Команда TASKLIST используется для получения списка процессов, выполняющихся на локальном или удаленном компьютере в данный момент времени.
1. Описание команды TASKLIST.
1.1. Формат командной строки:
C:\ TASKLIST [/S <система> [/U <имя пользователя> [/P [<пароль>]]]]
[/M [<модуль>] | /SVC | /V] [/FI <фильтр>] [/FO <формат>] [/NH]
1.2. Список параметров:
- /S <система> Подключаемый удаленный компьютер.
- /U [<домен>]<пользователь> Пользовательский контекст, в котором должна выполняться эта команда.
- /P [<пароль>] Пароль для этого пользовательского контекста. Запрашивает ввод пароля, если он не задан.
- /M [<модуль>] Отображение всех задач, которые используют данное имя exe/dll. Если имя модуля не указано, то отображаются все загруженные модули.
- /SVC Отображение служб для каждого процесса.
- /V Ведение подробного протоколирования.
- /FI <фильтр> Отображение списка задач, которые отвечают указанному в фильтре критерию.
- /FO <формат> Описание формата выходного файла. Допустимые значения: «TABLE», «LIST», «CSV».
- /NH Отключение отображения заголовка «Column Header» в выходных данных. Допустимо для форматов «TABLE» и «CSV».
- /? Вывод справки по использованию.
1.3. Фильтры
Имя фильтра Допустимые операторы Допустимые значения
----------- --------------- --------------------------
STATUS eq, ne RUNNING |
NOT RESPONDING | UNKNOWN
IMAGENAME eq, ne Имя образа
PID eq, ne, gt, lt, ge, le Значение PID
SESSION eq, ne, gt, lt, ge, le Номер сессии
SESSIONNAME eq, ne Имя сессии
CPUTIME eq, ne, gt, lt, ge, le Время CPU в формате
hh:mm:ss.
hh - часы,
mm - минуты, ss - секунды
MEMUSAGE eq, ne, gt, lt, ge, le Использование памяти в KБ
USERNAME eq, ne Имя пользователя в формате
[<домен>\<пользователь>]
SERVICES eq, ne Имя службы
WINDOWTITLE eq, ne Название окна
MODULES eq, ne Имя DLL
1.4. Примеры:
C:\ TASKLIST C:\ TASKLIST /M C:\ TASKLIST /V /FO CSV C:\ TASKLIST /SVC /FO LIST C:\ TASKLIST /M wbem* C:\ TASKLIST /S <система> /FO LIST C:\ TASKLIST /S <система> /U <домен>\<пользователь> /FO CSV /NH C:\ TASKLIST /S <система> /U <пользователь> /P <пароль> /FO TABLE /NH C:\ TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
2. Примеры использования TASKLIST.
2.1. Выдать краткую справку по использованию команды:
C:\ tasklist /?
2.2. Отобразить на экране консоли список процессов выполняющихся на локальном компьютере в данный момент времени:
C:\ tasklist
Пример отображаемой информации
Имя образа PID Имя сессии № сеанса Память ========================= ======== ================ =========== ============ System Idle Process 0 Services 0 16 КБ System 4 Services 0 244 КБ smss.exe 316 Services 0 812 КБ csrss.exe 432 Services 0 3 192 КБ wininit.exe 468 Services 0 3 688 КБ . . . firefox.exe 3268 Console 1 104 252 КБ cmd.exe 2940 Console 1 2 636 КБ tasklist.exe 2084 Console 1 4 756 КБ . . . explorer.exe 2536 RDP-Tcp#1 1 17 336 КБ
- Имя образа — имя исполняемого файла данного процесса. System Idle Process — это не имя образа, а индикация режима простоя, когда ни один из процессов не выполняется.
- PID — уникальный идентификатор процесса. Присваивается процессу при его создании.
- Имя сессии — имя сессии отображает признак Services — процесс запущен в качестве системной службы, Console — интерактивный пользовательский процесс, RDP-Tcp#n — процесс, созданный удаленным подключением по RDP ( клиентами служб терминалов) — .
- № сеанса — номер сеанса пользователя.
- Память — объем используемой процессом памяти.
2.3. То же, что и в предыдущем примере, но выводимые данные представлены в виде списка:
C:\ tasklist /FO LIST
2.4. Отобразить список процессов в формате полей, разделяемых запятой:
C:\ tasklist /FO CSV
Пример выводимой информации:
"Имя образа","PID","Имя сессии","№ сеанса","Память" "System Idle Process","0","Services","0","16 КБ" "System","4","Services","0","244 КБ" "smss.exe","316","Services","0","812 КБ" "csrss.exe","432","Services","0","3 192 КБ"
2.5. То же, что и в предыдущем примере, но строка заголовка с названием колонок не отображается ( 1-я строка ):
C:\ tasklist /fo csv /nh
2.6. Отобразить список процессов выполняющихся на удаленном компьютере SERVER в данный момент времени:
C:\ tasklist -S SERVER
2.7. Отобразить список процессов, которые подгружают библиотеку wsock32.dll:
C:\ tasklist /m wsock32.dll
2.8. Если имя модуля не задано, то отображается весь список процессов, и по каждому процессу — весь список модулей:
C:\ tasklist /m
2.9. Отобразить информацию о системных службах:
C:\ tasklist /SVC
2.10. Отобразить список процессов, использующих более 10000кб ( 10 Мб) памяти на компьютере с IP-адресом 192.168.0.1:
C:\ tasklist -s 192.168.0.1 -U mydomain\admin -P mypass /FI "memusage gt 10000"
При подключении к удаленному компьютеру используется имя пользователя admin в домене mydomain и пароль mypass.
2.11. Отобразить список процессов, выполняющихся не от имени локальной системной учетной записи:
C:\ tasklist /fi "username ne NT AUTHORITY\Система" | more
Для некоторых версий Windows, вместо русского Система нужно использовать System . Команда объединена в цепочку с more для организации постраничного вывода на экран.
2.12. Отобразить список процессов на удаленном компьютере, созданных клиентами служб терминалов:
C:\ tasklist -s 192.168.0.110 -U mydomain\admin -P mypass /FI "sessionname eq RDP*"