Поделиться через

Примеры TList

  • Статья

В следующих примерах показано, как использовать TList.

Простейшая команда TList (tlist)

При вводе списка без дополнительных параметров отображается список запущенных процессов, их идентификаторы процессов (PID) и заголовок окна, в котором они выполняются, если таковые имеются.

c:\>tlist

   0 System Process  
   4 System          
 308 smss.exe        
 356 csrss.exe         
 380 winlogon.exe      NetDDE Agent
 424 services.exe    
 436 lsass.exe       
 604 svchost.exe     
 776 svchost.exe     
 852 spoolsv.exe     
1000 clisvcl.exe     
1036 InoRpc.exe      
1064 InoRT.exe       
1076 InoTask.exe     
1244 WTTSvc.exe        
1492 Sysparse_com.exe  OleMainThreadWndName
1980 explorer.exe      Program Manager
1764 launch32.exe      SMS Client User Application Launcher 
1832 msmsgs.exe        MSBLNetConn
2076 ctfmon.exe        
2128 ISATRAY.EXE       IsaTray
4068 tlist.exe

Поиск идентификатора процесса (-p)

Следующая команда использует параметр -p и имя процесса для поиска идентификатора процесса Explorer.exe (Обозреватель).

В ответ TList отображает идентификатор процесса Обозреватель процесса 328.

c:\>tlist -p explorer
328

Поиск сведений о процессе с помощью PID

Следующая команда использует идентификатор процесса, в котором выполняется Обозреватель, чтобы найти подробные сведения о процессе Обозреватель.

c:\>tlist 328

В ответ TList отображает сведения о процессе Обозреватель, включая следующие элементы:

  • Идентификатор процесса, имя исполняемого файла, понятное имя программы.

  • Текущий рабочий каталог (CWD).

  • Командная строка, которая запустила процесс (CmdLine).

  • Текущие значения виртуального адресного пространства.

  • число потоков;

  • Список потоков, выполняющихся в процессе. Для каждого потока TList отображает идентификатор потока (TID), функцию, которая выполняется, адрес точки входа, адрес последней сообщаемой ошибки (при наличии) и состояние потока.

  • Список модулей, загруженных для процесса. Для каждого модуля TList отображает номер версии, атрибуты, виртуальный адрес модуля и имя модуля.

Ниже приведен фрагмент выходных данных, полученных в результате выполнения этой команды.

 328 explorer.exe      Program Manager
   CWD:     C:\Documents and Settings\user01\
   CmdLine: C:\WINDOWS\Explorer.EXE
   VirtualSize:    90120 KB   PeakVirtualSize:   104844 KB
   WorkingSetSize: 19676 KB   PeakWorkingSetSize: 35716 KB
   NumberOfThreads: 17
    332 Win32StartAddr:0x010160cc LastErr:0x00000008 State:Waiting
   1232 Win32StartAddr:0x70a7def2 LastErr:0x00000000 State:Waiting
   1400 Win32StartAddr:0x77f883de LastErr:0x00000000 State:Waiting
   1452 Win32StartAddr:0x77f91e38 LastErr:0x00000000 State:Waiting
   1484 Win32StartAddr:0x70a7def2 LastErr:0x00000006 State:Waiting
   1904 Win32StartAddr:0x74b02ed6 LastErr:0x00000000 State:Ready
   1948 Win32StartAddr:0x72d22ecc LastErr:0x00000000 State:Waiting
   ....  (thread data deleted here)

  6.0.2800.1106 shp  0x01000000  Explorer.EXE
  5.1.2600.1217 shp  0x77F50000  ntdll.dll
  5.1.2600.1106 shp  0x77E60000  kernel32.dll
  7.0.2600.1106 shp  0x77C10000  msvcrt.dll
  5.1.2600.1106 shp  0x77DD0000  ADVAPI32.dll
  5.1.2600.1254 shp  0x78000000  RPCRT4.dll
  5.1.2600.1106 shp  0x77C70000  GDI32.dll
  5.1.2600.1255 shp  0x77D40000  USER32.dll
  ....  (module data deleted here)

Поиск нескольких процессов (шаблон)

Следующая команда выполняет поиск процессов по регулярному выражению, представляющее имя процесса или имя окна одного или нескольких процессов. В этом примере команда выполняет поиск процесса, имя процесса или имя окна которого начинается с "ino".

c:\>tlist ino*

В ответ TList отображает сведения о процессе для Inorpc.exe, Inort.exe и Inotask.exe. Описание выходных данных см. в подразделе "Поиск сведений о процессе с помощью PID" выше.

Отображение дерева процессов (/t)

Следующая команда отображает дерево, представляющее процессы, выполняемые на компьютере. Процессы отображаются как дочерние элементы процесса, который их создал.

c:\>tlist /t

Ниже приведено результирующее дерево процесса. Это дерево, среди прочего, показывает, что процесс System (4) создал процесс Smss.exe, который создал Csrss.exe, Winlogon.exe, Lsass.exe и Rundll32.exe. Кроме того, Winlogon.exe Services.exe, в результате чего были созданы все процессы, связанные со службами.

System Process (0)
System (4)
  smss.exe (404)
    csrss.exe (452)
    winlogon.exe (476) NetDDE Agent
      services.exe (520)
        svchost.exe (700)
        svchost.exe (724)
        svchost.exe (864)
        svchost.exe (888)
        spoolsv.exe (996)
        scardsvr.exe (1040)
        alg.exe (1172)
        atievxx.exe (1200) ATI video bios poller
        InoRpc.exe (1248)
        InoRT.exe (1264)
        InoTask.exe (1308)
        mdm.exe (1392)
        dllhost.exe (2780)
      lsass.exe (532)
      rundll32.exe (500)
explorer.exe (328) Program Manager
  WLANMON.exe (1728) TI Wireless LAN Monitor
  ISATRAY.EXE (1712) IsaTray
  cmmon32.exe (456)
  WINWORD.EXE (844) Tlist.doc - Microsoft Word
  dexplore.exe (2096) Platform SDK - CreateThread

Поиск процесса по модулю (/m)

Следующая команда находит все процессы, запущенные на компьютере, которые загружают определенную библиотеку DLL.

c:\>tlist /m

В ответ TList отображает сведения о процессе для Inorpc.exe, Inort.exe и Inotask.exe. Описание выходных данных см. в подразделе "Поиск сведений о процессе с помощью PID" выше.