1、查看进程对应哪服务 tasklist -svc
2、查看进程调用哪些DLL tasklist -m
3、查看调用某一Dll的所有进程 tasklist -m MSVCP60.DLL,有时候不得以需要删除文件夹,老是提示dll文件受保护,不能删除文件夹,找到进程结束掉,regsvr32 -u *.dll注销dll文件,删除。这样应该可以了。
4、查看进程详细信息 tasklist -v:"进程名","PID","会话名 ","会话#","内存使用 ","状态 ","用户名","CPU 时间","窗口标题 "
5、筛选器查找进程
EQ: 等于
NE: 不等于
LT: 小于
LE: 小于等于
GT: 大于
GE: 大于等于
tasklist -fi "username ne NT authority\system" -fi "status eq running" 列出系统中正在运行的非SYSTEM状态的所有进程
tasklist -fi "username ne NT authority\system" -fi "status eq running" 列出系统中正在运行的非SYSTEM状态的所有进程
tasklist -fi "pid eq 2860" -svc列出pid是2860的这个进程中的服务 (有问题的进程调用哪些服务)
tasklist -fi "pid eq 2860" -m列出pid是2860的这个进程加载的dll模块(有问题的进程调用哪些DLL文件)
tasklist -fi "pid eq 2860" -v列出pid是2860的这个进程的详细信息
tasklist -fi "servicers eq spooler"列出对应服务是spooler的进程(哪些进程在使用这个有问题的服务)
tasklist -fi "modules eq MSVCP60.DLL"列出调用MSVCP60.DLL的进程(哪些进程在使用这个有问题的DLL)
Taskkill -pid 2860/Taskkill -im qq.exe 关掉进程
系统debug级的ntsd,很多进程Tasklist是杀不了的,但是用ntsd就可以,基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉,不过有些rootkit级别的超级***就无能为力了,不过幸好这类***还是很少的。
ntsd
系统debug级的ntsd,很多进程Tasklist是杀不了的,但是用ntsd就可以,基本上除了WINDOWS系统自己的管理进程,ntsd都可以杀掉,不过有些rootkit级别的超级***就无能为力了,不过幸好这类***还是很少的。
1、利用进程的PID结束进程
命令格式:ntsd -c q -p pid
命令范例: ntsd -c q -p 1332 (结束explorer.exe进程)
2、利用进程名结束进程
命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)
命令范例:ntsd -c q -pn explorer.exe
大家有补充的,请留言
转载于:https://blog.51cto.com/coltiam/394060