Wmic process where name=”cmd.exe” call terminate -Tắt một lúc nhiều tiến trình theo tên, pid. Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call ter[r]
(1)1-TASKLIST
- Hiển thị tiến trình có PID lớn 2000(tùy chọn PID) in định dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem
Usage","Status","User Name","CPU Time","Window Title" Tasklist /v /fi "pid gt 2000" /fo csv
In file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt
-Để hiển thị tiến trình với trạng thái chạy với username mặc định với username: system, network service, local service, administrator Còn bạn chạy user thị với tên user
Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" < rút gọn Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running” Tasklist /fi “username ne system” /f “status eq running” < lệnh hiển thị trạng thái chạy với username ko phải system
Tasklist /v /fi "STATUS eq running" xem tiến trình chạy -Hiển thị file DLL chạy tiến trình
Tasklist /m
Tasklist /fi “modules eq ntdll*” lệnh lọc file dll với đầu ngữ ntdll Tasklist /fi “modules eq dnsq.dll” tiến trình chạy có dnsq.dll (con dashfer)
2-TASKKILL
-Tắt tiến trình lúc với nhiều PID, name Taskkill /f /pid id1 /pid id2 /pid id3
Vidu với id 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879 Taskkill /f /im explorer.exe /im system.exe /im userinit.exe
-Bắt ép tắt tiến trình chạy với username system (vd notepad.exe) Taskkill /f /fi “username eq system” /im notepad.exe
-Tắt tiến trình theo dạng với số ID 1234 với username (administrator chẳng hạn)
Taskkill /pid 1234 /t fi “username eq administrator”
-Tắt tiến trình với PID lớn 2000 mà ko quan tâm đến tên
Taskkill /f /fi “pid ge 2000” /im * < lưu ý dấu * áp dụng lọc cho tùy chọn /im
3-TSKILL
(2)Tskill pid
Tskill name (vi dụ: tskill explorer) < lưu ý ko có exe 4-WMIC
-Hển thị tiến trình wmic process list wmic process list brief wmic process list full
wmic process list brief /every:10 < 10s lại cập nhật lần (CTRL+C to end)
wmic process list brief | find "cmd.exe" < tìm với cmd.exe
wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath
hiển thị tiến trình ko nằm %windows% -Hiển thị chương trình khởi động
Wmic startup list brief Wmic startup list full
-Hiển thị tên, danh sách user
wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount=1" GET Name -Tắt tiến trình với PID name
Wmic process [pid] delete
Wmic process where name=’cmd.exe’ delete lưu ý: dấu ‘’ hay dấu “”
Wmic process where name=”cmd.exe” call terminate -Tắt lúc nhiều tiến trình theo tên, pid
Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call terminate
Tắt tiến trình có pid 3288 4556
wmic process where (processid=3288 OR Processid=4556) call terminate 5-SC
Lệnh dùng cho services -Truy vấn, xem services, drivers SC query type= services
SC query type= drivers
Hoặc xem tất cả: SC query type= all -Tắt dịch vụ chạy
SC stop schedule tắt schedule
SC stop srservice tắt system restore - Disabled dịch vụ
SC config schedule start= disabled SC config srservice start= disabled
(3)Theo biết lệnh dùng để debug
Cũng ko biết nhiều lệnh có lệnh sau dạng tắt tiến trình NTSD –c q –p PID
NTSD –c q –pn name