Windows wmic命令之process进程管理
之前使用的是linux,对于进程管理特别方便,相较之下,windows的命令行管理进程就不是那么如意,随研究了一番wmic,记录如下,基本就是根据帮助文档来试验的。
wmic命令总览
C:\Users\Administrator>wmic /?
WMIC 已弃用。
[全局开关] <命令>
可以使用以下全局开关:
/NAMESPACE 别名在其上操作的命名空间的路径。
/ROLE 包含别名定义的角色的路径。
/NODE 别名在其上操作的服务器。
/IMPLEVEL 客户端模拟级别。
/AUTHLEVEL 客户端身份验证级别。
/LOCALE 客户端应使用的语言 ID。
/PRIVILEGES 启用或禁用所有权限。
/TRACE 将调试信息输出到 stderr。
/RECORD 记录所有输入命令和输出内容。
/INTERACTIVE 设置或重置交互模式。
/FAILFAST 设置或重置 FailFast 模式。
/USER 会话期间要使用的用户。
/PASSWORD 登录会话时要使用的密码。
/OUTPUT 指定输出重定向模式。
/APPEND 指定输出重定向模式。
/AGGREGATE 设置或重置聚合模式。
/AUTHORITY 指定连接的 <授权类型>。
/?[:] 用法信息。
有关特定全局开关的详细信息,请键入: switch-name /?
当前角色中可以使用以下别名:
ALIAS - 对本地系统上可用别名的访问
BASEBOARD - 基板(也称为主板或系统板)管理。
BIOS - 基本输入/输出服务(BIOS)管理。
BOOTCONFIG - 启动配置管理。
CDROM - CD-ROM 管理。
COMPUTERSYSTEM - 计算机系统管理。
CPU - CPU 管理。
CSPRODUCT - SMBIOS 中的计算机系统产品信息。
DATAFILE - 数据文件管理。
DCOMAPP - DCOM 应用程序管理。
DESKTOP - 用户的桌面管理。
DESKTOPMONITOR - 桌面监视器管理。
DEVICEMEMORYADDRESS - 设备内存地址管理。
DISKDRIVE - 物理磁盘驱动器管理。
DISKQUOTA - 用于 NTFS 卷的磁盘空间使用量。
DMACHANNEL - 直接内存访问(DMA)通道管理。
ENVIRONMENT - 系统环境设置管理。
FSDIR - 文件系统目录项管理。
GROUP - 组帐户管理。
IDECONTROLLER - IDE 控制器管理。
IRQ - 中断请求线路(IRQ)管理。
JOB - 提供对使用计划服务安排的作业的访问。
LOADORDER - 定义执行依赖关系的系统服务的管理。
LOGICALDISK - 本地存储设备管理。
LOGON - 登录会话。
MEMCACHE - 缓存内存管理。
MEMORYCHIP - 内存芯片信息。
MEMPHYSICAL - 计算机系统的物理内存管理。
NETCLIENT - 网络客户端管理。
NETLOGIN - 网络登录信息(属于特定用户)管理。
NETPROTOCOL - 协议(及其网络特征)管理。
NETUSE - 活动网络连接管理。
NIC - 网络接口控制器(NIC)管理。
NICCONFIG - 网络适配器管理。
NTDOMAIN - NT 域管理。
NTEVENT - NT 事件日志中的项目。
NTEVENTLOG - NT 事件日志文件管理。
ONBOARDDEVICE - 主板(系统板)中内置的通用适配器设备的管理。
OS - 已安装操作系统的管理。
PAGEFILE - 虚拟内存文件交换管理。
PAGEFILESET - 页面文件设置管理。
PARTITION - 物理磁盘的已分区区域的管理。
PORT - I/O 端口管理。
PORTCONNECTOR - 物理连接端口管理。
PRINTER - 打印机设备管理。
PRINTERCONFIG - 打印机设备配置管理。
PRINTJOB - 打印作业管理。
PROCESS - 进程管理。
PRODUCT - 安装程序包任务管理。
QFE - 快速修复工程。
QUOTASETTING - 卷上的磁盘配额设置信息。
RDACCOUNT - 远程桌面连接权限管理。
RDNIC - 对特定网络适配器的远程桌面连接管理。
RDPERMISSIONS - 特定远程桌面连接的权限。
RDTOGGLE - 远程打开或关闭远程桌面侦听程序。
RECOVEROS - 操作系统出现故障时将从内存收集的信息。
REGISTRY - 计算机系统注册表管理。
SCSICONTROLLER - SCSI 控制器管理。
SERVER - 服务器信息管理。
SERVICE - 服务应用程序管理。
SHADOWCOPY - 卷影副本管理。
SHADOWSTORAGE - 卷影副本存储区域管理。
SHARE - 共享资源管理。
SOFTWAREELEMENT - 系统上安装的软件产品元素的管理。
SOFTWAREFEATURE - SoftwareElement 的软件产品子集的管理。
SOUNDDEV - 声音设备管理。
STARTUP - 当用户登录到计算机系统时自动运行的命令的管理。
SYSACCOUNT - 系统帐户管理。
SYSDRIVER - 基本服务的系统驱动程序管理。
SYSTEMENCLOSURE - 物理系统外壳管理。
SYSTEMSLOT - 物理连接点(包括端口、插槽和外设以及专用连接点)的管理。
TAPEDRIVE - 磁带驱动器管理。
TEMPERATURE - 温度传感器(电子温度计)数据管理。
TIMEZONE - 时区数据管理。
UPS - 不间断电源(UPS)管理。
USERACCOUNT - 用户帐户管理。
VOLTAGE - 电压传感器(电子电压表)数据管理。
VOLUME - 本地存储卷管理。
VOLUMEQUOTASETTING - 将磁盘配额设置与特定磁盘卷相关联。
VOLUMEUSERQUOTA - 每用户存储卷配额管理。
WMISET - WMI 服务操作参数管理。
有关特定别名的详细信息,请键入: alias /?
CLASS - 按 Esc 键可获取完整 WMI 架构。
PATH - 按 Esc 键可获取完整 WMI 对象路径。
CONTEXT - 显示所有全局开关的状态。
QUIT/EXIT - 退出程序。
有关 CLASS/PATH/CONTEXT 的详细信息,请键入: (CLASS | PATH | CONTEXT) /? 1.wmic process
本文主要介绍 wmic process 命令的使用
C:\Users\Administrator>wmic process /?
PROCESS - 进程管理。
提示: BNF 的别名用法。
(<别名> [WMI 对象] | <别名> [<路径 where>] | [<别名>] <路径 where>) [<谓词子句>]。
用法:
PROCESS ASSOC [<格式说明符>]
PROCESS CALL <方法名称> [<实际参数列表>]
PROCESS CREATE <分配列表>
PROCESS DELETE
PROCESS GET [<属性列表>] [<获取开关>]
PROCESS LIST [<列表格式>] [<列表开关>]wmic process 不加参数显示所有的进程和所有信息,从Caption列到WriteTransferCount列,共计45列。
这里只选取了两个进程来展示,当然不是所有的进程都有每列对应的信息。
C:\Users\Administrator>wmic process
Caption CommandLine CreationClassName CreationDate CSCreationClassName CSName Description ExecutablePath ExecutionState Handle HandleCount InstallDate KernelModeTime MaximumWorkingSetSize MinimumWorkingSetSize Name OSCreationClassName OSName OtherOperationCount OtherTransferCount PageFaults PageFileUsage ParentProcessId PeakPageFileUsage PeakVirtualSize PeakWorkingSetSize Priority PrivatePageCount ProcessId QuotaNonPagedPoolUsage QuotaPagedPoolUsage QuotaPeakNonPagedPoolUsage QuotaPeakPagedPoolUsage ReadOperationCount ReadTransferCount SessionId Status TerminationDate ThreadCount UserModeTime VirtualSize WindowsVersion WorkingSetSize WriteOperationCount WriteTransferCount
notepad.exe "C:\WINDOWS\system32\notepad.exe" Win32_Process 20191219174841.511662+480 Win32_ComputerSystem ABERT notepad.exe C:\WINDOWS\system32\notepad.exe 1168 269 1718750 1380 200 notepad.exe Win32_OperatingSystem Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 1167 11874 5509 5172 10120 5520 2203497086976 18428 8 5296128 1168 20 250 21 262 2 18539 1 4 468750 2203489005568 10.0.18362 18817024 0 0
notepad++.exe "C:\Program Files (x86)\Notepad++\notepad++.exe" Win32_Process 20191219175123.741545+480 Win32_ComputerSystem ABERT notepad++.exe C:\Program Files (x86)\Notepad++\notepad++.exe 8764 438 74531250 1380 200 notepad++.exe Win32_OperatingSystem Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 3818 42922 12980 22048 10120 23724 215113728 38316 8 22577152 8764 36 350 37 362 170 2242184 1 6 52812500 208207872 10.0.18362 38113280 0 0
...我们可以使用where关键字来过滤某个特定的进程,如我们知道进程名为notepad.exe
C:\Users\Administrator>wmic process where Caption='notepad.exe'
Caption CommandLine CreationClassName CreationDate CSCreationClassName CSName Description ExecutablePath ExecutionState Handle HandleCount InstallDate KernelModeTime MaximumWorkingSetSize MinimumWorkingSetSize Name OSCreationClassName OSName OtherOperationCount OtherTransferCount PageFaults PageFileUsage ParentProcessId PeakPageFileUsage PeakVirtualSize PeakWorkingSetSize Priority PrivatePageCount ProcessId QuotaNonPagedPoolUsage QuotaPagedPoolUsage QuotaPeakNonPagedPoolUsage QuotaPeakPagedPoolUsage ReadOperationCount ReadTransferCount SessionId Status TerminationDate ThreadCount UserModeTime VirtualSize WindowsVersion WorkingSetSize WriteOperationCount WriteTransferCount
notepad.exe "C:\WINDOWS\system32\notepad.exe" Win32_Process 20191219174841.511662+480 Win32_ComputerSystem ABERT notepad.exe C:\WINDOWS\system32\notepad.exe 1168 269 1718750 1380 200 notepad.exe Win32_OperatingSystem Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 1167 11874 5510 5172 10120 5520 2203497086976 18428 8 5296128 1168 20 250 21 262 2 18539 1 4 468750 2203489005568 10.0.18362 18812928 0 0
转换成纵向更好观看
Caption notepad.exe
CommandLine "C:\WINDOWS\system32\notepad.exe"
CreationClassName Win32_Process
CreationDate 20191219162607.799514+480
CSCreationClassName Win32_ComputerSystem
CSName ABERT
Description notepad.exe
ExecutablePath C:\WINDOWS\system32\notepad.exe
ExecutionState
Handle 13132
HandleCount 279
InstallDate
KernelModeTime 1718750
MaximumWorkingSetSize 1380
MinimumWorkingSetSize 200
Name notepad.exe
OSCreationClassName Win32_OperatingSystem
OSName Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1
OtherOperationCount 1139
OtherTransferCount 11842
PageFaults 5461
PageFileUsage 6000
ParentProcessId 10524
PeakPageFileUsage 6000
PeakVirtualSize 2203497086976
PeakWorkingSetSize 18728
Priority 8
PrivatePageCount 6144000
ProcessId 13132
QuotaNonPagedPoolUsage 21
QuotaPagedPoolUsage 250
QuotaPeakNonPagedPoolUsage 21
QuotaPeakPagedPoolUsage 262
ReadOperationCount 2
ReadTransferCount 17864
SessionId 1
Status
TerminationDate
ThreadCount 8
UserModeTime 781250
VirtualSize 2203491102720
WindowsVersion 10.0.18362
WorkingSetSize 19156992
WriteOperationCount 0
WriteTransferCount 02.wmic process list
我们以process list(属性列表操作) 命令为例进行讲解
wmic process list 不加参数,默认打印所有的CommandLine列到WriteTransferCount列,共计40列。与前面直接使用wmic process 展示的45列相比,少了如下5列。
Caption
CreationClassName
CreationDate
CSCreationClassName
OSCreationClassName
C:\Users\Administrator>wmic process list
CommandLine CSName Description ExecutablePath ExecutionState Handle HandleCount InstallDate KernelModeTime MaximumWorkingSetSize MinimumWorkingSetSize Name OSName OtherOperationCount OtherTransferCount PageFaults PageFileUsage ParentProcessId PeakPageFileUsage PeakVirtualSize PeakWorkingSetSize Priority PrivatePageCount ProcessId QuotaNonPagedPoolUsage QuotaPagedPoolUsage QuotaPeakNonPagedPoolUsage QuotaPeakPagedPoolUsage ReadOperationCount ReadTransferCount SessionId Status TerminationDate ThreadCount UserModeTime VirtualSize WindowsVersion WorkingSetSize WriteOperationCount WriteTransferCount
ABERT services.exe 884 851 70781250 services.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 17942 194666 24419 6100 812 8108 2203437035520 21524 9 6246400 884 12 180 19 215 2795 908712 0 8 18593750 2203385245696 10.0.18362 11182080 1 160
C:\WINDOWS\system32\lsass.exe ABERT lsass.exe C:\WINDOWS\system32\lsass.exe 904 1594 39843750 1380 200 lsass.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 26557 1795723 11315 8276 812 8736 2203419828224 20004 9 8474624 904 29 152 33 157 4264 2932158 0 8 25781250 2203417669632 10.0.18362 20156416 1162 447449
winlogon.exe ABERT winlogon.exe C:\WINDOWS\system32\winlogon.exe 952 282 1562500 1380 200 winlogon.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 579 200918 6128 3232 804 4484 2203429298176 18324 13 3309568 952 18 148 19 159 65 209250 1 7 625000 2203422507008 10.0.18362 12677120 0 0
C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p -s PlugPlay ABERT svchost.exe C:\WINDOWS\system32\svchost.exe 652 113 312500 1380 200 svchost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 64 430 2030 1648 884 2832 2203391688704 6028 8 1687552 652 12 60 12 66 0 0 0 2 0 2203388182528 10.0.18362 5910528 0 0
C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p ABERT svchost.exe C:\WINDOWS\system32\svchost.exe 664 1234 40937500 1380 200 svchost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 13913 384159 26780 13628 884 14504 2203492900864 38172 8 13955072 664 29 662 33 669 1194 75026 0 21 8593750 2203474505728 10.0.18362 33574912 3 97832
"fontdrvhost.exe" ABERT fontdrvhost.exe C:\WINDOWS\system32\fontdrvhost.exe 892 33 8906250 1380 200 fontdrvhost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 8303 1292684 1339 2300 812 4460 2203428683776 4512 8 2355200 892 6 108 7 108 1 66082 0 5 156250 2203425009664 10.0.18362 4419584 0 0
"fontdrvhost.exe" ABERT fontdrvhost.exe C:\WINDOWS\system32\fontdrvhost.exe 824 33 15468750 1380 200 fontdrvhost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 8328 1295812 5264 4908 952 4952 2203533037568 15992 8 5025792 824 9 270 10 309 1 66082 1 5 13906250 2203512152064 10.0.18362 16359424 0 0
C:\WINDOWS\system32\svchost.exe -k RPCSS -p ABERT svchost.exe C:\WINDOWS\system32\svchost.exe 1052 1402 75781250 1380 200 svchost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 4109 255745 29082 10096 884 10668 2203464146944 18092 8 10338304 1052 24 183 30 225 17 8704 0 15 66562500 2203423059968 10.0.18362 17932288 0 0
C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p -s LSM ABERT svchost.exe C:\WINDOWS\system32\svchost.exe 1108 389 15000000 1380 200 svchost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 205 968 4249 3796 884 4120 2203414343680 12024 8 3887104 1108 17 126 19 127 0 0 0 8 7343750 2203406204928 10.0.18362 11943936 0 0
"dwm.exe" ABERT dwm.exe C:\WINDOWS\system32\dwm.exe 1176 1034 132500000 1380 200 dwm.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 1762 41986 200751 71276 952 109816 2203878887424 142720 13 72986624 1176 50 754 59 794 37 30992 1 18 165312500 2203828015104 10.0.18362 106606592 37 652
C:\WINDOWS\System32\svchost.exe -k NetworkService -s TermService ABERT svchost.exe C:\WINDOWS\System32\svchost.exe 1256 495 6718750 1380 200 svchost.exe Microsoft Windows 10 专业版|C:\WINDOWS|\Device\Harddisk0\Partition1 598 5620 6883 4932 884 6096 2203455123456 13712 8 5050368 1256 23 142 24 174 0 0 0 26 1875000 2203435368448 10.0.18362 13484032 0 0
...wmic process list 也可以使用 where关键字来限定条件,但是需要将where句子放在process和list之间
C:\Users\Administrator>wmic process where Name='notepad.exe' list
CommandLine CSName Description ExecutablePath ExecutionState Handle HandleCount InstallDate KernelModeTime MaximumWorkingSetSize MinimumWorkingSetSize Name OSName OtherOperationCount OtherTransferCount PageFaults PageFileUsage ParentProcessId PeakPageFileUsage PeakVirtualSize PeakWorkingSetSize Priority PrivatePageCount ProcessId QuotaNonPagedPoolUsage QuotaPagedPoolUsage QuotaPeakNonPagedPoolUsage QuotaPeakPagedPoolUsage ReadOperationCount ReadTransferCount SessionId Status TerminationDate ThreadCount UserModeTime VirtualSize WindowsVersion WorkingSetSize WriteOperationCount WriteTransferCount
"C:\WINDOWS\system32\notepad.exe" ABERT notepad.exe C:\WINDOWS\system32\notepad.exe 1168 269 1718750 1380 200 notepad.exe Microsoft Windows 10 专业 版|C:\WINDOWS|\Device\Harddisk0\Partition1 1167 11874 5511 5172 10120 5520 2203497086976 18428 8 5296128 1168 20 250 21 262 2 18539 1 4 468750 2203489005568 10.0.18362 15728640 0 0
wmic process list 的帮助文档如下:
C:\Users\Administrator>wmic process list /?
属性列表操作。
用法:
LIST [<列表格式>] [<列表开关>]
可以使用以下 LIST 格式:
BRIEF - ThreadCount,
HandleCount,
Name,
Priority,
ProcessId
FULL - CommandLine,
CSName,
Description,
ExecutablePath,
ExecutionState,
Handle,
HandleCount,
InstallDate,
KernelModeTime,
MaximumWorkingSetSize,
MinimumWorkingSetSize,
Name,
OSName,
OtherOperationCount,
OtherTransferCount,
PageFaults,
PageFileUsage,
ParentProcessId,
PeakPageFileUsage,
PeakVirtualSize,
PeakWorkingSetSize,
Priority,
PrivatePageCount,
ProcessId,
QuotaNonPagedPoolUsage,
QuotaPagedPoolUsage,
QuotaPeakNonPagedPoolUsage,
QuotaPeakPagedPoolUsage,
ReadOperationCount,
ReadTransferCount,
SessionId,
Status,
TerminationDate,
ThreadCount,
UserModeTime,
VirtualSize,
WindowsVersion,
WorkingSetSize,
WriteOperationCount,
WriteTransferCount
INSTANCE - __PATH
IO - Name,
ProcessId,
ReadOperationCount,
ReadTransferCount,
WriteOperationCount,
WriteTransferCount
MEMORY - Handle,
MaximumWorkingSetSize,
MinimumWorkingSetSize,
Name,
PageFaults,
PageFileUsage,
PeakPageFileUsage,
PeakVirtualSize,
PeakWorkingSetSize,
PrivatePageCount,
QuotaNonPagedPoolUsage,
QuotaPagedPoolUsage,
QuotaPeakNonPagedPoolUsage,
QuotaPeakPagedPoolUsage,
VirtualSize,
WorkingSetSize
STATISTICS - HandleCount,
Name,
KernelModeTime,
MaximumWorkingSetSize,
MinimumWorkingSetSize,
OtherOperationCount,
OtherTransferCount,
PageFaults,
PageFileUsage,
PeakPageFileUsage,
PeakVirtualSize,
PeakWorkingSetSize,
PrivatePageCount,
ProcessId,
QuotaNonPagedPoolUsage,
QuotaPagedPoolUsage,
QuotaPeakNonPagedPoolUsage,
QuotaPeakPagedPoolUsage,
ReadOperationCount,
ReadTransferCount,
ThreadCount,
UserModeTime,
VirtualSize,
WorkingSetSize,
WriteOperationCount,
WriteTransferCount
STATUS - Status,
Name,
ProcessId
SYSTEM - __CLASS,
__DERIVATION,
__DYNASTY,
__GENUS,
__NAMESPACE,
__PATH,
__PROPERTY_COUNT,
__RELPATH,
__SERVER,
__SUPERCLASS
可以使用以下 LIST 开关:
/TRANSLATE: - Translate output via values from .
/EVERY:<间隔> [/REPEAT:<重复计数>] - 如果 /REPEAT 已指定命令执行 <重复计数> 次,则每(X 间隔)秒返回值。
/FORMAT:<格式说明符> - 处理 XML 结果的关键字/XSL 文件名。
注意: /TRANSLATE 和 /FORMAT 开关的顺序会影响输出外观。
第一种情况: 如果 /TRANSLATE 位于 /FORMAT 之前,则编排格式会跟在结果转换之后。
第二种情况: 如果 /TRANSLATE 位于 /FORMAT 之后,则转换已编排了格式的结果。
可以看到,wmic process list [ brief | full | instance | io | memory | statistics | status | system ]
list 后面可以如上方括号终端内容,他们分别是将list的40列做了一个分类,以及一些额外的属性。
通过进程名查看父进程ID,如查看notepad.exe进程,打印brief。
C:\Users\Administrator>wmic process where Name='notepad.exe' list BRIEF
HandleCount Name Priority ProcessId ThreadCount WorkingSetSize
269 notepad.exe 8 1168 4 15577088
3.wmic process get
查看get的帮助文档,可以看到get可以使用的属性有如下40个,其实他就是对应了前面wmic process list打印的40列。
C:\Users\Administrator>wmic process get /?
属性获取操作。
用法:
GET [<属性列表>] [<获取开关>]
注意: <属性列表> ::= <属性名称> | <属性名称>, <属性列表>
可以使用以下属性:
属性 类型 操作
======== ==== =========
CSName N/A N/A
CommandLine N/A N/A
Description N/A N/A
ExecutablePath N/A N/A
ExecutionState N/A N/A
Handle N/A N/A
HandleCount N/A N/A
InstallDate N/A N/A
KernelModeTime N/A N/A
MaximumWorkingSetSize N/A N/A
MinimumWorkingSetSize N/A N/A
Name N/A N/A
OSName N/A N/A
OtherOperationCount N/A N/A
OtherTransferCount N/A N/A
PageFaults N/A N/A
PageFileUsage N/A N/A
ParentProcessId N/A N/A
PeakPageFileUsage N/A N/A
PeakVirtualSize N/A N/A
PeakWorkingSetSize N/A N/A
Priority N/A N/A
PrivatePageCount N/A N/A
ProcessId N/A N/A
QuotaNonPagedPoolUsage N/A N/A
QuotaPagedPoolUsage N/A N/A
QuotaPeakNonPagedPoolUsage N/A N/A
QuotaPeakPagedPoolUsage N/A N/A
ReadOperationCount N/A N/A
ReadTransferCount N/A N/A
SessionId N/A N/A
Status N/A N/A
TerminationDate N/A N/A
ThreadCount N/A N/A
UserModeTime N/A N/A
VirtualSize N/A N/A
WindowsVersion N/A N/A
WorkingSetSize N/A N/A
WriteOperationCount N/A N/A
WriteTransferCount N/A N/A
可以使用以下 GET 开关:
/VALUE - 返回值。
/ALL(默认) - 返回属性的数据和元数据。
/TRANSLATE: - Translate output via values from .
/EVERY:<间隔> [/REPEAT:<重复计数>] - 如果 /REPEAT 已指定命令执行 <重复计数> 次,则每(X 间隔)秒返回值。
/FORMAT:<格式说明符> - 处理 XML 结果的关键字/XSL 文件名。
注意: /TRANSLATE 和 /FORMAT 开关的顺序会影响输出外观。
第一种情况: 如果 /TRANSLATE 位于 /FORMAT 之前,则编排格式会跟在结果转换之后。
第二种情况: 如果 /TRANSLATE 位于 /FORMAT 之后,则转换已编排了格式的结果。
如,我们利用get获取某个进程的父进程ID ParentProcessId:
C:\Users\Administrator>wmic process where Name="notepad.exe" get ParentProcessId
ParentProcessId
10120
如,获取某个进程的命令行全路径CommandLine:
C:\Users\Administrator>wmic process where Name="notepad.exe" get CommandLine
CommandLine
"C:\WINDOWS\system32\notepad.exe"
我们还可以同时获取多个属性,使用逗号“,”分隔开(列的先后顺序是按ASCII排序的):
C:\Users\Administrator>wmic process where Name='notepad.exe' get ProcessId,ParentProcessId,SessionId,Name
Name ParentProcessId ProcessId SessionId
notepad.exe 10120 1168 1
其他命令ASSOC,CALL,CREATE,DELETE,就暂时不介绍了,因为一般也没用到。
你可能感兴趣的:(windows,wmic,process)