windows命令行查看和终止进程

windows批处理系列：初步🪟命令行设置

指令和参数

tasklist可以获取当前运行的程序列表。当不加参数时，其返回值包括5列，分别是映像名称，PID，会话名，会话#，内存使用。taskkill用于杀死某个进程，后面必须跟参数。这两个指令的参数多有相似之处，下表中，如果未作说明，则是两个指令的共有参数，标有✅为tasklist独有的参数，标有❌则独属于taskkill。

筛选器

在进程查看和销毁操作中，筛选是最常用的操作。tasklist和taskkill在开启FI开关后，都支持以下筛选器

• all表示支持六种操作符：eq, ne, gt, lt, ge, le
• 当查询远程计算机时，不支持WINDOWTITLE和STATUS筛选器。

此外，

• status中的suspended不支持taskkill，因为一个进程已经suspended了，就不能再kill了。
• SESSIONNAME指令不支持taskkill
• 只有在应用筛选器的情况下，/IM 切换才能使用通配符 ‘*’。
• 远程进程总是要强行 (/F) 终止。

例如下面的代码表示，列出PID不大于1000的进程。

TASKLIST /FI "pid lt 1000"
1

下面两行代码分别表示列出所有edge的进程；和杀死所有edge进程。

>tasklist /fi "imagename eq msedge.exe"

映像名称         PID 会话名      会话#       内存使用
========== ======== ======== =========== ============
msedge.exe    18784 Console           1    269,900 K
...
>taskkill /fi "imagename eq msedge.exe" /f
成功: 已终止 PID 为 21324 的进程。
成功: 已终止 PID 为 15528 的进程。
...
1
2
3
4
5
6
7
8
9
10

远程指令

/s, /u和/p均在远程操作时使用，其大致逻辑如下

tasklist /s 192.168.1.124 /u micro /p 123456
1

表示列出在192.168.1.124处的用户micro的进程，且micro的密码是123456。

tasklist参数

taskkill独有的4个参数都比较容易理解，就不再演示了。下面对tasklit独有的一些参数做些说明。

如果开启/SVC参数，则返回值将显示三列：映像名称，PID和服务；如果开启/V参数，则会显示9列：映像名称、PID、会话名、会话#、内存使用、状态、用户名、CPU 时间、窗口标题。

如果开启/M参数，但不设子参数，那么将会给出某个exe所使用的所有dll。否则会列出调用某个dll的所有exe，例如

>tasklist /m ntdll.dll

映像名称             PID 模块
=============== ======== ===================
ipf_helper.exe                7924 ntdll.dll
nvcontainer.exe               3808 ntdll.dll
sihost.exe                    8200 ntdll.dll
...
1
2
3
4
5
6
7
8

最后，tasklist可以指定输出格式，默认就是表格table格式，比如刚刚截取的ntdll.dll的例子就是，可读性比较强；csv格式则以,为分隔符，不空格输出，比较适合另存为文件；列表格式则示意如下

...
映像名称:     RuntimeBroker.exe
PID:          12380
会话名      : Console
会话#   :     1
内存使用 :    23,356 K

映像名称:     Code.exe
PID:          944
会话名      : Console
会话#   :     1
内存使用 :    104,992 K
...
1
2
3
4
5
6
7
8
9
10
11
12
13