进程追踪

评论
14 views


网络黑客、黑客软件、病毒、木马都是让人很烦恼的,破坏用户文件,偷偷使用网络带宽、偷客户资料等等……嗯,当然还有可能就是你正常上网查找资料,然后有一个或多个软件和你一起争用你那可怜的带宽!那有什么办法能够把这些程序一一揪出加以清理或暂停网络呢?



这时就要用到我们的命令行了(使用软件也很好,但是这种简单的事情就用命令行即可了),总之就是追踪程序情况。



首先使用netstat -nao | find "(端口号)"得到使用这个端口的程序的PID。


这条命令的意思是查看网络状态,其命令使用方法如下:


NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]



-a:显示所有连接和监听端口。


-b:显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件,并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下,可执行组件名在底部的 [] 中,顶部是其调用的组件,等等,直到 TCP/IP 部分。注意此选项可能需要很长时间,如果没有足够权限可能失败。


-e:显示以太网统计信息。此选项可以与 -s选项组合使用。


-n:以数字形式显示地址和端口号。


-o:显示与每个连接相关的所属进程 ID。


-p proto:显示 proto 指定的协议的连接;proto 可以是下列协议之一: TCP、UDP、TCPv6 或 UDPv6。如果与 -s 选项一起使用以显示按协议统计信息,proto 可以是下列协议之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。


-r:显示路由表。


-s:显示按协议统计信息。默认地,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息;-p 选项用于指定默认情况的子集。


-v:与 -b 选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。


interval:重新显示选定统计信息,每次显示之间暂停时间间隔(以秒计)。按 CTRL+C 停止重新显示统计信息。如果省略,netstat 显示当前配置信息(只显示一次)


命令行最后的find"(端口号)"的意思是查找到相应端口号的程序状态。



然后再用 tasklist /svc | find "PID" 查找相应的程序……然后根据自己的具体情况对相应程序做相关处理即可。



最后再介绍一下tasklist的用法:


TASKLIST     [/S system [/U username [/P [password]]]]


          [/M [module] | /SVC | /V]


           [/FI filter]


           [/FO format]


            [/NH]



描述:


这个命令行工具显示应用程序和本地或远程系统上运行的相关任务/进程的列表。



参数列表:


/S     system           指定连接到的远程系统。


/U     [domain\]user    指定应该在哪个用户上下文执行这个命令。


/P     [password]       为提供的用户上下文指定密码。如果忽略,提示输入。


/M     [module]         列出所有其中符合指定模式名的 DLL 模块的所有任务。如果没有指定模块名,则显示每个任务加载的所有模块。


/SVC                    显示每个进程中的服务。


/V                      指定要显示详述信息。


/FI    filter           显示一系列符合筛选器指定的标准的任务。


/FO    format           指定输出格式。有效值: "TABLE"、"LIST"、"CSV"。


/NH                     指定栏标头不应该在输出中显示。只对 "TABLE" 和 "CSV" 格式有效。



筛选器:


    筛选器名        有效操作符                有效值


    -----------     ---------------           --------------


    STATUS          eq, ne                    正在运行 | 没有响应


    IMAGENAME       eq, ne                    图像名


    PID             eq, ne, gt, lt, ge, le    PID 值


    SESSION         eq, ne, gt, lt, ge, le    会话编号


    SESSIONNAME     eq, ne                    会话名


    CPUTIME         eq, ne, gt, lt, ge, le    CPU 时间,格式为hh:mm:ss。hh - 时,mm - 分,ss - 秒


    MEMUSAGE        eq, ne, gt, lt, ge, le    内存使用量(KB)


    USERNAME        eq, ne                    用户名,格式为 [domain\]user



    SERVICES        eq, ne                    服务名


    WINDOWTITLE     eq, ne                    窗口标题


    MODULES         eq, ne                    DLL 名



例:


    TASKLIST


    TASKLIST /M


    TASKLIST /V


    TASKLIST /SVC


    TASKLIST /M wbem*


    TASKLIST /S system /FO LIST


    TASKLIST /S system /U domain\username /FO CSV /NH


    TASKLIST /S system /U username /P password /FO TABLE /NH


    TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"