1、查看進程對應哪服務 tasklist -svc
2、查看進程調用哪些DLL tasklist -m
3、查看調用某一Dll的所有進程 tasklist -m MSVCP60.DLL,有時候不得以需要刪除文件夾,老是提示dll文件受保護,不能刪除文件夾,找到進程結束掉,regsvr32 -u *.dll註銷dll文件,刪除。這樣應該可以了。
4、查看進程詳細信息 tasklist -v:"進程名","PID","會話名 ","會話#","內存使用 ","狀態 ","用戶名","CPU 時間","窗口標題 "
5、篩選器查找進程
EQ: 等於
NE: 不等於
LT: 小於
LE: 小於等於
GT: 大於
GE: 大於等於
tasklist -fi "username ne NT authority\system" -fi "status eq running" 列出系統中正在運行的非SYSTEM狀態的所有進程
tasklist -fi "username ne NT authority\system" -fi "status eq running" 列出系統中正在運行的非SYSTEM狀態的所有進程
tasklist -fi "pid eq 2860" -svc列出pid是2860的這個進程中的服務 (有問題的進程調用哪些服務)
tasklist -fi "pid eq 2860" -m列出pid是2860的這個進程加載的dll模塊(有問題的進程調用哪些DLL文件)
tasklist -fi "pid eq 2860" -v列出pid是2860的這個進程的詳細信息
tasklist -fi "servicers eq spooler"列出對應服務是spooler的進程(哪些進程在使用這個有問題的服務)
tasklist -fi "modules eq MSVCP60.DLL"列出調用MSVCP60.DLL的進程(哪些進程在使用這個有問題的DLL)
Taskkill -pid 2860/Taskkill -im qq.exe 關掉進程
系統debug級的ntsd,很多進程Tasklist是殺不了的,但是用ntsd就可以,基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉,不過有些rootkit級別的超級***就無能爲力了,不過幸好這類***還是很少的。
ntsd
系統debug級的ntsd,很多進程Tasklist是殺不了的,但是用ntsd就可以,基本上除了WINDOWS系統自己的管理進程,ntsd都可以殺掉,不過有些rootkit級別的超級***就無能爲力了,不過幸好這類***還是很少的。
1、利用進程的PID結束進程
命令格式:ntsd -c q -p pid
命令範例: ntsd -c q -p 1332 (結束explorer.exe進程)
2、利用進程名結束進程
命令格式:ntsd -c q -pn ***.exe (***.exe 爲進程名,exe不能省)
命令範例:ntsd -c q -pn explorer.exe
大家有補充的,請留言