Netstat
一個監控 TCP/IP 網絡非常有用的命令, 可以查看路由, 實際的網絡狀態, 以及每個網絡接口的狀態信息
一般用於檢測本機各端口的網路連接情況
PS C:\Users\Administrator> netstat -h
顯示協議統計信息和當前 TCP/IP 網絡連接。
NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-x] [-t] [interval]
-a 顯示所有連接和偵聽端口。
-b 顯示在創建每個連接或偵聽端口時涉及的
可執行程序。在某些情況下,已知可執行程序承載
多個獨立的組件,這些情況下,
顯示創建連接或偵聽端口時
涉及的組件序列。在此情況下,可執行程序的
名稱位於底部 [] 中,它調用的組件位於頂部,
直至達到 TCP/IP。注意,此選項
可能很耗時,並且在你沒有足夠
權限時可能失敗。
-e 顯示以太網統計信息。此選項可以與 -s 選項
結合使用。
-f 顯示外部地址的完全限定
域名(FQDN)。
-n 以數字形式顯示地址和端口號。
-o 顯示擁有的與每個連接關聯的進程 ID。
-p proto 顯示 proto 指定的協議的連接;proto
可以是下列任何一個: TCP、UDP、TCPv6 或 UDPv6。如果與 -s
選項一起用來顯示每個協議的統計信息,proto 可以是下列任何一個:
IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
-q 顯示所有連接、偵聽端口和綁定的
非偵聽 TCP 端口。綁定的非偵聽端口
不一定與活動連接相關聯。
-r 顯示路由表。
-s 顯示每個協議的統計信息。默認情況下,
顯示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的統計信息;
-p 選項可用於指定默認的子網。
-t 顯示當前連接卸載狀態。
-x 顯示 NetworkDirect 連接、偵聽器和共享
終結點。
-y 顯示所有連接的 TCP 連接模板。
無法與其他選項結合使用。
interval 重新顯示選定的統計信息,各個顯示間暫停的
間隔秒數。按 CTRL+C 停止重新顯示
統計信息。如果省略,則 netstat 將打印當前的
配置信息一次。
/**一些常用的netstat命令**/
netstat -ano 查看所有進程地址,佔用的端口及ID號
netstat -ano | findstr [指定端口號] 查看指定端口占用情況
netstat -nao | findstr /i "estab" 查看處於激活(Active)狀態的TCP sessions
netstat -nao | find /i "estab" /c 查看處於激活(Active)狀態的TCP sessions的數量
Tasklist
顯示運行在本地或遠程計算機上的所有進程
PS C:\Users\Administrator> tasklist /?
TASKLIST [/S system [/U username [/P [password]]]]
[/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
描述:
該工具顯示在本地或遠程機器上當前運行的進程列表。
參數列表:
/S system 指定連接到的遠程系統。
/U [domain\]user 指定應該在哪個用戶上下文執行這個命令。
/P [password] 爲提供的用戶上下文指定密碼。如果省略,則
提示輸入。
/M [module] 列出當前使用所給 exe/dll 名稱的所有任務。
如果沒有指定模塊名稱,顯示所有加載的模塊。
/SVC 顯示每個進程中主持的服務。
/APPS 顯示 Microsoft Store 應用及其關聯的進程。
/V 顯示詳細任務信息。
/FI filter 顯示一系列符合篩選器
指定條件的任務。
/FO format 指定輸出格式。
有效值: "TABLE"、"LIST"、"CSV"。
/NH 指定列標題不應該
在輸出中顯示。
只對 "TABLE" 和 "CSV" 格式有效。
/? 顯示此幫助消息。
篩選器:
篩選器名稱 有效運算符 有效值
----------- --------------- --------------------------
STATUS eq, ne RUNNING | SUSPENDED
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 會話編號
SESSIONNAME eq, ne 會話名稱
CPUTIME eq, ne, gt, lt, ge, le CPU 時間,格式爲
hh:mm:ss。
hh - 小時,
mm - 分鐘,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 內存使用(以 KB 爲單位)
USERNAME eq, ne 用戶名,格式爲
[域\]用戶
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 窗口標題
模塊 eq, ne DLL 名稱
注意: 當查詢遠程計算機時,不支持 "WINDOWTITLE" 和 "STATUS"
篩選器。
Examples:
TASKLIST
TASKLIST /M
TASKLIST /V /FO CSV
TASKLIST /SVC /FO LIST
TASKLIST /APPS /FI "STATUS eq RUNNING"
TASKLIST /M wbem*
TASKLIST /S system /FO LIST
TASKLIST /S system /U 域\用戶名 /FO CSV /NH
TASKLIST /S system /U username /P password /FO TABLE /NH
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
Taskkill
PS C:\Users\Administrator> taskkill /?
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]
描述:
使用該工具按照進程 ID (PID) 或映像名稱終止任務。
參數列表:
/S system 指定要連接的遠程系統。
/U [domain\]user 指定應該在哪個用戶上下文執行這個命令。
/P [password] 爲提供的用戶上下文指定密碼。如果忽略,提示
輸入。
/FI filter 應用篩選器以選擇一組任務。
允許使用 "*"。例如,映像名稱 eq acme*
/PID processid 指定要終止的進程的 PID。
使用 TaskList 取得 PID。
/IM imagename 指定要終止的進程的映像名稱。通配符 '*'可用來
指定所有任務或映像名稱。
/T 終止指定的進程和由它啓用的子進程。
/F 指定強制終止進程。
/? 顯示幫助消息。
篩選器:
篩選器名 有效運算符 有效值
----------- --------------- -------------------------
STATUS eq, ne RUNNING |
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne 映像名稱
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 會話編號。
CPUTIME eq, ne, gt, lt, ge, le CPU 時間,格式爲
hh:mm:ss。
hh - 時,
mm - 分,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 內存使用量,單位爲 KB
USERNAME eq, ne 用戶名,格式爲 [domain\]user
MODULES eq, ne DLL 名稱
SERVICES eq, ne 服務名稱
WINDOWTITLE eq, ne 窗口標題
說明
----
1) 只有在應用篩選器的情況下,/IM 切換才能使用通配符 '*'。
2) 遠程進程總是要強行 (/F) 終止。
3) 當指定遠程機器時,不支持 "WINDOWTITLE" 和 "STATUS" 篩選器。
例如:
TASKKILL /IM notepad.exe
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM cmd.exe /T
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U 域\用戶名 /FI "用戶名 ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"