DOS下查看进程和查找文件的方法

2024年2月10日发(作者：)

DOS下查看进程和查找文件的方法

(2009-12-21 13:48:27)

转载

标签：

杂谈

cmd下两个非常重要的命令，往往我们在得到对方的dosshell以后，想给对方传送木

马或者rdmin等远程控制软件，但是对方开了win自带的防火墙，或者是天网，更或者

是瑞星的实时监控（其中以瑞星的最麻烦，因为都是有关联服务的），这时我们可以

用"tsd -c q -p PID",PID的获得方法有vbs脚本，也可以使用tasklist..现在先说下

（cmd下执行tasklist就可以获得进程的详细资料，如下图所示）

PID也就是process id--进程id，获得进程id的作用，嘿嘿，不用说太明白了吧

Taskkill的具体格式

taskkill 有如下参数:

/S system 指定要连接到的远程系统。

/U [domain]user 指定应该在哪个用户上下文

执行这个命令。

/P [password] 为提供的用户上下文指定

密码。如果忽略，提示输入。

/F 指定要强行终止

进程。

/FI filter 指定筛选进或筛选出查询的

的任务。

/PID process id 指定要终止的进程的

PID。

/IM image name 指定要终止的进程的

图像名。通配符 '*'

可用来指定所有图像名。

/T Tree kill: 终止指定的进程

和任何由此启动的子进程。

/? 显示帮助/用法

例如:

TASKKILL /S system /F /IM /T

TASKKILL /PID 1230 /PID 1241 /PID 1253 /T

TASKKILL /F /IM /IM

TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"

TASKKILL /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM

TASKKILL /S system /U domainusername /FI "USERNAME ne NT*" /IM *

TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"

我一般用的是 taskkill /f /pid <相对的PID值> /t

比如我们要在DOS下结束 先用tasklist查一下QQ的PID值,我现在的是3108,那么输入

taskkill /f /pid 3108 /t

这个命令的意思是，强行终止远程计算机进程ID为3108的特定进程，并关

由此进程打开任何子进程...

最后补充，用vbs脚本查看pid的方法，将以下代码保存为vbs文件，dos下传给对方

，然后执行cscript

"PID ProcessName"

for each ps in getobject("winmgmts:.rootcimv2:win32_process").instances_

&vbtab&

next

DOS下查找指定文件：

如：从C盘找：

C:>dir/s/p/a 文件名 (/s是在当前目录下的所有子目录中查找；/p是将查找结果分屏显示；/a是查找所有文件，包括隐藏文件；文件名得是完整的，即文件名.扩展名。）

接下来，如果我们想要结束某个程序的所有进程的话，比如，，可以输入

Taskkill /IM /F

如果只想结束某程序的某个进程的话，可以输入该进程的PID来实现，比如：

Taskkill /PID 17364 /F

这里的F表示强制结束。

/F 表示强制结束