Trên cơ sở dữ liệu, tôi có thể nhận được một danh sách tất cả các quy trình hiện đang chạy và lệnh sql đã khởi động chúng.
Tôi muốn làm một điều tương tự trên một hộp cửa sổ.
Tôi có thể lấy danh sách các quy trình, nhưng không phải là dòng lệnh khởi động chúng.
Câu hỏi của tôi là: Đưa ra một PID trên Windows - làm thế nào để tôi tìm thấy lệnh dòng lệnh đã thực thi nó?
Giả định:
Câu trả lời:
Powershell và WMI.
Get-WmiObject Win32_Process | Select ProcessId,CommandLine
Hoặc là
Get-WmiObject -Query "SELECT CommandLine FROM Win32_Process WHERE ProcessID = 3352"
Lưu ý rằng bạn phải có quyền truy cập thông tin này về một quy trình. Vì vậy, bạn có thể phải chạy lệnh với tư cách quản trị viên nếu quá trình bạn muốn biết đang chạy trong ngữ cảnh đặc quyền.
| FLvào cuối lệnh. Điều đó mở rộng tất cả các dòng lệnh cho tôi. Cũng có thể muốn chơi với| Select -ExpandProperty CommandLine
Bạn có thể sử dụng hệ thống con WMI, sử dụng WMIC.EXE để nhận thông tin này. Giả sử PID là 600:
wmic.exe path Win32_Process where handle='600' get name, commandline /format:list
Bạn cũng có thể tìm kiếm tên hoặc đặc điểm khác của quy trình. Sử dụng lệnh này để liệt kê tất cả các thuộc tính:
wmic.exe path Win32_Process get /format:list
processbí danh thay vì path Win32_Process; ví dụ: wmic.exe process get
Các câu trả lời khác chắc chắn là các tùy chọn tốt sẽ phục vụ bạn tốt trong một hệ thống tự động vì tính chất dòng lệnh của chúng (và tôi thấy từ thẻ đó là những gì bạn muốn). Tất nhiên, một số người có thể muốn khám phá loại thông tin này với GUI, vì vậy đây là một lựa chọn thay thế dọc theo các dòng đó.
Process Explorer là một công cụ Sysiternals được duy trì bởi Microsoft. Nó có thể hiển thị dòng lệnh của quá trình trong hộp thoại thuộc tính của tiến trình cũng như cha mẹ đã khởi chạy nó, mặc dù tên của quá trình đó có thể không còn nữa. Đây là hộp thoại thuộc tính process:
Nếu bạn muốn có một bản kiểm toán chi tiết hơn về thời điểm một quy trình được đưa ra và trong những điều kiện nào, bạn có thể chuyển sang một công cụ Sysiternals khác có tên là Process Monitor. Tại đây, bạn có thể lọc các sự kiện "Quá trình bắt đầu", tìm hiểu về môi trường mà quá trình được khởi chạy và xem những sự kiện khác đang diễn ra vào khoảng thời gian đó. Đây là một chương trình khá mạnh mẽ. Đây là hộp thoại thuộc tính sự kiện:
Command Linecột đã được thêm nếu bạn di chuột qua cột đó.
Để bổ sung cho câu trả lời PowerShell hữu ích của Ryan Ries bằng một giải pháp thay thế ngắn hơn thông qua -Filtertham số cũng sử dụngGet-CimInstance thay cho lệnh ghép ngắn không dùng nữa từ v3Get-WmiObject .
# Target a process by its PID (process ID) and report its command line,
# using the PowerShell session's own PID as an example ($PID).
(Get-CimInstance Win32_Process -Filter "ProcessId=$PID").CommandLine
# Alternatively, target process(es) by name (may return multiple processes),
# using Notepad.exe as an example.
# Select-Object is used to report both the PID and the command line.
Get-CimInstance Win32_Process -Filter "Name='Notepad.exe'" |
Select-Object ProcessId, CommandLine
Các -Filterthông số cơ bản cho phép bạn vượt qua WHEREđiều khoản của một WQL tuyên bố thay vì đi qua một tuyên bố truy vấn đầy đủ qua -Query.