
TList 範例

下列範例示範如何使用 TList。

最簡單的 TList 命令 (tlist)

在沒有其他參數的情況下輸入 tlist 會顯示執行中的進程清單、其進程識別碼 (PID) ,以及其執行所在視窗的標題,如果有的話。


   0 System Process  
   4 System          
 308 smss.exe        
 356 csrss.exe         
 380 winlogon.exe      NetDDE Agent
 424 services.exe    
 436 lsass.exe       
 604 svchost.exe     
 776 svchost.exe     
 852 spoolsv.exe     
1000 clisvcl.exe     
1036 InoRpc.exe      
1064 InoRT.exe       
1076 InoTask.exe     
1244 WTTSvc.exe        
1492 Sysparse_com.exe  OleMainThreadWndName
1980 explorer.exe      Program Manager
1764 launch32.exe      SMS Client User Application Launcher 
1832 msmsgs.exe        MSBLNetConn
2076 ctfmon.exe        
2128 ISATRAY.EXE       IsaTray
4068 tlist.exe   

尋找進程識別碼 (-p)

下列命令會使用 -p 參數和進程名稱來尋找 Explorer.exe (Explorer) 進程的進程識別碼。

為了回應,TList 會顯示 Explorer 進程 328 的進程識別碼。

c:\>tlist -p explorer

使用 PID 尋找程式詳細資料

下列命令會使用 Explorer 執行之進程的進程識別碼,以尋找 Explorer 進程的詳細資訊。

c:\>tlist 328

為了回應,TList 會顯示 Explorer 程式的詳細資料,包括下列元素:

  • 進程識別碼、可執行檔名稱、程式易記名稱。

  • 目前的工作目錄 (CWD) 。

  • 啟動程式 (CmdLine) 的命令列。

  • 目前的虛擬位址空間值。

  • 執行緒數目。

  • 進程中執行的執行緒清單。 針對每個執行緒,TList 會顯示執行緒識別碼 (TID) 、執行緒執行所在的函式、進入點的位址、如果有任何) ,則最後回報錯誤的位址 (,以及執行緒狀態。

  • 針對進程載入的模組清單。 針對每個模組,TList 會顯示模組的版本號碼、屬性、虛擬位址,以及模組名稱。


 328 explorer.exe      Program Manager
   CWD:     C:\Documents and Settings\user01\
   CmdLine: C:\WINDOWS\Explorer.EXE
   VirtualSize:    90120 KB   PeakVirtualSize:   104844 KB
   WorkingSetSize: 19676 KB   PeakWorkingSetSize: 35716 KB
   NumberOfThreads: 17
    332 Win32StartAddr:0x010160cc LastErr:0x00000008 State:Waiting
   1232 Win32StartAddr:0x70a7def2 LastErr:0x00000000 State:Waiting
   1400 Win32StartAddr:0x77f883de LastErr:0x00000000 State:Waiting
   1452 Win32StartAddr:0x77f91e38 LastErr:0x00000000 State:Waiting
   1484 Win32StartAddr:0x70a7def2 LastErr:0x00000006 State:Waiting
   1904 Win32StartAddr:0x74b02ed6 LastErr:0x00000000 State:Ready
   1948 Win32StartAddr:0x72d22ecc LastErr:0x00000000 State:Waiting
   ....  (thread data deleted here)

  6.0.2800.1106 shp  0x01000000  Explorer.EXE
  5.1.2600.1217 shp  0x77F50000  ntdll.dll
  5.1.2600.1106 shp  0x77E60000  kernel32.dll
  7.0.2600.1106 shp  0x77C10000  msvcrt.dll
  5.1.2600.1106 shp  0x77DD0000  ADVAPI32.dll
  5.1.2600.1254 shp  0x78000000  RPCRT4.dll
  5.1.2600.1106 shp  0x77C70000  GDI32.dll
  5.1.2600.1255 shp  0x77D40000  USER32.dll
  ....  (module data deleted here)

尋找多個程式 (模式)

下列命令會依正則運算式搜尋進程,此正則運算式代表一或多個進程的進程名稱或視窗名稱。 在此範例中,命令會搜尋進程名稱或視窗名稱開頭為 「ino」 的進程。

c:\>tlist ino*

為了回應,TList 會顯示Inorpc.exe、Inort.exe和Inotask.exe的程式詳細資料。

顯示進程樹狀結構 (/t)

下列命令會顯示樹狀結構,表示電腦上執行的進程。 進程會顯示為建立進程之進程的子系。

c:\>tlist /t

產生的進程樹狀結構如下。 此樹狀結構顯示系統 (4 個) 進程建立了Smss.exe進程,該進程會建立Csrss.exe、Winlogon.exe、Lsass.exe和Rundll32.exe。 此外,Winlogon.exe建立Services.exe,這會建立所有與服務相關的程式。

System Process (0)
System (4)
  smss.exe (404)
    csrss.exe (452)
    winlogon.exe (476) NetDDE Agent
      services.exe (520)
        svchost.exe (700)
        svchost.exe (724)
        svchost.exe (864)
        svchost.exe (888)
        spoolsv.exe (996)
        scardsvr.exe (1040)
        alg.exe (1172)
        atievxx.exe (1200) ATI video bios poller
        InoRpc.exe (1248)
        InoRT.exe (1264)
        InoTask.exe (1308)
        mdm.exe (1392)
        dllhost.exe (2780)
      lsass.exe (532)
      rundll32.exe (500)
explorer.exe (328) Program Manager
  WLANMON.exe (1728) TI Wireless LAN Monitor
  ISATRAY.EXE (1712) IsaTray
  cmmon32.exe (456)
  WINWORD.EXE (844) Tlist.doc - Microsoft Word
  dexplore.exe (2096) Platform SDK - CreateThread

依模組 (/m 尋找程式)

下列命令會尋找載入特定 DLL 之電腦上執行的所有進程。

c:\>tlist /m 

為了回應,TList 會顯示Inorpc.exe、Inort.exe和Inotask.exe的程式詳細資料。