Was ist SRUM (SRUDB.dat)? (Glossar)
SRUM (System Resource Usage Monitor) ist eine Windows-ESE-
Datenbank, die pro Anwendung Ressourcennutzung aufzeichnet —
CPU, Speicher, Netzwerk, Push-Benachrichtigungen und Energie —
gebucketet nach Stunde. Sie liegt unter
C:\Windows\System32\sru\SRUDB.dat und wird vom SRUM-Dienst
gepflegt, um die Bereiche „Datennutzung" und „Energienutzung" in
den Windows-Einstellungen zu speisen.
Für DFIR ist SRUM das einzige Windows-Artefakt mit Netzwerk- Byte-Summen pro Anwendung, was es für Datenexfiltrations- Untersuchungen unverzichtbar macht.
Wichtige Tabellen#
| Tabelle | Aufgezeichnet |
|---|---|
Application Resource Usage |
CPU, Working-Set-Bytes, Vordergrundzeit, I/O. |
Network Usage |
Gesendete und empfangene Bytes pro Anwendung pro Stunde. |
Push Notification |
Toast-/Push-Aktivität. |
Energy Estimation |
Schätzungen zum Energieverbrauch. |
Jede Zeile ist durch Anwendung (Pfad der ausführbaren Datei oder AppID) und Einstunden-Bucket verschlüsselt.
SRUM vs. Amcache#
| SRUM | Amcache | |
|---|---|---|
| Speicherung | SRUDB.dat (ESE) |
Amcache.hve (Registry-Hive) |
| Granularität | Pro App, pro Stunde | Pro Datei |
| Hash aufgezeichnet? | Nein | Ja (SHA-1) |
| Ausführung aufgezeichnet? | Ja, implizit | Nein (nur Präsenz) |
| Netzwerk-Bytes aufgezeichnet? | Ja | Nein |
| Aufbewahrung | 30–60 Tage | Monate bis Jahre |
| Bucketing | Stunde | Sekunde (Schlüssel-Schreibzeiten) |
Sie sind komplementär, nicht überlappend. Die klassische Paarung: SRUM identifiziert verdächtige Netzwerkaktivität pro Binärprogramm; Amcache identifiziert Hash und Metadaten des Binärprogramms; Prefetch bestätigt exakte Ausführungszeiten. Alle drei zusammen geben Ihnen das vollständige Bild einer Datenexfiltrations-Intrusion.
Für vollständige Abdeckung siehe Amcache vs SRUM.
Wann SRUM gewinnt#
- „Wie viel hat dieses Binärprogramm über das Netzwerk gesendet?" — SRUM ist das einzige Windows-Artefakt mit dieser Antwort.
- „Welche Apps haben letzte Woche die CPU benutzt?" — SRUM hat stündliche Buckets.
- „Wie war das Ressourcenprofil des Hosts rund um den Vorfall?" — SRUM kommt einem stets aktiven Performance- Recorder am nächsten, was Windows ausliefert.
Parsing-Tools#
- SrumECmd (Eric Zimmerman) — produziert strukturierte CSVs pro Tabelle.
- srum-dump (Mark Baggett) — produziert farbcodierte Excel- Arbeitsmappen. Hervorragend für Stakeholder-Briefings.
Verwandte Begriffe#
- Amcache.hve — das Präsenzbeweis- Artefakt.
- Prefetch — Ausführungsbeweis.
- ShimCache — kernelseitiger Loader-Cache.
Verwandte Beiträge
- Was ist Windows Prefetch? (Glossar)
Prefetch ist der Windows-Ordner mit .pf-Dateien, der jede Binärprogramm-Ausführung aufzeichnet, mit bis zu 8-10 Run-Zeitstempeln pro Binärprogramm und den Dateien, die jedes geladen hat. Der stärkste Windows-Ausführungsbeweis.
- Was ist ShimCache (AppCompatCache)? (Glossar)
ShimCache ist ein kernelseitig gepflegter Cache in der SYSTEM-Registry-Hive, der bis zu 1024 Binärprogramme aufzeichnet, die der Windows-Loader berührt hat. Anders als Amcache.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.