resmon

 

resmon (Resource Monitor), Windows işletim sisteminde sistem kaynaklarının (CPU, bellek, disk, ağ) kullanımını gerçek zamanlı ve detaylı olarak izlemeni sağlayan güçlü bir araçtır. Görev Yöneticisi'nin (Task Manager) sunduğundan çok daha fazla bilgi sunar. Özellikle performans sorunlarını, arka planda çalışan kötü amaçlı yazılımları veya sistem darboğazlarını analiz etmek isteyenler için çok değerlidir.

🔧 Nasıl Açılır?

  1. Win + RÇalıştır penceresine resmon yaz → Enter.

  2. Ya da Görev Yöneticisi > Performans sekmesi > Alt kısımda Kaynak İzleyicisi Aç butonuna tıkla.

📊 Ana Sekmelerin Detaylı Açıklaması

1. CPU Sekmesi

Ne işe yarar?
Hangi işlemlerin işlemciyi (CPU) ne kadar kullandığını gösterir.

  • Processes (İşlemler):
    Her işlem için % CPU kullanımı, PID (Process ID), işlem adı ve başlatan kullanıcı gösterilir.

  • Services (Hizmetler):
    Arka planda çalışan Windows hizmetlerini gösterir.

  • Associated Handles / Modules:
    Seçilen işlemin hangi dosyaları ve DLL modüllerini kullandığını gösterir.
    → Bu kısımda, şüpheli DLL'ler veya sistem dosyalarına izinsiz erişim olup olmadığını görebilirsin (malware analizi için kritik).

🔍 İpuçları:

  • Anormal CPU kullanımı olan işlem şüpheli olabilir.

  • Bilinmeyen bir işlem varsa, sağ tık → "Açık dosya konumunu göster" veya "İnternette ara".

2. Memory (Bellek) Sekmesi

Ne işe yarar?
RAM’in nasıl kullanıldığını ve hangi uygulamanın ne kadar bellek tükettiğini gösterir.

  • Hard Faults/sec:
    Bellek yetersizse, sistem verileri diske yazar (bu değer yüksekse RAM yetersiz olabilir).

  • Used Physical Memory:
    Sistem belleğinin ne kadarı kullanılıyor?

  • Commit (Taahhüt):
    Her işlem için ne kadar sanal bellek (pagefile) ayrılmış?

🔍 İpuçları:

  • Şüpheli bir uygulama RAM'i anormal şekilde yutuyorsa, bu performans düşüşüne ve hatta sistem çökmesine neden olabilir.

  • "Working Set" değeri aktif bellek kullanımını gösterir.

3. Disk Sekmesi

Ne işe yarar?
Disk giriş/çıkış (I/O) işlemlerini ve hangi programın diski kullandığını analiz eder.

  • Processes with Disk Activity:
    Her işlem için okuma/yazma hızları (B/sn cinsinden) gösterilir.

  • Disk Queue Length:
    Disk erişim sırasındaki bekleyen istek sayısıdır (yüksekse disk darboğazı olabilir).

  • File:
    Hangi dosyalara erişildiğini listeler.

🔍 İpuçları:

  • Antivirüs taramasında veya arka planda çalışan kötü niyetli yazılım varsa disk erişimi yüksektir.

  • SSD yerine HDD varsa, yüksek I/O işlemleri sistemi yavaşlatır.

4. Network Sekmesi

Ne işe yarar?
Ağ trafiğini izler. Hangi uygulama ne kadar veri gönderiyor/alıyor görebilirsin.

  • Processes with Network Activity:
    Hangi işlem hangi IP’ye bağlanıyor, ne kadar veri kullanıyor?

  • Network Activity (Toplam):
    Sistem genelinde toplam ağ kullanımı.

  • TCP Connections:
    Her bağlantının IP, port ve bağlantı durumu.

🔍 İpuçları:

  • Bilmediğin bir uygulama dış IP ile sürekli bağlantı kuruyorsa bu potansiyel bir malware olabilir.

  • Giden trafiği özellikle kontrol et – bilgi sızdıran bir yazılım olabilir.

🧠 Resmon Kullanırken Bilmen Gerekenler

  • PID (Process ID): Her işlem eşsizdir. PID ile işlem takibi yapabilirsin.

  • Sağ tıklayıp: "İşlemi Sonlandır", "Açık dosya konumunu göster", "Ayrıntılarda göster" gibi güçlü analiz seçenekleri var.

  • Donma/sistemde gecikme varsa: CPU/Disk/Memory/NW sekmelerinde ani sıçramalara bak.

🛡️ Malware Analizi Açısından Neden Önemli?

  • Şüpheli işlem tespiti (örnek: svchost.exe ama farklı bir dizinden çalışıyorsa).

  • Arka planda network trafiği yapan bilinmeyen işlemler.

  • Disk veya CPU kullanımında anormal patlamalar.


🕵️ Vaka Senaryosu: Sistem Yavaşladı, Ağda Şüpheli Hareket Var

📌 Durum:

  • Bilgisayar normalde hızlı ama son günlerde açılması uzun sürüyor.

  • CPU ve disk sürekli yüksek.

  • Ağ LED’i sabit yanıyor (internet boşta bile veri gidiyor).

  • Antivirüs bir şey bulamıyor.

🔍 1. resmon Açılıyor

Win + Rresmon yaz → Enter

🔧 2. CPU Sekmesi İnceleniyor

  • "Processes" bölümünde sırala → % CPU’ya göre.

  • Tanımadığın ama çok CPU kullanan bir işlem görüyorsun:

    • Örnek: runtimebroker.exe %30 CPU kullanıyor ama sistem boşta.

  • Sağ tık → "Dosya konumunu aç"

    • Normalde: C:\Windows\System32\ içinde olmalı.

    • Ama senin dosya şurada: C:\Users\Public\AppData\Roaming\winhost\runtimebroker.exe

✅ Bu, adını çalmış bir malware örneği.

🔧 3. Bellek (Memory) Sekmesi Kontrolü

  • Aynı işlemin RAM kullanımı da yüksek:

    • Working Set → 500MB üzerinde.

  • Hard Faults/sec değeri sürekli yüksek → sistem sürekli RAM’den diske veri atıyor → performans düşüyor.

🔧 4. Disk Sekmesi:

  • Aynı işlem (PID ile takip et), disk yazma/okuma yapıyor.

  • Sürekli şunlara erişiyor:

    • C:\Users\YourName\Documents\keystrokes.log

    • C:\Temp\tcpdump.pcap

📌 Bu dosyalar dikkat çekici. keystrokes.log → keylogger, pcap → ağ trafiği kaydı olabilir.

🔧 5. Ağ (Network) Sekmesi:

  • İşlem, şu IP’ye veri gönderiyor:

    • 185.244.25.101:8080

    • Bağlantı sürekli açık, durmuyor.

📡 Hız testi, YouTube vs. açık değilken bile veri gidiyor.
✅ Bu bir Command & Control (C2) sunucusuna veri sızdırımı olabilir.

📌 Sonuç ve Müdahale Önerisi

🔥 İlk Acil Müdahale:

  1. PID'yi tespit et → Görev Yöneticisi → Sağ tık → "İşlemi sonlandır"

  2. Dosya konumuna git → Dosyayı başka cihazla (bootable antivirüsle) sil.

🛡️ Kalıcı Çözüm:

  • Windows’u güvenli modda aç → tam virüs taraması.

  • Autoruns kullanarak başlangıçta çalışan şüpheli kayıtları temizle.

  • Sistem yedeğini al, mümkünse temiz kurulum yap.

  • Ağ loglarını ve DNS kayıtlarını incele (giden IP bağlantılarını araştır).

✅ Öğrenim Noktaları

  • resmon, anlık analiz için yeterli bilgi sağlar ama derinlemesine izleme için ek araçlarla (Process Explorer, Wireshark, Sysmon) entegre kullanılmalı.

  • Adı normal görünen işlemler (.exe) bile zararlı olabilir → konum ve davranış en önemli göstergedir.

  • Sistem yavaşladığında her zaman ağ trafiğiyle beraber CPU, RAM, disk uyumlu bakılmalı.


Labels: |