Was ist SRUM (SRUDB.dat)? (Glossar)
SRUM ist die ESE-Datenbank, die die Ressourcennutzung pro Anwendung unter Windows aufzeichnet. CPU-Zeit, Working Set, Netzwerkbytes, Push-Benachrichtigungen, Energieschätzungen. Eine Zeile pro Anwendung pro Stunde. Die Aufbewahrung beträgt etwa 30 bis 60 Tage. Es speist die Bereiche „Datennutzung" und „Energienutzung", die niemand außer DFIR ansieht.
Für Incident Response ist das Killer-Feature die Netzwerk-Byte-Zähler pro Anwendung. SRUM ist das einzige Artefakt auf der Maschine, das Ihnen sagt, wie viel eine einzelne Binary gesendet oder empfangen hat. Wenn Sie an einem Exfiltrationsfall arbeiten und SRUM nicht prüfen, lassen Sie Beweise auf dem Tisch liegen.
Die wichtigen Tabellen#
| Tabelle | Was sie trägt |
|---|---|
Application Resource Usage |
CPU-Zeit, Working-Set-Bytes, Foreground-Zeit, I/O. |
Network Usage |
Pro App und Stunde gesendete und empfangene Bytes. |
Push Notification |
Toast- und Push-Aktivität. |
Energy Estimation |
Schätzungen des Energieverbrauchs. |
Jede Zeile wird durch Anwendungspfad (oder AppID) und eine Ein-Stunden-Scheibe verschlüsselt.
SRUM vs Amcache#
| SRUM | Amcache | |
|---|---|---|
| Speicher | SRUDB.dat (ESE) |
Amcache.hve (Registry-Hive) |
| Granularität | Pro App, pro Stunde | Pro Datei |
| Zeichnet Hash auf | Nein | Ja |
| Zeichnet Ausführung auf | Implizit (Nutzung > 0 heißt gelaufen) | Nein, nur Präsenz |
| Zeichnet Netzwerkbytes auf | Ja | Nein |
| Aufbewahrung | 30 bis 60 Tage | Monate bis Jahre |
| Zeitliche Präzision | Eine Stunde | Sekunden (Key-Write-Zeiten) |
Sie sind komplementär, nicht überlappend. Die kanonische Paarung: SRUM sagt Ihnen, dass eine Binary zwischen 14:00 und 17:00 Gigabytes gesendet hat, Amcache sagt Ihnen, was die Binary tatsächlich ist (Hash, Hersteller, Linkdatum), Prefetch liefert die genauen Laufzeiten, die zu den SRUM-Scheiben passen. Drei Artefakte, vollständiges Bild.
Für den vollständigen Vergleich siehe Amcache vs SRUM.
Wann SRUM das richtige Artefakt ist#
- „Wie viel Netzwerk hat diese Binary gesendet?" Nichts anderes unter Windows beantwortet das sauber.
- „Welche Apps haben letzte Woche stündlich die CPU genutzt?" SRUM ist das, was Windows einem Always-on-Performance-Recorder am nächsten kommt.
- „Wie sieht das Ressourcenprofil des Hosts um das Incident-Fenster herum aus?" Spitzen bei CPU oder Netzwerk weisen oft direkt auf Angreifer-Aktivität hin."
Parsing#
- SrumECmd (Eric Zimmerman). Strukturiertes CSV pro Tabelle.
- srum-dump (Mark Baggett). Farbcodiertes Excel.
Verwandte Begriffe#
Verwandte Beiträge
- Was ist Windows Prefetch? (Glossar)
Windows Prefetch ist das Verzeichnis der .pf-Dateien, das Ausführung beweist. Bis zu 8-10 Laufzeiten pro Binary plus die in den ersten zehn Sekunden geladenen Dateien. Der stärkste Windows-Ausführungsnachweis.
- Was ist Shimcache (AppCompatCache)? (Glossar)
Shimcache ist der vom Kernel verwaltete Loader-Cache in der SYSTEM-Hive. 1024 Einträge, kein Hash, bis zum Neustart veraltet. Anders als Amcache; paaren Sie sie.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.