¿Qué es SRUM (SRUDB.dat)? (glosario)

SRUM es la base ESE que registra el uso de recursos por aplicación en Windows. Tiempo de CPU, working set, bytes de red, push notifications, estimaciones de energía. Una fila por aplicación y hora. La retención es de unos 30-60 días. Alimenta los paneles "Uso de datos" y "Uso de energía" que nadie mira excepto DFIR.

Para respuesta a incidentes, la killer feature son los contadores de bytes de red por aplicación. SRUM es el único artefacto on-box que te dice cuánto envió o recibió un binario individual. Si trabajas un caso de exfiltración y no miras SRUM, estás dejando evidencia sobre la mesa.

Las tablas que importan#

Tabla Lo que contiene
Application Resource Usage Tiempo de CPU, bytes working-set, tiempo en foreground, I/O.
Network Usage Bytes enviados y recibidos por app y hora.
Push Notification Actividad de toasts y push.
Energy Estimation Estimaciones de consumo.

Cada fila se indexa por ruta de aplicación (o AppID) y una franja de una hora.

SRUM vs Amcache#

SRUM Amcache
Almacenamiento SRUDB.dat (ESE) Amcache.hve (hive de registro)
Granularidad Por app, por hora Por fichero
Registra hash No
Registra ejecución Implícitamente (uso > 0 = se ejecutó) No, solo presencia
Registra bytes de red No
Retención 30-60 días Meses a años
Precisión temporal Una hora Segundos (tiempos de escritura de clave)

Son complementarios, no solapados. El emparejamiento canónico: SRUM te dice que un binario envió gigabytes entre las 14:00 y las 17:00, Amcache te dice qué es realmente el binario (hash, fabricante, link date), Prefetch te da los tiempos exactos de ejecución que se alinean con las franjas de SRUM. Tres artefactos, imagen completa.

Para la comparación completa, ver Amcache vs SRUM.

Cuándo SRUM es el artefacto correcto#

  • "¿Cuánta red envió este binario?" Nada más en Windows responde esto limpiamente.
  • "¿Qué apps usaron la CPU la semana pasada, por hora?" SRUM es lo más cercano a una grabadora de rendimiento always-on que trae Windows.
  • "¿Cómo es el perfil de recursos del host alrededor de la ventana del incidente?" Los picos de CPU o red a menudo apuntan directamente a actividad del atacante.

Parseo#

  • SrumECmd (Eric Zimmerman). CSV estructurado por tabla.
  • srum-dump (Mark Baggett). Excel coloreado.

Términos relacionados#

Artículos relacionados

  • ¿Qué es Windows Prefetch? (glosario)

    Windows Prefetch es el directorio de ficheros .pf que prueba ejecución. Hasta 8-10 tiempos de ejecución por binario más los ficheros cargados en los primeros diez segundos. La evidencia de ejecución más fuerte de Windows.

  • ¿Qué es Shimcache (AppCompatCache)? (glosario)

    Shimcache es la caché del loader mantenida por el kernel en la hive SYSTEM. 1024 entradas, sin hash, obsoleta hasta el reinicio. Diferente de Amcache; empareja ambos.

  • ¿Qué es Amcache ProgramId? (glosario)

    ProgramId es el hash de identidad de aplicación de 44 caracteres que almacena Amcache. Estable entre hosts para la misma instalación. Atrapa recompilaciones y renombrados que Hash se pierde.

  • ¿Qué es LinkDate en Amcache? (glosario)

    LinkDate es el PE TimeDateStamp. Controlable por el atacante. Úsalo para agrupar builds, no para líneas de tiempo de host.

Volver a todos los artículos