系统应用进程查看命令一览表

TASKLIST [/S system [/U username [/P [password]]]]         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]
#参数列表:
/S    system          指定连接到的远程系统。
/U    [domain]user    指定应该在哪个用户上下文执行这个命令。
/P    [password]      为提供的用户上下文指定密码。如果省略，则提示输入。
/M    [module]        列出当前使用所给 exe/dll 名称的所有任务,如果没有指定模块名称，显示所有加载的模块。
/SVC                   显示每个进程中主持的服务。
/V                     显示详述任务信息。
/FI    filter          显示一系列符合筛选器指定的标准的任务。
/FO    format          指定输出格式,有效值: "TABLE"、"LIST"、"CSV"。
/NH                    指定列标题不应该在输出中显示,只对 "TABLE" 和 "CSV" 格式有效。

筛选器名        有效操作符                有效值
-----------    ---------------          --------------------------
STATUS         eq, ne                    RUNNING |NOT RESPONDING | UNKNOWN
IMAGENAME      eq, ne                    映像名称
PID            eq, ne, gt, lt, ge, le    PID 值
SESSION        eq, ne, gt, lt, ge, le    会话编号
CPUTIME        eq, ne, gt, lt, ge, le    CPU 时间，格式为 hh:mm:ss /  hh - 时 / mm - 分，ss - 秒
MEMUSAGE       eq, ne, gt, lt, ge, le    内存使用量，单位为 KB
USERNAME       eq, ne                    用户名，格式为 [domain]user
SERVICES       eq, ne                    服务名称
WINDOWTITLE    eq, ne                    窗口标题
MODULES        eq, ne                    DLL 名称
SESSIONNAME    eq, ne                    会话名

#查看映像名称 PID 会话名 会话 内存使用
tasklist
#显示详述任务信息
>tasklist /v
#映像名称                      PID 会话名              会话#      内存使用  状态            用户名                   CPU 时间 窗口标题
System Idle Process             0 Services             0      24 K Unknown        NT AUTHORITYSYSTEM              2:13:00  暂缺
#显示进程中的印象 PID 服务
tasklist /svc 
#列出当前使用所给 exe/dll 名称的所有任务，如果没有指定模块名称，显示所有加载的模块。
>tasklist /M fire*

#显示所有处于无响应状态的 Internet Explorer 进程
tasklist /fi "STATUS eq NOT RESPONDING"
#显示过滤以system用户执行的程序进程信息
tasklist /fi "USERNAME eq system"
tasklist /v /fo list /fi "USERNAME eq SYSTEM"        #只查看权限是system的进程,输出格式是表格;
#可获取每个进程对应的pid及权限(用户名的值表示)分为 system 与 Administrator
tasklist /v /fo list | more
#查看各个进程的窗口标题
tasklist /v /fo list | findstr "窗口标题"

#基础用法
tlist -t 以树行列表显示进程
#其他查看进程命令:
>netstat -bno   #-O pid , -b Execute Application！
#显示PID和映像名
>query process | findstr "bai"

TASKKILL [/S system [/U username [/P [password]]]]         { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]
#参数列表:
/FI  filter          应用筛选器以选择一组任务。允许使用 "*"。例如，映像名称 eq acme*
/PID  processid        指定要终止的进程的 PID, 使用 TaskList 取得 PID
/IM  imagename        指定要终止的进程的映像名称。通配符 '*'可用来， 指定所有任务或映像名称
/T                    终止指定的进程和由它启用的子进程
/F                    指定强制终止进程

#结束映像名为Notepad.exed的进程
TASKKILL /IM notepad.exe
#结束多个进程及他们的字进程
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
##强制结束cmd.exe进程和字进程
TASKKILL /F /IM cmd.exe /T
#结束远程的时候必须加/f和/IM在使用过滤器得时候可以使用通配符
TASKKILL /S system /U domainusername /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
#过滤器的使用可以指定多个过滤条件和结束指定管理员运行的程序
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe

TSKILL processid | processname [/SERVER:servername] [/ID:sessionid | /A] [/V]
#参数
processid           要结束的进程的 Process ID。
processname         要结束的进程名称。
/SERVER:servername  含有 processID 的服务器(默认值是当前值)，使用进程名和 /SERVER 时，必须指定 /ID或 /A
/ID:sessionid       结束在指定会话下运行的进程。
/A                  结束在所有会话下运行的进程。
/V                  显示正在执行的操作的信息。

#常规使用
tskill PID
tskill 映像名称   
##联合使用
tasklist /fi "STATUS eq NOT RESPONDING"
skill demo

TSSHUTDN [wait_time] [/SERVER:servername] [/REBOOT] [/POWERDOWN] [/DELAY:logoffdelay] [/V]
#参数
wait_time           结束所有用户会话前用户通知后等待时间
/SERVER:servername  要关闭的服务器(默认值是当前值)
/REBOOT             用户会话终止后重新启动服务器
/POWERDOWN          服务器准备关闭
/DELAY:logoffdelay  注销所有连接的会话后要等待的
/V                  显示有关正在执行的操作的信息

#关闭机器
tsshutdn 15 /powerdown

shutdown [/i | /l | /s | /r | /g | /a | /p | /h | /e] [/f] [/m \computer][/t xxx][/d [p|u:]xx:yy [/c "comment"]]
参数：
/i        显示图形用户界面(GUI),这必须是第一个选项。
/l        注销,这不能与 /m 或 /d 选项一起使用。logoff
/s        关闭计算机。
/r  关闭并重新启动计算机。reboot
/g  关闭并重新启动计算机,系统重新启动后，重新启动所有注册的应用程序。
/a        中止系统关闭,这只能在超时期间使用。
/p        关闭本地计算机，没有超时或警告。可以与 /d 和 /f 选项一起使用。
/h        休眠本地计算机，可以与 /f 选项一起使用。
/e        记录计算机意外关闭的原因。
/m \computer    指定目标计算机。
/t xxx          设置关闭前的超时为 xxx 秒。 有效范围是 0-315360000 (10 年)，默认值为 30。如果超时时间大于 0，则默示 /f参数。
/c "comment"  重启动或关闭的原因的注释。最多允许 512 个字符。
/f          强制正在运行的应用程序关闭，不前台警告用户。当为 /t 参数指定大于 0 的值时，则默示 /f 参数。
/d [p|u:]xx:yy  提供重新启动或关机的原因。  p 表明重新启动或关闭是计划内的。  u 表示原因由用户定义。  如果 p 和 u 均未指定，则是计划外重新启动或关闭。  xx 是主要原因号(小于 256 的正整数)。  yy 是次要原因号(小于 65536 的正整数)。

E = 预期 U = 意外 P = 计划内，C = 自定义

类别    主要    次要    标题
U      0      0      其他(计划外)
E      0      0      其他(计划外)
E P    0      0      其他(计划内)
U      0      5      其他故障: 系统没有反应
E      1      1      硬件: 维护(计划外)
E P    1      1      硬件: 维护(计划内)
E      1      2      硬件: 安装(计划外)
E P    1      2      硬件: 安装(计划内)
E      2      2      操作系统: 恢复(计划内)
E P    2      2      操作系统: 恢复(计划内)  
P    2      3      操作系统: 升级(计划内)
E      2      4      操作系统: 重新配置(计划外)
E P    2      4      操作系统: 重新配置(计划内)  
P    2      16      操作系统: Service Pack (计划内)        
2      17      操作系统: 热修补(计划外)  
P    2      17      操作系统: 热修补(计划内)        
2      18      操作系统: 安全修补(计划外)  
P    2      18      操作系统: 安全修补(计划内)
E      4      1      应用程序: 维护(计划外)
E P    4      1      应用程序: 维护(计划内)
E P    4      2      应用程序: 安装(计划内)
E      4      5      应用程序: 没有反应
E      4      6      应用程序: 不稳定
U      5      15      系统故障: 停止错误
U      5      19      安全问题
E      5      19      安全问题
E P    5      19      安全问题
E      5      20      网络连接丢失(计划外)
U      6      11      电源故障: 电线被拔掉
U      6      12      电源故障: 环境  
P    7      0      旧版 API 关机

#1.交互式界面操作
shutdown -i
#2.关闭计算机
shutdown /s /t /1000
#3.重启计算机
shutdown /r /t 100 /c "Reboot"
#4.注销与休眠
shutdown /l
shutdown /h
#5.终止shutdown命令
>shutdown /a

#查看系统已经安装过的补丁
systeminfo | findstr KB
# [01]: KB4515871
# [02]: KB4497727
# [03]: KB4498523
# [04]: KB4503308
# [05]: KB4508433
# [06]: KB4509096
# [07]: KB4515383
# [08]: KB4516115
# [09]: KB4521863
# [10]: KB4517389
#卸载已经安装的补丁
wusa /uninstall /kb:3045999  
#提取补丁文件
wusa /extract:./text windows6.1-kb3184143-x64_6db4ed132eacefab0f780ef5ce4611ffe4f577a4.msu