Команда TASKLIST — отобразить список задач на локальном или удаленном компьютере.

Команда TASKLIST используется для получения списка процессов, выполняющихся на локальном или удаленном компьютере в данный момент времени.

Формат командной строки:

Примеры использования TASKLIST.

tasklist /? — выдать краткую справку по использованию команды.

tasklist — отобразить на экране консоли список процессов выполняющихся на локальном компьютере в данный момент времени. Пример отображаемой информации

Имя образа — имя исполняемого файла данного процесса. System Idle Process — это не имя образа, а индикация режима простоя, когда ни один из процессов не выполняется.

PID — уникальный идентификатор процесса. Присваивается процессу при его создании.

Имя сессии — имя сессии отображает признак Services — процесс запущен в качестве системной службы, Console — интерактивный пользовательский процесс, RDP-Tcp#n — процесс, созданный удаленным подключением по RDP ( клиентами служб терминалов) — .

№ сеанса — номер сеанса пользователя.

Память — объем используемой процессом памяти.

tasklist /FO LIST — то же, что и в предыдущем примере, но выводимые данные представлены в виде списка:

tasklist /FO CSV — отобразить список процессов в формате полей, разделяемых запятой:

tasklist /fo csv /nh — то же, что и в предыдущем примере, но строка заголовка с названием колонок не отображается ( 1-я строка ).

tasklist -S SERVER — отобразить список процессов выполняющихся на удаленном компьютере SERVER в данный момент времени.

tasklist /m wsock32.dll — отобразить список процессов, которые подгружают библиотеку wsock32.dll . Пример отображаемых результатов выполнения команды:

tasklist /m — если имя модуля не задано, то отображается весь список процессов, и по каждому процессу — весь список модулей. Пример результата выполнения команды:

tasklist /SVC — отобразить информацию о системных службах. Пример:

В колонке Службы отображается короткое имя службы, например, DcomLaunch — для Службы Терминалов

tasklist -s 192.168.0.1 -U mydomain\admin -P mypass /FI «memusage gt 10000» — отобразить список процессов, использующих более 10000кб ( 10 Мб) памяти на компьютере с IP-адресом 192.168.0.1 . При подключении к удаленному компьютеру используется имя пользователя admin в домене mydomain и пароль mypass

tasklist /fi «username ne NT AUTHORITY\Система» | more — отобразить список процессов, выполняющихся не от имени локальной системной учетной записи. Для некоторых версий Windows, вместо русского Система нужно использовать System . Команда объединена в цепочку с more для организации постраничного вывода на экран.

tasklist -s 192.168.0.110 -U mydomain\admin -P mypass /FI «sessionname eq RDP*» — отобразить список процессов на удаленном компьютере, созданных клиентами служб терминалов.

Кроме получения чисто справочной информации о выполняющихся в системе процессах, команда TASKLIST обычно используется как средство получения исходных данных для команды принудительного завершения процессов TASKKIll

tasklist tasklist

Отображает список запущенных в данный момент процессов на локальном или удаленном компьютере. Displays a list of currently running processes on the local computer or on a remote computer. Tasklist заменяет средство TList . Tasklist replaces the tlist tool.

Эта команда заменяет средство TList . This command replaces the tlist tool.

Синтаксис Syntax

Параметры Parameters

Параметр Parameter	Описание Description
ключ /s	Указывает имя или IP-адрес удаленного компьютера (не используйте символы обратной косой черты). Specifies the name or IP address of a remote computer (do not use backslashes). По умолчанию это локальный компьютер. The default is the local computer.
/u \ /u \	Выполняет команду с разрешениями учетной записи пользователя, заданного или пользователем \ . Runs the command with the account permissions of the user who is specified by or by \ . Параметр /u может быть указан только в том случае, если задано также значение /s . The /u parameter can be specified only if /s is also specified. По умолчанию заданы разрешения пользователя, который в данный момент вошел в систему компьютера, выполняющего команду. The default is the permissions of the user who is currently logged on to the computer that is issuing the command.
/p

Указывает пароль учетной записи пользователя, указанной в параметре /u . Specifies the password of the user account that is specified in the /u parameter. /m /m Список всех задач с загруженными модулями DLL, которые соответствуют заданному имени шаблона. Lists all tasks with DLL modules loaded that match the given pattern name. Если имя модуля не указано, в этом параметре отображаются все модули, загруженные каждой задачей. If the module name is not specified, this option displays all modules loaded by each task. SVC svc Список всех сведений о службе для каждого процесса без усечения. Lists all the service information for each process without truncation. Допустим, если для параметра /FO задано значение Table. Valid when the /fo parameter is set to table. /v /v Отображает подробные сведения о задаче в выходных данных. Displays verbose task information in the output. Для получения подробных выходных данных без усечения используйте /v и /SVC вместе. For complete verbose output without truncation, use /v and /svc together. #b1

/fo

Указывает формат, используемый для выходных данных. Specifies the format to use for the output. Допустимые значения: Table, List и CSV. Valid values are table, list, and csv. Формат выходных данных по умолчанию — Table. The default format for output is table.
использован /nh	Подавляет вывод заголовков столбцов в выходных данных. Suppresses column headers in the output. Допустим, если для параметра /FO задано значение Table или CSV. Valid when the /fo parameter is set to table or csv.
/Fi /fi	Указывает типы процессов, включаемых в запрос или исключаемых из него. Specifies the types of processes to include in or exclude from the query. Можно использовать более одного фильтра или использовать подстановочный знак ( \ ) для указания всех задач или имен изображений. You can use more than one filter or use the wildcard character ( \ ) to specify all tasks or image names. Допустимые фильтры перечислены в разделе имена фильтров, операторы и значения этой статьи. The valid filters are listed in the Filter names, operators, and values section of this article.
/? /?	Отображение справки в командной строке. Displays help at the command prompt.

Имена фильтров, операторы и значения Filter names, operators, and values

Имя фильтра Filter Name	Допустимые операторы Valid Operators	Допустимые значения Valid Value(s)
Состояние STATUS	eq, ne eq, ne	RUNNING | NOT RESPONDING | UNKNOWN . RUNNING | NOT RESPONDING | UNKNOWN . Этот фильтр не поддерживается, если указана удаленная система. This filter isn’t supported if you specify a remote system.
IMAGENAME IMAGENAME	eq, ne eq, ne	Имя образа Image name
ИД процесса PID	eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le	Значение PID PID value
SESSION SESSION	eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le	Номер сеанса Session number
SESSIONNAME SESSIONNAME	eq, ne eq, ne	Имя сеанса Session name
CPUtime CPUtime	eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le	Время ЦП в формате чч: мм: СС, где mm и SS находятся в диапазоне от 0 до 59, а чч — любое число без знака CPU time in the format HH:MM:SS, where MM and SS are between 0 and 59 and HH is any unsigned number
мемусаже MEMUSAGE	eq, ne, gt, lt, ge, le eq, ne, gt, lt, ge, le	Использование памяти в КБ Memory usage in KB
USERNAME USERNAME	eq, ne eq, ne	Любое допустимое имя пользователя ( или ) Any valid user name ( or )
Обслуживание SERVICES	eq, ne eq, ne	Имя службы Service name
WINDOWTITLE WINDOWTITLE	eq, ne eq, ne	Заголовок окна. Window title. Этот фильтр не поддерживается, если указана удаленная система. This filter isn’t supported if you specify a remote system.
МОДУЛЕ MODULES	eq, ne eq, ne	Имя DLL DLL name

Примеры Examples

Чтобы получить список всех задач с идентификатором процесса, превышающим 1000, и отобразить их в формате CSV, введите: To list all tasks with a process ID greater than 1000, and display them in csv format, type:

Чтобы получить список системных процессов, выполняемых в данный момент, введите: To list the system processes that are currently running, type:

Чтобы вывести подробные сведения обо всех выполняющихся процессах, введите: To list detailed information for all processes that are currently running, type:

Чтобы получить список всех сведений о службе для процессов на удаленном компьютере срвмаин с именем DLL, начинающимся с NTDLL, введите: To list all the service information for processes on the remote computer srvmain, which has a DLL name beginning with ntdll, type:

Чтобы получить список процессов на удаленном компьютере срвмаин, используя учетные данные текущей учетной записи пользователя, выполнившего вход в систему, введите: To list the processes on the remote computer srvmain, using the credentials of your currently logged-on user account, type:

Чтобы получить список процессов на удаленном компьютере срвмаин, используя учетные данные хироплн учетной записи пользователя, введите: To list the processes on the remote computer srvmain, using the credentials of the user account Hiropln, type:

List all tasks windows

Using PowerShell to List Scheduled Tasks on Windows Machines

1. Open the PowerShell ISE and create a new file with the following PowerShell script, being sure to input the computer name and output path:

$cred = Get-Credential
$comp = «PDC»
$session = New-PSSession -ComputerName $comp -Credential $cred
$script = <
«Services:»
Get-WmiObject win32_service -ErrorAction Stop| where <$_.StartMode -like 'Auto' -and $_.Startname -notlike '*local*' -and $_.Startname -notlike '*NT AU*'>| Select-Object Name, DisplayName, State, StartMode, StartName | Format-Table -Property * -AutoSize| Out-String -Width 4096
# To output to CSV, add this string to the previous command: | Export-Csv c:\Out\filename.csv — NoTypeInformation

«ScheduledTasks»
schtasks.exe /query /V /FO CSV | ConvertFrom-Csv | Where < $_.TaskName -ne "TaskName" -and $_.TaskName -like "*powershell*">|Select-Object @ < label='Name'; expression=>, Author ,’run as user’,’task to run’| Format-Table -Property * -AutoSize| Out-String -Width 4096
# To export to CSV, add this string to the previous command: | Export-Csv c:\Out\filename.csv — NoTypeInformation
>
Invoke-Command -Session $session -ScriptBlock $script

1. Run the script using the credentials for an account that has administrator rights on the local computer in question.
2. Review the resulting report:

1. Run Netwrix Auditor. Navigate to “Reports” -> Click “Predefined” -> Expand the “Windows Server” section -> Click “Windows Server – State-in-Time” -> Choose “Domain Accounts Running Scheduled Tasks and Services” -> Click “View”.
2. To limit the report to a particular server or workstation: Type the machine name in the “Server name” field in the filters -> Click “View Report”.

Using PowerShell to get scheduled tasks on remote machines can be tedious

One of the top root causes of Active Directory account lockouts is scheduled tasks and services that are set to use domain user credentials to perform actions. Trying to troubleshoot these issues using Task Manager can be very difficult, since services and scheduled tasks are stored and displayed separately. In fact, without better software, checking manually can take quite a while even on a single PC.

Therefore, using command-line tools and PowerShell to list scheduled tasks is a more attractive option. The Get-ScheduledTask cmdlet from the scheduledtasks module will list all task names and other general information if you use the -taskname, -taskpath and -state parameters. Combining it with Get-ScheduledTaskInfo cmdlet will provide more information, such as last and next run times. However, neither of these cmdlets shows you the username; to get that information, you need to use schtasks.exe in your script.

Using PowerShell script, you can even query remote computers; using the invoke-command cmdlet is required for your script to work on a remote Windows Server or workstation. You also must have PSRemoting enabled across your Active Directory (AD). However, that will add to your attack surface, reducing your overall security.

Netwrix Auditor eliminates the tedious scripting and all of the other drawbacks of this manual approach. In just a few clicks, you will have clear, comprehensive information on all domain accounts running scheduled tasks and services, including critical details such as the service or task name and the account name — across all your audited servers and workstations.

How to Find Illicit Applications in Azure AD

How to list all Windows Processes and their attributes (Task Manager like) with C# in WinForms

Read this article in other language

If you’re looking for creating your custom Task Manager or just to create a Widget for your app that displays information about the processes in Windows, then you are in the right place.

In this article you will learn how to get information about the processes in Windows and how to create a Task Manager like application easily.

1. Use the Diagnostics namespace

In order to work with processes in your application, you will need to import the System.Diagnostics namespace at the top of your class:

The System.Diagnostics namespace provides classes that allow you to interact with system processes, event logs, and performance counters.

2. List and retrieve basic information of all processes

If you’re here because you only need to know how to retrieve the list of all processes in Windows, then you only will need to pay attention to the following snippet:

The GetProcesses method will do the trick for you by returning an array that contains information about all the process on Windows. The execution of the previous code in your project, should generate an output similar to:

Pretty easy right? A process object has a lot of properties that you can display to your user if you need to, read more about the properties here in MSDN.

3. Creating a Task Manager like application

As first step, you will need to create a List View item in your form in order to show the information on it. This List View item needs to be configured as following:

1. On the properties panel of the element (bottom right corner) set the View property to Details from the dropdown menu.
2. On the same panel select the Columns property and a new window should appear, in this window you will create the 6 required columns that we’ll use to display respectively the same information as the Task Manager:

Now you’ll be ready to display some information on this list view easily.

If you’ve already read about all the properties that an object inside the array returned by the Process.GetProcesses method, you will see that in comparison with the information that you see in the original Task Manager of Windows it’s not so complete at all. The processes list doesn’t contain all the information that we need to show in our list, therefore we’ll need to add a reference to System.Management to get the username related to the process and the description. For it, you will need to add the reference with the reference manager of Visual Studio. To do that follow these steps:

Right Click on Project, Add References

Select the Assemblies (framework) Tab and Search for System.Management and finally add the reference and click OK.

We need to add the System.Management to create queries in WMI Classes . Read more about retrieving WMI Classes in .NET in msdn here. Once the reference has been added to your project, you can import the namespace of System.Management in your project. Besides import the System.Dynamic too at the top of your class:

Finally we can start with the code to display information about the processes on your application.

Is up to you when and where you want to execute the code that we’ll explain now, it can be either executed by the click of a button or at the Form_Load event of the form. Before start with the rendering, we need to solve the first problem, namely that the list of processes doesn’t contain the Username of the Windows User that started the process and the description of the process. As we said previously, we’ll need to query a WMI class namely the Win32_Process, this query will search a process by a single ID. As you may know every process in Windows has an ID in order to be able to identify easily, therefore we can create the following method that expects as first argument the ID of the process that you want to query and it will return an Expando object with the 2 properties that we need: Description and Username:

The function is pretty easy to understand and it will be executed with every process that the GetProcesses provide.

The second problem is, that you don’t want to display the value of the used memory to the user in Bytes as it isn’t easy to read at all, so if you make it readable with understandable representations as KB, MB or GB etc, they will be thankful. To convert the bytes returned from the process information into a readable value, you can use the following method:

Note that the method expects a long value and it returns a string. As final step we can now start to render the information on the List View.

You need to retrieve the list of processes and store it into a variable, besides you should create an Image List item that will store the icons of every process (in case is there any). Then we’ll need to loop through the processes array with a foreach statement, on every loop the GetProcessExtraInformation will be executed (with the ID of the process as first argument) to retrieve the necessary information that we don’t have from the process variable on the loop. Then the row array will be created and it will store (respectively as the values need to follow the same order as the Columns in the List View item) the information of every row in the List View item (note that we’ll convert the bytes to a readable value using the BytesToReadableValue method). Optionally, you can add the icons to the list by adding a new item to the Image List previously created. In the image list you need to provide an identifier (key) for the image that you want to add (in this case the icon of the process) and as second argument the Image Data of the icon that can be retrieved using the Icon.ExtractAssociatedIcon method that expects the path to the executable of the process (that can be retrieved through the process object), this icon can be converted to bitmap as shown in the example to increase the quality, however you can remove the toBitmap method if you want.

Finally create a new ListViewItem to be added with the row as first argument and specify which image from the Image List should be used for the item and add it to the List View:

Note that you need to set the value of the LargeImageList and SmallImageList properties as the ImageList that we’ve created for the icons. To make this work, you only need to execute the renderProcessesOnListView function when you need to display the services in your List View.

4. Final example

If you’ve already read how everything works, you can simply follow the entire example and implement it by yourself in your project:

Important

Don’t forget that you need to add a reference to the System.Management to your project as shown in the step #3. By the other side you need to create a List View Item identified as listView1 with the View property set to Details and with respectively 6 items in the Columns property.

As shown in the image of the article, a window that lists all the processes in Windows will appear and the icon will be shown next to the name of the process and the other properties.