PowerShell,プロセスが読み込んでいるモジュールを取得

スポンサーリンク

鍛錬 608

PowerShell,プロセスが読み込んでいるモジュールを取得する

プロセスが読み込んでいる、モジュール(DLLファイルなど)を取得するには、Get-Process を使用します。

以下は、コマンドレット Get-Process のエイリアスです。

エイリアス
gps
ps

 
使用方法は、以下に示す通りです。

プロセス名を指定して取得する

ps プロセス名 -Module

 
プロセスID(PID)を指定して取得する

ps -Id プロセスID -Module

パラメータ

以下は、上記のパラメータについてです。

パラメータ 機能
-Id 取得するプロセスID(PID)を指定する
-Module プロセスが読み込んでいるモジュールを取得する
スポンサーリンク

実行結果

以下は、プロセスが読み込んでいるモジュールを取得しています。

プロセス名を指定して取得

以下は、プロセス「notepad」(メモ帳) を指定して、「notepad」が読み込んでいるモジュールを取得しています。

PS D:\tmp>
PS D:\tmp> ps notepad -Module

   Size(K) ModuleName                                         FileName
   ------- ----------                                         --------
       268 notepad.exe                                        C:\WINDOWS\system32\notepad.exe
      1972 ntdll.dll                                          C:\WINDOWS\SYSTEM32\ntdll.dll
       716 KERNEL32.DLL                                       C:\WINDOWS\System32\KERNEL32.DLL


  (中略)


       236 imecfm.dll                                         C:\Windows\System32\IME\shared\imecfm.dll
       884 wer.dll                                            C:\WINDOWS\system32\wer.dll
       164 imesearchdll.dll                                   C:\Windows\System32\IME\SHARED\imesearchdll.dll

 
上記に示した通り、プロセス名を指定して、プロセス「notepad」が読み込んでいるモジュールを取得することができました。

プロセスID(PID)を指定して取得

以下は、プロセス「mspaint」(ペイント) のプロセスID(PID)を指定して、「mspaint」が読み込んでいるモジュールを取得しています。

まずは、「mspaint」のプロセスID(PID)を取得します。

PS D:\tmp>
PS D:\tmp> ps mspaint

Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName
-------  ------    -----      -----     ------     --  -- -----------
    329      61     8652      31024       0.33  13252   2 mspaint

 
上記に示した通り、「mspaint」のプロセスID(PID)は「13252」であることが分かりました。

次に、取得したプロセスID「13252」を指定して、「mspaint」が読み込んでいるモジュールを取得します。

PS D:\tmp>
PS D:\tmp> ps -Id 13252 -Module

   Size(K) ModuleName                                         FileName
   ------- ----------                                         --------
      6656 mspaint.exe                                        C:\WINDOWS\system32\mspaint.exe
      1972 ntdll.dll                                          C:\WINDOWS\SYSTEM32\ntdll.dll
       716 KERNEL32.DLL                                       C:\WINDOWS\System32\KERNEL32.DLL


  (中略)


       236 imecfm.dll                                         C:\Windows\System32\IME\shared\imecfm.dll
       884 wer.dll                                            C:\WINDOWS\system32\wer.dll
       164 imesearchdll.dll                                   C:\Windows\System32\IME\SHARED\imesearchdll.dll

 
上記に示した通り、プロセスID(PID)を指定して、プロセス「mspaint」が読み込んでいるモジュールを取得することができました。

タイトルとURLをコピーしました