可通过五种方法确认进程实际可执行文件位置:一、任务管理器启用“命令行”列;二、右键进程选择“打开文件所在的位置”;三、查看进程属性“常规”选项卡中的“位置”;四、PowerShell调用WMI导出路径与命令行;五、CMD中使用WMIC查询。
如果您在任务管理器中看到进程名称,但无法确认其实际可执行文件位置,则可能是由于默认视图未显示启动路径或命令行参数。以下是解决此问题的步骤:
一、启用任务管理器“命令行”列查看完整路径
该方法通过调用任务管理器内置的WMI数据源,直接在界面中呈现进程启动时所调用的完整可执行路径及全部命令行参数,适用于绝大多数用户态进程,无需额外权限即可启用。
1、按下 Ctrl + Shift + Esc 快速打开任务管理器。
2、点击顶部标签栏中的 “详细信息”选项卡(Windows 10/11)或 “进程”选项卡(部分精简版系统)。
3、在列标题区域(如“名称”“PID”上方)右键任意列名,选择 “选择列”。
4、在弹出窗口中向下滚动,勾选“命令行”,同时建议一并勾选 “映像路径名称”(若可用),点击 “确定”。
5、此时表格新增“命令行”列,每行对应值即为该进程的完整启动路径与参数,例如:"C:\Program Files\Microsoft\Edge\Application\msedge.exe" --type=renderer。
二、右键目标进程直接跳转至文件所在目录
此操作由系统内核层解析进程句柄并定位其磁盘映像文件,自动触发资源管理器打开目标文件夹并高亮显示主程序,适合快速验证路径真实性或检查文件属性,不依赖列设置。
1、确保已在任务管理器“详细信息”页中找到目标进程(如 WeChat.exe 或 Teams.exe)。
2、右键单击该进程所在行,弹出上下文菜单。
3、选择 “打开文件所在的位置”(若该选项呈灰色不可用,说明该进程无持久磁盘映像,例如某些驱动服务或内存加载的临时模块)。
4、资源管理器将立即打开,地址栏中同步显示完整路径,且对应 .exe 文件被高亮选中。
三、通过进程属性对话框获取静态路径快照
该方式读取进程对象的映像文件元数据快照,提供路径字段与数字签名状态双重验证入口,特别适用于识别被替换的系统关键进程(如 svchost.exe、lsass.exe)是否源自合法系统目录。
1、在任务管理器“详细信息”页中,右键目标进程行。
2、选择 “属性”。
3、在弹出窗口的 “常规”选项卡 中,查看 “位置”字段,其值即为该进程映像文件的绝对路径。
4、切换至 “数字签名”选项卡,确认 “签名者”是否为 Microsoft Windows,且状态为 “此文件已通过数字签名验证”。
四、使用 PowerShell 命令批量导出进程路径与命令行
该方案基于 CIM/WMI 接口获取结构化数据,支持筛选、导出与脚本集成,输出包含进程名、可执行路径与完整命令行三要素,适用于审计、比对或自动化分析场景。
1、以管理员身份运行 PowerShell:按 Win + X,选择 “Windows Terminal(管理员)” 或 “Windows PowerShell(管理员)”。
2、输入以下命令并回车:Get-WmiObject Win32_Process | Select-Object Name, ExecutablePath, CommandLine | Where-Object {$_.ExecutablePath -ne $null}。
3、如需筛选特定进程(例如 Chrome),追加过滤条件:Where-Object {$_.Name -eq 'chrome.exe'}。
4、若需导出为 CSV 文件供进一步处理,末尾添加:| Export-Csv -Path "$env:USERPROFILE\Desktop\process_paths.csv" -NoTypeInformation。
五、使用 CMD 的 WMIC 工具快速查询路径
WMIC 是 Windows 内置的轻量级命令行管理工具,无需安装即可调用 WMI 提供的进程信息,适合在受限环境或批处理脚本中调用,输出格式简洁明确。
1、按下 Win + R,输入 cmd,回车打开命令提示符。
2、输入以下命令并回车:wmic process get name,executablepath,commandline /format:table。
3、如仅需查看某进程(例如 notepad.exe),执行:wmic process where "name='notepad.exe'" get name,executablepath,commandline。
4、注意:部分系统进程(如 csrss.exe)的 executablepath 字段可能为空,此时需结合其他方法交叉验证。
