Amcache vs SRUM: Präsenz vs Ressourcennutzung mit langem Fenster
Wenn Sie Amcache vs Prefetch und Amcache vs ShimCache gelesen haben, ist das dritte Windows-Ausführungsbeweis-Artefakt, das man kennen sollte, SRUM — der System Resource Usage Monitor.
SRUM und Amcache sind noch unterschiedlicher voneinander, als Amcache und Prefetch es sind. Sie überschneiden sich nur darin, dass beide „Binärprogramme, die etwas auf diesem Host taten" aufzeichnen. Darüber hinaus beantworten sie sehr unterschiedliche Fragen.
Die wichtigsten Unterschiede:
SRUM zeichnet Ressourcennutzung pro Anwendung über ein 30–60-Tage-Fenster auf. Amcache zeichnet Präsenz mit reichhaltigen Metadaten auf, mit einer Retention, die viel länger ist.
Für die breitere Amcache-Referenz siehe die vollständige Amcache-Referenz.
Was SRUM ist#
SRUM ist die Datenbank hinter dem Windows System Resource Usage Monitor, dem Feature, das die Bereiche „Datennutzung" und „Energienutzung" in modernen Windows-Einstellungen antreibt. Es liegt unter:
C:\Windows\System32\sru\SRUDB.dat
SRUDB.dat ist eine ESE-Datenbank (dasselbe Format wie
mailbox.edb oder die Active-Directory-Datenbank) mit mehreren
Tabellen, die nützlichsten davon sind:
| Tabelle | Inhalt |
|---|---|
Application Resource Usage |
CPU-Zeit, Working-Set-Bytes, I/O pro Anwendung pro Stunde. |
Network Usage |
Gesendete / empfangene Netzwerk-Bytes pro Anwendung pro Stunde. |
Push Notification |
Toast- / Push-Benachrichtigungs-Aktivität pro Anwendung. |
Energy Estimation |
Stromverbrauchsschätzungen pro Anwendung. |
Jede Zeile ist pro Stunde und pro Anwendung gebucketet. Die „Anwendung" wird durch einen ausführbaren Pfad oder eine AppID identifiziert. SRUM-Daten werden kontinuierlich vom SRUM-Dienst aktualisiert und täglich in Langzeit-Aggregate gerollt.
Die Retention von SRUM liegt typischerweise bei 30–60 Tagen, variiert aber je nach Build und Konfiguration.
Der fundamentale Unterschied#
| Eigenschaft | SRUM | Amcache |
|---|---|---|
| Speicherung | SRUDB.dat (ESE-Datenbank) |
Amcache.hve (Registry-Hive) |
| Granularität | Pro Anwendung, pro Stunde | Pro Datei |
| Zeichnet Hash auf? | Nein | Ja (SHA-1) |
| Zeichnet vollständigen Pfad auf? | Ja | Ja |
| Zeichnet Publisher auf? | Nein | Ja |
| Zeichnet Ausführung auf? | Ja (implizit — wenn Nutzung > 0) | Nein (nur Präsenz) |
| Zeichnet CPU / Netzwerk / I/O auf? | Ja | Nein |
| Zeichnet auf, wann es lief? | Ja — auf die Stunde genau. | Nein (nur Inventarzeit). |
| Retention | Typisch 30–60 Tage | Viel länger (Jahre auf langlebigen Hosts). |
| Granularität der Zeitstempel | Stunden-Buckets | Sekunde |
| Leicht zu parsen? | Mittel (ESE — verwenden Sie SrumECmd) |
Einfach (verwenden Sie AmcacheParser) |
Die zwei Artefakte sind komplementär, nicht überlappend. Verwenden Sie SRUM, wenn Sie sich für Ressourcennutzung interessieren; verwenden Sie Amcache, wenn Sie sich für Präsenz und Metadaten interessieren.
Wann SRUM gewinnt#
„Wie viel Netzwerk hat dieses Binärprogramm gesendet?"#
Amcache: keine Antwort. SRUM: gesendete / empfangene Bytes pro Anwendung pro Stunde. Kritisch für Daten-Exfiltrations-Untersuchungen.
„Welche Anwendungen liefen in den letzten 30 Tagen?"#
Amcache: keine Ausführungsdaten. SRUM: Jede Anwendung mit nicht null CPU oder I/O in ihren Stunden-Buckets lief zu dieser Stunde.
„Hat dieses Binärprogramm zu einer verdächtigen Zeit das Netzwerk genutzt?"#
SRUM ist das einzige Artefakt, das Ihnen eine stündliche Aufschlüsselung der Netzwerkaktivität pro Anwendung gibt. Querverweisen Sie mit VPN- / Firewall-Logs, um Exfiltrationsfenster zu identifizieren.
„Wie war das Ressourcennutzungs-Profil des Hosts in den Tagen vor dem Incident?"#
SRUM ist das, was Windows einem „always-on Performance Recorder" am nächsten kommt. Spitzen bei CPU, Netzwerk oder I/O deuten oft auf Angreiferaktivität hin.
Wann Amcache gewinnt#
„War dieses Binärprogramm auf dem Host präsent?"#
SRUM zeichnet nur Binärprogramme auf, die etwas taten. Ein Binärprogramm, das auf der Festplatte war, aber nie lief (oder nie messbare Ressourcen nutzte), erscheint nicht in SRUM. Amcache erfasst es.
„Was ist der SHA-1 dieses Binärprogramms?"#
SRUM hasht Binärprogramme nicht. Amcache schon. Sie brauchen Amcache für VirusTotal- oder TI-Feed-Anreicherung.
„Jenseits des 30–60-Tage-SRUM-Fensters"#
Die SRUM-Retention ist kurz. Amcache hält Einträge auf langlebigen Workstations routinemäßig monate- oder jahrelang. Für Untersuchungen, die Ereignisse vor mehr als ~60 Tagen abdecken, ist Amcache oft das einzige Artefakt mit den Daten.
„Treiber- / Geräte-Beweise"#
SRUM dreht sich um Anwendungen und Ressourcennutzung. Amcache hat
dedizierte InventoryDriverBinary- und
InventoryDeviceContainer-Schemata für Kernel-Mode- und
Geräte-Artefakte.
„Hostübergreifende Jagd nach Hash oder ProgramId"#
SRUM hat keine Hashes oder ProgramIds. Amcache schon. Siehe
Lateral Movement und Amcache-ProgramId-Pivoting.
Die klassische SRUM + Amcache-Paarung#
Die Kombination ist am stärksten für Exfiltrations-Untersuchungen:
- Aus SRUM finden Sie Anwendungen mit anomaler
Netzwerknutzung im vermuteten Exfil-Fenster (z. B.
Network Usage-Zeilen, die Gigabytes gesendeter Bytes für ein Binärprogramm zeigen, das normalerweise nichts sendet). - Aus Amcache nehmen Sie den Pfad oder den Namen der
ausführbaren Datei desselben Binärprogramms und schlagen
Hash,Publisher,LinkDateundKeyLastWriteTimestampnach. Sie haben jetzt einen Inhalts-Hash zum Einreichen bei VirusTotal und eine First-Seen-Näherung dafür, wann das Binärprogramm ankam. - Aus Prefetch bestätigen Sie Ausführungs-Zeitstempel, die mit den SRUM-Netzwerk-Spitzen übereinstimmen.
Dieser Drei-Wege-Join — Prefetch (wann lief es) + SRUM (was tat es)
- Amcache (was ist es) — ist der kanonische Windows-Ausführungsbeweis-Workflow.
Schnelle Entscheidungstabelle#
| Ihre Frage | SRUM | Amcache |
|---|---|---|
| War Binärprogramm X auf diesem Host? | teilweise (nur wenn Ressourcen genutzt) | ja |
| Was ist der SHA-1 von Binärprogramm X? | ✗ | ✓ |
| Wann erschien Binärprogramm X zum ersten Mal? | nur wenn es Ressourcen nutzte | ✓ |
| Nutzte Binärprogramm X das Netzwerk? | ✓ | ✗ |
| Wie viele Bytes sendete Binärprogramm X? | ✓ | ✗ |
| Wie war das CPU-Profil des Hosts letzte Woche? | ✓ | ✗ |
| Präsenz mit langem Fenster (>60 Tage)? | ✗ | ✓ |
| Treiber- / Geräte-Beweise? | ✗ | ✓ |
| Hostübergreifende Jagd? | ✗ | ✓ |
Siehe auch#
- Vollständige Amcache-Referenz — das Artefakt vollständig.
- Amcache vs Prefetch — Ausführungsbeweis-Vergleich.
- Amcache vs ShimCache — das andere Präsenz-Beweis-Artefakt.
- Amcache für die Malware-Untersuchung — wie sich alle vier Artefakte in einem echten Eindringungs-Playbook verbinden.
Für einen schnellen browserseitigen Blick auf Ihre Hive legen Sie eine Datei auf der Startseite des Parsers ab — sie parst vollständig in Ihrem Browser.
Verwandte Beiträge
- Amcache vs ShimCache: wann welches Artefakt gewinnt
ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.
- Amcache vs Prefetch: was jedes wirklich beweist
Amcache zeichnet Präsenz auf; Prefetch zeichnet Ausführung auf. Eine praktische Referenz, wann man was verwendet, worin sie sich überschneiden und wie man sie in einer DFIR-Timeline kombiniert.
- Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper
Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.
- Volatility und Amcache: die Hive aus Speicherabbildern extrahieren
Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.