- Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra định dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title"

Tasklist /v /fi "pid gt 2000" /fo csv

In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt

-Để hiển thị các tiến trình với trạng thái đang chạy với các username mặc định với các username: system, network service, local service, administrator. Còn nếu bạn đang chạy trong user nào thì hiện thị với tên user đó

Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"

Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" <--rút gọn

Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”

Tasklist /fi “username ne system” /f “status eq running” <--lệnh này hiển thị trạng thái đang chạy với username ko phải là system

Tasklist /v /fi "STATUS eq running" xem chỉ những tiến trình đang chạy

-Hiển thị các file DLL chạy cùng tiến trình

Tasklist /m

Tasklist /fi “modules eq ntdll*” lệnh này chỉ lọc các file dll với đầu ngữ ntdll

Tasklist /fi “modules eq dnsq.dll” chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)

2-TASKKILL

-Tắt tiến trình cùng lúc với nhiều PID, name

Taskkill /f /pid id1 /pid id2 /pid id3

Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879

Taskkill /f /im explorer.exe /im system.exe /im userinit.exe

-Bắt ép tắt tiến trình nào đó đang chạy với username system (vd như notepad.exe)

Taskkill /f /fi “username eq system” /im notepad.exe

-Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào đó (administrator chẳng hạn)

Taskkill /pid 1234 /t fi “username eq administrator”

-Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm đến tên của nó

Taskkill /f /fi “pid ge 2000” /im * <--lưu ý dấu * chỉ áp dụng lọc cho tùy chọn /im

3-TSKILL

Lệnh này cũng để tắt tiến trình nhưng với ít tính năng lọc hơn

Tskill pid

Tskill name (vi dụ: tskill explorer) <--lưu ý là ko có đuôi .exe

4-WMIC

-Hển thị tiến trình

wmic process list

wmic process list brief

wmic process list full

wmic process list brief /every:10 <-- cứ 10s lại cập nhật 1 lần (CTRL+C to end)

wmic process list brief | find "cmd.exe" <-- chỉ tìm với cmd.exe

wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath

hiển thị các tiến trình ko nằm trong %windows%

-Hiển thị các chương trình khi khởi động

Wmic startup list brief

Wmic startup list full

-Hiển thị tên, danh sách các user

wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount=1" GET Name

-Tắt tiến trình với PID và name

Wmic process [pid] delete

Wmic process where name=’cmd.exe’ delete lưu ý: dấu ‘’ hay dấu “” đều được cả

Wmic process where name=”cmd.exe” call terminate

-Tắt một lúc nhiều tiến trình theo tên, pid

Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call terminate

Tắt 2 tiến trình có pid là 3288 và 4556

wmic process where (processid=3288 OR Processid=4556) call terminate

5-SC

Lệnh này dùng cho các services

-Truy vấn, xem các services, drivers

SC query type= services

SC query type= drivers

Hoặc xem tất cả: SC query type= all

-Tắt các dịch vụ đang chạy

SC stop schedule tắt schedule

SC stop srservice tắt system restore

- Disabled một dịch vụ nào đó

SC config schedule start= disabled

SC config srservice start= disabled

Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services

6-NTSD

Theo mình biết thì lệnh này dùng để debug

Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình

NTSD –c q –p PID

NTSD –c q –pn name

Vd: ntsd –c q –pn explorer.exe