Thiago Teixeira
EN | PT

Resource Monitor (resmon)

Microsoft

Ferramenta nativa do Windows que dá visão em tempo real de CPU, memória, disco e rede por processo.

Análise de Endpoint Nativo do SO GUI Praticado em Lab Windows
Página Inicial

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Preparação
9 Detecção e Análise
10 Contenção, Erradicação e Recuperação
11 Atividade Pós-Incidente

Descrição

O Resource Monitor (resmon.exe) é a contraparte nativa do Windows ao Task Manager, mas com detalhamento por processo em CPU, memória, disco e rede. Expõe colunas como "Network Send (B/sec)", "Disk Read (B/sec)" e "Listening Ports" — útil para identificar beaconing de C2, picos de CPU por criptominer ou listeners inesperados.

Para o CySA+ é uma das ferramentas nativas de primeira resposta em triagem ao vivo no Windows quando nada mais está instalado.

Casos de uso

  • Triagem ao vivo de host Windows possivelmente comprometido
  • Identificação do processo responsável pelo tráfego de saída
  • Detecção de listeners TCP inesperados antes do Sysmon
  • Baseline rápido de CPU/memória antes da análise de EDR

Exemplo

:: Launch Resource Monitor
resmon