TList 示例
以下示例演示如何使用 TList。
最简单的 TList 命令 (tlist)
键入不带其他参数的 tlist 会显示正在运行的进程的列表、其进程 ID (PID) ,以及它们正在运行的窗口的标题(如果有)。
c:\>tlist
0 System Process
4 System
308 smss.exe
356 csrss.exe
380 winlogon.exe NetDDE Agent
424 services.exe
436 lsass.exe
604 svchost.exe
776 svchost.exe
852 spoolsv.exe
1000 clisvcl.exe
1036 InoRpc.exe
1064 InoRT.exe
1076 InoTask.exe
1244 WTTSvc.exe
1492 Sysparse_com.exe OleMainThreadWndName
1980 explorer.exe Program Manager
1764 launch32.exe SMS Client User Application Launcher
1832 msmsgs.exe MSBLNetConn
2076 ctfmon.exe
2128 ISATRAY.EXE IsaTray
4068 tlist.exe
查找进程 ID (-p)
以下命令使用 -p 参数和进程名称查找Explorer.exe (资源管理器) 进程的进程 ID。
作为响应,TList 显示资源管理器进程的进程 ID 328。
c:\>tlist -p explorer
328
使用 PID 查找进程详细信息
以下命令使用运行 Explorer 的进程的进程 ID 来查找有关 Explorer 进程的详细信息。
c:\>tlist 328
作为响应,TList 显示资源管理器进程的详细信息,包括以下元素:
进程 ID、可执行文件名称、程序友好名称。
当前工作目录 (CWD) 。
(CmdLine) 启动进程的命令行。
当前虚拟地址空间值。
线程数。
进程中运行的线程列表。 对于每个线程,TList 显示 (TID) 的线程 ID、线程运行的函数、入口点的地址、上一次报告错误的地址 ((如果有任何) )以及线程状态。
为进程加载的模块列表。 对于每个模块,TList 显示模块的版本号、属性、虚拟地址和模块名称。
下面是此命令生成的输出的摘录。
328 explorer.exe Program Manager
CWD: C:\Documents and Settings\user01\
CmdLine: C:\WINDOWS\Explorer.EXE
VirtualSize: 90120 KB PeakVirtualSize: 104844 KB
WorkingSetSize: 19676 KB PeakWorkingSetSize: 35716 KB
NumberOfThreads: 17
332 Win32StartAddr:0x010160cc LastErr:0x00000008 State:Waiting
1232 Win32StartAddr:0x70a7def2 LastErr:0x00000000 State:Waiting
1400 Win32StartAddr:0x77f883de LastErr:0x00000000 State:Waiting
1452 Win32StartAddr:0x77f91e38 LastErr:0x00000000 State:Waiting
1484 Win32StartAddr:0x70a7def2 LastErr:0x00000006 State:Waiting
1904 Win32StartAddr:0x74b02ed6 LastErr:0x00000000 State:Ready
1948 Win32StartAddr:0x72d22ecc LastErr:0x00000000 State:Waiting
.... (thread data deleted here)
6.0.2800.1106 shp 0x01000000 Explorer.EXE
5.1.2600.1217 shp 0x77F50000 ntdll.dll
5.1.2600.1106 shp 0x77E60000 kernel32.dll
7.0.2600.1106 shp 0x77C10000 msvcrt.dll
5.1.2600.1106 shp 0x77DD0000 ADVAPI32.dll
5.1.2600.1254 shp 0x78000000 RPCRT4.dll
5.1.2600.1106 shp 0x77C70000 GDI32.dll
5.1.2600.1255 shp 0x77D40000 USER32.dll
.... (module data deleted here)
(模式) 查找多个进程
以下命令通过表示一个或多个进程的进程名称或窗口名称的正则表达式搜索进程。 在此示例中,命令搜索进程名称或窗口名称以“ino”开头的进程。
c:\>tlist ino*
作为响应,TList 显示Inorpc.exe、Inort.exe和Inotask.exe的进程详细信息。 有关输出的说明,请参阅上面的“使用 PID 查找进程详细信息”小节。
显示进程树 (/t)
以下命令显示一个树,表示计算机上运行的进程。 进程显示为创建它们的进程的子级。
c:\>tlist /t
生成的进程树如下所示。 除其他事项外,此树显示 System (4) 进程创建了Smss.exe进程,该进程创建了Csrss.exe、Winlogon.exe、Lsass.exe和Rundll32.exe。 此外,Winlogon.exe创建了Services.exe,从而创建了所有与服务相关的进程。
System Process (0)
System (4)
smss.exe (404)
csrss.exe (452)
winlogon.exe (476) NetDDE Agent
services.exe (520)
svchost.exe (700)
svchost.exe (724)
svchost.exe (864)
svchost.exe (888)
spoolsv.exe (996)
scardsvr.exe (1040)
alg.exe (1172)
atievxx.exe (1200) ATI video bios poller
InoRpc.exe (1248)
InoRT.exe (1264)
InoTask.exe (1308)
mdm.exe (1392)
dllhost.exe (2780)
lsass.exe (532)
rundll32.exe (500)
explorer.exe (328) Program Manager
WLANMON.exe (1728) TI Wireless LAN Monitor
ISATRAY.EXE (1712) IsaTray
cmmon32.exe (456)
WINWORD.EXE (844) Tlist.doc - Microsoft Word
dexplore.exe (2096) Platform SDK - CreateThread
按模块 (/m) 查找进程
以下命令查找计算机上运行的所有进程,以加载特定 DLL。
c:\>tlist /m
作为响应,TList 显示Inorpc.exe、Inort.exe和Inotask.exe的进程详细信息。 有关输出的说明,请参阅上面的“使用 PID 查找进程详细信息”小节。