1. Tasklist /M - показывает все библиотеки, загруженные каждым процессом.
2. Посмотрим файлы, открытые процессом:
1) openfiles /local on - включаем режим в ядре (жрет кучу ресурсов!);
2) Перезагружаемся;
3) openfiles - список процессов и открытых ими файлов;
openfiles /query /v - список юзеров, запустивших процессы.
3. qwinsta - список юзеров, зарегистрированных в системе, параметр /server:servername позволяет опрашивать удаленных юзеров, работающих с Terminal Services или XP.
4. qprocess - список процессов, запущенных каждым зарегистрированным юзером; также позволяет посылать запросы.
5. Запуск команд при наличии какого-либо события в журнале:
eventtriggers /create /l security /eid 529 /tr "сообщение" /tk <сценарий.cmd> /ru administrator
- запускает <сценарий.cmd> с правами пользователя из /ru (здесь - administrator).
