如果您需要在Windows 11中快速获取当前运行的所有进程及其详细信息,但无法通过图形界面直观识别程序来源或资源归属,则可借助内置命令行工具tasklist实现精准枚举。以下是使用tasklist查看进程的完整操作流程:
一、基础用法:列出全部进程
tasklist命令默认以表格形式输出所有正在运行的进程,包含映像名称、PID、会话名、内存使用量等关键字段,是后续定位与分析的基础。
1、按下Win + X组合键,从弹出菜单中选择终端(管理员);
2、在用户账户控制提示中点击是,允许终端以管理员权限运行;
3、在终端窗口中输入:tasklist,然后按回车键执行;
4、观察输出结果,重点关注映像名称(如 chrome.exe、svchost.exe)和PID(进程标识符)两列。
二、筛选指定进程:按名称匹配
当已知目标程序的可执行文件名(例如 msedge.exe 或 notepad.exe)时,可结合findstr对tasklist输出进行实时过滤,避免在大量进程中人工查找。
1、在管理员终端中输入:tasklist | findstr “msedge.exe”,将“msedge.exe”替换为实际需查询的进程名;
2、若存在匹配项,将仅显示包含该字符串的行,包括其PID、会话与内存占用;
3、注意双引号必须保留,且进程名区分大小写不敏感,但空格或扩展名错误会导致无结果返回。
三、按PID精确查询单个进程
当已通过其他方式(如netstat、资源监视器)获得某个进程的PID,需确认其对应可执行文件是否可信或是否为预期程序时,可用tasklist配合findstr直接定位。
1、在管理员终端中输入:tasklist | findstr “1234”,将“1234”替换为实际PID数值;
2、输出中若存在该PID,则显示其映像名称、会话名、内存使用量及状态;
3、若未返回任何内容,说明该PID当前已不存在或不属于用户会话范围内的活跃进程。
四、导出进程列表至文本文件
为便于离线分析、比对或存档,可将tasklist完整输出保存为本地文本文件,支持后续用记事本或Excel打开查阅。
1、在管理员终端中输入:tasklist > C:\process_list.txt;
2、系统将在C盘根目录生成名为process_list.txt的纯文本文件;
3、如需覆盖已有文件,该命令将自动替换;如需追加内容,应改用>>符号。
五、查看服务关联进程与完整路径
标准tasklist不显示进程启动路径,但可通过wmic命令补全关键信息,用于识别伪装进程或验证文件真实性。
1、在管理员终端中输入:wmic process where “ProcessId=1234” get Name,ExecutablePath,CommandLine,将“1234”替换为目标PID;
2、执行后将返回该进程的名称、完整可执行文件路径及启动参数;
3、若ExecutablePath为空,表明该进程由系统内核或DLL动态加载,非独立可执行文件。
评论(0)