应急响应 - Windows进程分析，Windows网络分析，tasklist，wmic process

「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

一、Tasklist

tasklist命令用来查看计算机上的进程，默认显示所有进程。

1、tasklist /v

参数/v，可以显示详细信息，也就是显示所有字段。

1、tasklist /svc

参数/svc，可以显示进程和服务的对应关系。

参数 /fi 可以过滤，过滤的内容必须用双引号包裹。

例：过滤PID等于13508的进程。

例：过滤进程名等于cmd.exe的进程。

例：过滤指定用户正在运行的进程。

/fi 常用的连接符有：

• eq：等于
• nq：不等于
• gt：大于
• lt：小于
• ge：大于等于
• le：小于等于

2、tasklist /m

参数/m，可以显示进程加载的dll文件。

过滤指定dll的调用情况。

二、wmic process

wmic process命令用来管理计算机上的进程，默认显示所有列、所有信息。

wmic process有45个字段，比tasklist更加详细。

wimic process默认展示的信息非常混乱，这里输出到文件中查看：

第一行是字段名（Caption，CommandLine等 ），第二行开始是内容。

1、get

使用get，过滤指定的字段。

比如：只显示 进程名、进程ID、父进程ID这三个字段。

2、/format:csv

参数/format用来指定显示的格式，即格式化。

比如：使用vsv格式展示。

需要注意的是，格式化必须配合get使用。

3、where

where可以过滤指定字段的内容。

比如：查看 processid等于452的进程。

4、call terminate

call terminate可以根据进程名结束指定进程，通常配合 where 使用。

例：结束 name等于notepad++.exe 的恶意进程。

5、delete

delete可以根据进程id结束指定进程，通常配合 where 使用。

例：删除 processid等于5300 的恶意进程。

三、任务管理器

使用Windows自带的任务管理器查看可疑进程。

四、netstat

netstat用来显示网络连接信息。

例：过滤443端口

常见网络状态（status字段）：

• LISTENING：监听状态
• ESTABLISHED：建立连接
• CLOSE_WAIT：对方主动关闭连接或网络异常导致连接中断