLIST [/S <система> [/U <имя пользователя> [/P [<пароль>]]]]
[/M [<модуль>] | /SVC | /V] [/FI <фильтр>] [/FO <формат>] [/NH]
Список параметров:
/S <система> Подключаемый удаленный компьютер.
/U [<домен>\]<пользователь>
Пользовательский контекст, в котором
должна выполняться эта команда.
/P [<пароль>] Пароль для этого пользовательского контекста.
Запрашивает ввод пароля, если он не задан.
/M [<модуль>] Отображение всех задач, которые используют данное
имя exe/dll. Если имя модуля не
указано, то отображаются все загруженные модули.
/SVC Отображение служб для каждого процесса.
/V Ведение подробного протоколирования.
/FI <фильтр> Отображение списка задач, которые отвечают
указанному в фильтре критерию.
/FO <формат> Описание формата выходного файла.
Допустимые значения: "TABLE", "LIST", "CSV".
/NH Отключение отображения заголовка "Column Header"
в выходных данных.
Допустимо для форматов "TABLE" и "CSV".
/? Вывод справки по использованию.
Фильтры:
Имя фильтра Допустимые операторы Допустимые значения
----------- --------------- --------------------------
STATUS eq, ne RUNNING |
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne Имя образа
PID eq, ne, gt, lt, ge, le Значение PID
SESSION eq, ne, gt, lt, ge, le Номер сессии
SESSIONNAME eq, ne Имя сессии
CPUTIME eq, ne, gt, lt, ge, le Время CPU в формате
hh:mm:ss.
hh - часы,
mm - минуты, ss - секунды
MEMUSAGE eq, ne, gt, lt, ge, le Использование памяти в KБ
USERNAME eq, ne Имя пользователя в формате
[<домен>\<пользователь>]
SERVICES eq, ne Имя службы
WINDOWTITLE eq, ne Название окна
MODULES eq, ne Имя DLL
Примечание: Фильтры "WINDOWTITLE" и "STATUS" не поддерживаются при опросе
удаленного компьютера.
Примеры:
TASKLIST
TASKLIST /M
TASKLIST /V /FO CSV
TASKLIST /SVC /FO LIST
TASKLIST /M wbem*
TASKLIST /S <система> /FO LIST
TASKLIST /S <система> /U <домен>\<пользователь> /FO CSV /NH
TASKLIST /S <система> /U <пользователь> /P <пароль> /FO TABLE /NH
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
Примеры использования TASKLIST.tasklist /? - выдать краткую справку по использованию команды. tasklist - отобразить на экране консоли список процессов выполняющихся на локальном компьютере в данный момент времени. Пример отображаемой информации Имя образа PID Имя сессии № сеанса Память ========================= ======== ================ =========== ============ System Idle Process 0 Services 0 16 КБ System 4 Services 0 244 КБ smss.exe 316 Services 0 812 КБ csrss.exe 432 Services 0 3 192 КБ wininit.exe 468 Services 0 3 688 КБ . . . firefox.exe 3268 Console 1 104 252 КБ cmd.exe 2940 Console 1 2 636 КБ tasklist.exe 2084 Console 1 4 756 КБ . . . explorer.exe 2536 RDP-Tcp#1 1 17 336 КБ Имя образа - имя исполняемого файла данного процесса. System Idle Process - это не имя образа, а индикация режима простоя, когда ни один из процессов не выполняется. PID - уникальный идентификатор процесса. Присваивается процессу при его создании. Имя сессии - имя сессии отображает признак Services - процесс запущен в качестве системной службы, Console - интерактивный пользовательский процесс, RDP-Tcp#n - процесс, созданный удаленным подключением по RDP ( клиентами служб терминалов) - . № сеанса - номер сеанса пользователя. Память - объем используемой процессом памяти. tasklist /FO LIST - то же, что и в предыдущем примере, но выводимые данные представлены в виде списка: Имя образа: System Idle Process PID: 0 Имя сессии: Services № сеанса: 0 Память: 16 КБ Имя образа: System PID: 4 Имя сессии: Services № сеанса: 0 Память: 244 КБ tasklist /FO CSV - отобразить список процессов в формате полей, разделяемых запятой: "Имя образа","PID","Имя сессии","№ сеанса","Память" "System Idle Process","0","Services","0","16 КБ" "System","4","Services","0","244 КБ" "smss.exe","316","Services","0","812 КБ" "csrss.exe","432","Services","0","3 192 КБ" tasklist /fo csv /nh - то же, что и в предыдущем примере, но строка заголовка с названием колонок не отображается ( 1-я строка ). tasklist -S SERVER - отобразить список процессов выполняющихся на удаленном компьютере SERVER в данный момент времени. tasklist /m wsock32.dll - отобразить список процессов, которые подгружают библиотеку wsock32.dll. Пример отображаемых результатов выполнения команды: Имя образа PID Модули ========================= ======== ============================================ AvastSvc.exe 1456 WSOCK32.dll AvastUI.exe 2252 WSOCK32.dll firefox.exe 3268 WSOCK32.dll tasklist /m - если имя модуля не задано, то отображается весь список процессов, и по каждому процессу - весь список модулей. Пример результата выполнения команды:
Имя образа PID Модули
========================= ======== ============================================
System Idle Process 0 Н/Д
System 4 Н/Д
smss.exe 316 ntdll.dll
csrss.exe 432 ntdll.dll, CSRSRV.dll, basesrv.DLL,
winsrv.DLL, USER32.dll, GDI32.dll,
kernel32.dll, KERNELBASE.dll, LPK.dll,
USP10.dll, msvcrt.dll, sxssrv.DLL, sxs.dll,
RPCRT4.dll, CRYPTBASE.dll
tasklist /SVC - отобразить информацию о системных службах. Пример:
Имя образа PID Службы
========================= ======== ============================================
System Idle Process 0 Н/Д
System 4 Н/Д
smss.exe 316 Н/Д
csrss.exe 432 Н/Д
wininit.exe 468 Н/Д
csrss.exe 488 Н/Д
services.exe 536 Н/Д
lsass.exe 556 KeyIso, SamSs
lsm.exe 564 Н/Д
winlogon.exe 616 Н/Д
svchost.exe 708 DcomLaunch, PlugPlay, Power
svchost.exe 804 RpcEptMapper, RpcSs
svchost.exe 868 Audiosrv, Dhcp, lmhosts
svchost.exe 960 AudioEndpointBuilder, CscService, Netman,
PcaSvc, SysMain, TrkWks, UmRdpService,
UxSms, Wlansvc, wudfsvc
svchost.exe 988 Appinfo, BITS, CertPropSvc, EapHost, gpsvc,
IKEEXT, iphlpsvc, LanmanServer, ProfSvc,
Schedule, SENS, SessionEnv,
ShellHWDetection, Themes, Winmgmt
В колонке Службы отображается короткое имя службы, например, DcomLaunch - для Службы Терминалов tasklist -s 192.168.0.1 -U mydomain\admin -P mypass /FI "memusage gt 10000" - отобразить список процессов, использующих более 10000кб ( 10 Мб) памяти на компьютере с IP-адресом 192.168.0.1 . При подключении к удаленному компьютеру используется имя пользователя admin в домене mydomain и пароль mypass tasklist /fi "username ne NT AUTHORITY\Система" | more - отобразить список процессов, выполняющихся не от имени локальной системной учетной записи. Для некоторых версий Windows, вместо русского Система нужно использовать System . Команда объединена в цепочку с more для организации постраничного вывода на экран. tasklist -s 192.168.0.110 -U mydomain\admin -P mypass /FI "sessionname eq RDP*" - отобразить список процессов на удаленном компьютере, созданных клиентами служб терминалов. Кроме получения чисто справочной информации о выполняющихся в системе процессах, команда TASKLIST обычно используется как средство получения исходных данных для команды принудительного завершения процессов TASKKIll |
|
|
|