TList-Beispiele

  • Artikel

Die folgenden Beispiele veranschaulichen die Verwendung von TList.

Einfacher TList-Befehl (tlist)

Die Eingabe von tlist ohne zusätzliche Parameter zeigt eine Liste der ausgeführten Prozesse, ihre Prozess-IDs (PIDs) und den Titel des Fensters an, in dem sie ausgeführt werden, falls vorhanden.

c:\>tlist

   0 System Process  
   4 System          
 308 smss.exe        
 356 csrss.exe         
 380 winlogon.exe      NetDDE Agent
 424 services.exe    
 436 lsass.exe       
 604 svchost.exe     
 776 svchost.exe     
 852 spoolsv.exe     
1000 clisvcl.exe     
1036 InoRpc.exe      
1064 InoRT.exe       
1076 InoTask.exe     
1244 WTTSvc.exe        
1492 Sysparse_com.exe  OleMainThreadWndName
1980 explorer.exe      Program Manager
1764 launch32.exe      SMS Client User Application Launcher 
1832 msmsgs.exe        MSBLNetConn
2076 ctfmon.exe        
2128 ISATRAY.EXE       IsaTray
4068 tlist.exe

Suchen einer Prozess-ID (-p)

Der folgende Befehl verwendet den Parameter -p und den Prozessnamen, um die Prozess-ID des Explorer.exe -Prozesses (Explorer) zu ermitteln.

Als Antwort zeigt TList die Prozess-ID des Explorer Prozesses 328 an.

c:\>tlist -p explorer
328

Suchen nach Prozessdetails mithilfe von PID

Der folgende Befehl verwendet die Prozess-ID des Prozesses, in dem Explorer ausgeführt wird, um detaillierte Informationen zum Explorer-Prozess zu finden.

c:\>tlist 328

Als Antwort zeigt TList Details des Explorer Prozesses an, einschließlich der folgenden Elemente:

  • Prozess-ID, ausführbarer Name, Anzeigename des Programms.

  • Aktuelles Arbeitsverzeichnis (CWD).

  • Die Befehlszeile, die den Prozess gestartet hat (CmdLine).

  • Aktuelle Werte des virtuellen Adressraums.

  • Anzahl der Threads.

  • Eine Liste der Threads, die im Prozess ausgeführt werden. Für jeden Thread zeigt TList die Thread-ID (TID), die Funktion, die der Thread ausführt, die Adresse des Einstiegspunkts, die Adresse des zuletzt gemeldeten Fehlers (falls vorhanden) und den Threadstatus an.

  • Eine Liste der für den Prozess geladenen Module. Für jedes Modul zeigt TList die Versionsnummer, Attribute, die virtuelle Adresse des Moduls und den Modulnamen an.

Im Folgenden ist ein Auszug der Ausgabe aufgeführt, die sich aus diesem Befehl ergibt.

 328 explorer.exe      Program Manager
   CWD:     C:\Documents and Settings\user01\
   CmdLine: C:\WINDOWS\Explorer.EXE
   VirtualSize:    90120 KB   PeakVirtualSize:   104844 KB
   WorkingSetSize: 19676 KB   PeakWorkingSetSize: 35716 KB
   NumberOfThreads: 17
    332 Win32StartAddr:0x010160cc LastErr:0x00000008 State:Waiting
   1232 Win32StartAddr:0x70a7def2 LastErr:0x00000000 State:Waiting
   1400 Win32StartAddr:0x77f883de LastErr:0x00000000 State:Waiting
   1452 Win32StartAddr:0x77f91e38 LastErr:0x00000000 State:Waiting
   1484 Win32StartAddr:0x70a7def2 LastErr:0x00000006 State:Waiting
   1904 Win32StartAddr:0x74b02ed6 LastErr:0x00000000 State:Ready
   1948 Win32StartAddr:0x72d22ecc LastErr:0x00000000 State:Waiting
   ....  (thread data deleted here)

  6.0.2800.1106 shp  0x01000000  Explorer.EXE
  5.1.2600.1217 shp  0x77F50000  ntdll.dll
  5.1.2600.1106 shp  0x77E60000  kernel32.dll
  7.0.2600.1106 shp  0x77C10000  msvcrt.dll
  5.1.2600.1106 shp  0x77DD0000  ADVAPI32.dll
  5.1.2600.1254 shp  0x78000000  RPCRT4.dll
  5.1.2600.1106 shp  0x77C70000  GDI32.dll
  5.1.2600.1255 shp  0x77D40000  USER32.dll
  ....  (module data deleted here)

Suchen nach mehreren Prozessen (Muster)

Der folgende Befehl sucht nach Prozessen mit einem regulären Ausdruck, der den Prozessnamen oder Fensternamen eines oder mehrerer Prozesse darstellt. In diesem Beispiel sucht der Befehl nach einem Prozess, dessen Prozessname oder Fenstername mit "ino" beginnt.

c:\>tlist ino*

Als Antwort zeigt TList Prozessdetails für Inorpc.exe, Inort.exe und Inotask.exe an. Eine Beschreibung der Ausgabe finden Sie im Unterabschnitt "Suchen von Prozessdetails mithilfe von PID".

Anzeigen einer Prozessstruktur (/t)

Der folgende Befehl zeigt eine Struktur an, die die auf dem Computer ausgeführten Prozesse darstellt. Prozesse werden als untergeordnete Elemente des Prozesses angezeigt, von dem sie erstellt wurden.

c:\>tlist /t

Die resultierende Prozessstruktur folgt. Diese Struktur zeigt unter anderem, dass der Systemprozess (4) den Smss.exe-Prozess erstellt hat, der Csrss.exe, Winlogon.exe, Lsass.exe und Rundll32.exe erstellt hat. Außerdem Winlogon.exe Services.exe erstellt, mit dem alle dienstbezogenen Prozesse erstellt wurden.

System Process (0)
System (4)
  smss.exe (404)
    csrss.exe (452)
    winlogon.exe (476) NetDDE Agent
      services.exe (520)
        svchost.exe (700)
        svchost.exe (724)
        svchost.exe (864)
        svchost.exe (888)
        spoolsv.exe (996)
        scardsvr.exe (1040)
        alg.exe (1172)
        atievxx.exe (1200) ATI video bios poller
        InoRpc.exe (1248)
        InoRT.exe (1264)
        InoTask.exe (1308)
        mdm.exe (1392)
        dllhost.exe (2780)
      lsass.exe (532)
      rundll32.exe (500)
explorer.exe (328) Program Manager
  WLANMON.exe (1728) TI Wireless LAN Monitor
  ISATRAY.EXE (1712) IsaTray
  cmmon32.exe (456)
  WINWORD.EXE (844) Tlist.doc - Microsoft Word
  dexplore.exe (2096) Platform SDK - CreateThread

Prozess nach Modul suchen (/m)

Mit dem folgenden Befehl werden alle Prozesse ermittelt, die auf dem Computer ausgeführt werden, die eine bestimmte DLL laden.

c:\>tlist /m

Als Antwort zeigt TList Prozessdetails für Inorpc.exe, Inort.exe und Inotask.exe an. Eine Beschreibung der Ausgabe finden Sie im Unterabschnitt "Suchen von Prozessdetails mithilfe von PID".