close


部分內容引用:http://baike.baidu.com/view/1140997.html

利用 tasklist /svc 顯示每個處理程序中的服務

TASKLIST [/S system [/U username [/P [password]]]]
         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]

描述:
    這個命令列工具顯示了目前在本機或遠端電腦上執行的應用程式和
    相關聯的工作/處理程序。

參數清單:
   /S     system           指定要連線的遠端系統。
   /U     [domain\]user    指定要執行命令的使用者內容。
   /P     [password]       指定提供的使用者內容
                           的密碼。如果省略的話請提示輸入。
   /M     [module]         列出所有已載入 DLL 模組,符合模式名稱的工作。
                           如果沒有指定模組名稱,則顯示每一工作所有已載入的模組。
   /SVC                    在每一處理程序中顯示服務。
   /V                      指定要顯示的詳細資訊。
   /FI    filter           顯示符合篩選器指定條件的工作組。
   /FO    format           指定輸出的格式。
                           有效值: TABLE、LIST 或 CSV。
   /NH                     指定 "Column Header" 不應該顯示在輸出。
                           只有對 TABLE 和 CSV 格式。

應用實例。
  1.查看本機處理程序

      在「命令提示字元」 中輸入 Tasklist 命令即可顯示本機的所有處理程序。
      本機的顯示結果由 5 部分組成:影像名稱、PID、Session Name、Session#、Mem Usage。

  2.查看遠端系統的處理程序

      在命令提示字元下輸入「Tasklist /s 218.22.123.26 /u jtdd /p 12345678」 (不包括引號)
      即可查看到 IP 地址為 218.22.123.26 的遠端系統的處理程序。
      /s 參數後的「218.22.123.26」 指要查看的遠端系統的 IP 地址
      /u 參數後的「jtdd」 指 Tasklist 命令使用的用戶帳號,它必須是遠端系統上的一個合法帳號
      /p 參數後的「12345678」 指 jtdd 帳號的密碼。
      注意:使用 Tasklist 命令查看遠端系統的處理程序時,需要遠端機器的 RPC 服務的支持,
            否則該命令不能正常使用。

  3.查看系統處理程序提供的服務

      Tasklist 命令不但可以查看系統處理程序,而且還可以查看每個處理程序提供的服務。如查看
      本機處理程序 SVCHOST.EXE 提供的服務,在命令提示字元下輸入「Tasklist /svc」 命令即可。
      你會驚奇地發現,有 4 個 SVCHOST.EXE 處理程序,而總共有二十幾項服務使用這個處理程序。
      對於遠端系統來說,查看系統服務也很簡單,使用
      「Tasklist /s 218.22.123.26 /u jtdd /p 12345678 /svc」命令,就可以查看 IP 地址為
      218.22.123.26 的遠端系統處理程序所提供的服務。

  4.查看引用 DLL 模組檔案的處理程序列表

      要查看本地系統中哪些處理程序引用了 shell32.dll 模組檔案,只需在命令提示字元下輸入
      「Tasklist /m shell32.dll」 即可顯示這些處理程序的列表。

  5.使用篩選器尋找指定的處理程序

      在命令提示字元下輸入
      「TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running」,就可以列出
      系統中正在執行的非 SYSTEM 狀態的所有處理程序。其中「/FI」 為篩選器參數,「ne」 和「eq」
      為關係運算符號的「不相等」 和「相等」。


  綜合應用之清除處理程序

  一、Tasklist

        談到「Tasklist」命令,我們就不得不提到它的孿生兄弟「Taskkill」 命令,顧名思義,它是
        用來關掉處理程序的。要關掉本機的 notepad.exe 處理程序,有兩種方法:

        1、 先使用 Tasklist 尋找它的 PID,假設系統顯示本機 notepad.exe 處理程序的 PID 值為
            1132,然後執行「Taskkill /pid 1132」 命令即可。其中「/pid」 參數後面是要終止處理
            程序的 PID 值。

        2、 直接執行「Taskkill /IM notepad.exe」命令,其中「/IM」參數後面為處理程序的影像名稱。

  二、NTSD

        系統 debug 等級的 ntsd,很多處理程序 Tasklist 是殺不了的,但是用 ntsd 就可以,基本上
        除了 WINDOWS 系統自己的管理處理程序,ntsd 都可以殺掉,不過有些 rootkit 等級的超級木馬
        就無能為力了,不過幸好這類木馬還是很少的。

        1、利用處理程序識別碼 (PID) ,清除處理程序

           指令格式: ntsd -c q -p pid
           指令範例: ntsd -c q -p 1332 (假設清除 explorer.exe 處理程序)

        2、利用處理程序名稱,清除處理程序

           指令格式: ntsd -c q -pn ***.exe (***.exe 為處理程序名稱,副檔名 .exe 不能省略)
           指令範例: ntsd -c q -pn explorer.exe


===

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 Cliff 的頭像
    Cliff

    Cliff的部落格

    Cliff 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄