window - TASKKILL(process kill)

TASKKILL [/S 시스템 [/U 사용자 이름 [/P [암호]]]] 

         { [/FI 필터] [/PID 프로세스 id | /IM 이미지 이름] } [/F] [/T]

설명: 

    이 명령줄 도구는 하나 이상의 프로세스를 종료하기 위해 사용할 수 있습 

    프로세스 id 또는 이미지 이름으로 프로세스를 종료할 수 있습니다.

매개 변수 목록: 

    /S    시스템           연결할 원격 시스템을 지정합니다.

    /U    [domain\]user    명령을 실행해야 하는 사용자 

                           컨텍스트를 지정합니다.

    /P    [암호]           해당 사용자 컨텍스트의 암호를 지정합니다. 

                           생략한 경우에는 물어봅니다.

    /F                     프로세스를 강제로 종료하도록 

                           지정합니다.

    /FI   필터             필터에서 지정한 조건과 일치하는 

                           작업 집합을 표시합니다.

    /PID  프로세스 id      종료해야 하는 프로세스의 PID를 

                           지정합니다.

    /IM   이미지 이름      종료해야 하는 프로세스의 이미지 이름을 

                           지정합니다. 와일드 카드 문자 '*'를 사용하여 

                           모든 이미지 이름을 지정할 수 있습니다.

    /T                     트리 종료: 지정된 프로세스와 그 프로세스로부터 시작된 

                           모든 자식 프로세스를 종료합니다.

    /?                     이 도움말/사용법을 표시합니다.

필터: 

    필터 이름   유효한 연산자           유효한 값 

    -----------   ---------------           -------------- 

    STATUS        eq, ne                    RUNNING | NOT RESPONDING 

    IMAGENAME     eq, ne                    이미지 이름 

    PID           eq, ne, gt, lt, ge, le    PID 값 

    SESSION       eq, ne, gt, lt, ge, le    세션 번호. 

    CPUTIME       eq, ne, gt, lt, ge, le    CPU 시간 형식 

                                            hh:mm:ss 

                                            hh - 시간, 

                                            mm - 분, ss - 초 

    MEMUSAGE      eq, ne, gt, lt, ge, le    메모리 사용(KB) 

    USERNAME      eq, ne                    사용자 이름([domain\]user 

                                            형식) 

    MODULES       eq, ne                    DLL 이름 

    SERVICES      eq, ne                    서비스 이름 

    WINDOWTITLE   eq, ne                    창 제목

참고: /IM 스위치에 대한 와일드 카드 문자 '*'는 필터에서만 사용할 수 있습

참고: 원격 프로세스의 종료는 /F 옵션 지정 여부와 상관없이 

      항상 강제적으로 수행됩니다.

예: 

    TASKKILL /S 시스템 /F /IM notepad.exe /T 

    TASKKILL /PID 1230 /PID 1241 /PID 1253 /T 

    TASKKILL /F /IM notepad.exe /IM mspaint.exe 

    TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*" 

    TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe 

    TASKKILL /S 시스템 /U domain\username /FI "USERNAME ne NT*" /IM * 

    TASKKILL /S 시스템 /U 사용자 이름 /P 암호 /FI "IMAGENAME eq note*"

---

뭐...요즘 TCPVIEW라던지 기타 툴들이 많이 나왔지만 인터넷도 안되고

마땅히 툴도 없을 경우 아래와 같은 명령어와 작업을 통해 프로세스 확인이

가능하다.

 

1. 윈도우 커맨드 창을 띄워 다음을 입력

 

   netstat -ano 1 | find "ESTABLISH"

 

   뭐 기타 응용은 가능하다.

   포트로 찾고 싶을때는 netstat -ano 1 | find "8080"

   IP로도 찾고 싶을때는 netstat -ano 1 | find "8080" | find "10.10.10.10" 등등

   혹 output을 파일로 저장하고 싶으면 netstat -ano 1 | find "ESTABLISH" > output.log

   참 옵션뒤에 '1'을 붙이는 이유는 netstat라는 넘이 현재의 상태만을 보여주고 바로 끝내기

   때문에 1초 간격으로 계속 실행하라는 옵션이다.

   즉, 해당 옵션을 걸어 한 1분이상 모니터링을 하다보면 원하는 값을 얻을 수 있지 않을까 싶다.

 

2. 윈도우 작업관리자를 실행시킨후 '보기' -> '열선택' 중 PID을 check 해준다.

   그럼 프로세스 항목에 '이미지이름'에  'PID'가 표시되게 된다.

 

3. 자....이젠 아까 1번항에서 확인했던 output의 확인하고 싶었던 PID를 작업관리자의 PID와

    비교 하고 이상한 프로세스라면 종료 시키거나 지워버리면 될것이다...

출처 - http://blog.daum.net/_blog/BlogTypeView.do?blogid=0Af9k&articleno=8213826&categoryId=188547&regdt=20061206090746#ajax_history_home