¿Dónde se almacena SRUM?

C:\Windows\System32\sru\SRUDB.dat — una base de datos ESE (el mismo formato que la base de datos de Active Directory y los buzones de Exchange).

Tiempo de CPU por aplicación, memoria working-set, bytes de red enviados y recibidos, actividad de notificaciones push y estimaciones de consumo de energía. La granularidad es de una hora por aplicación.

¿Hasta dónde se remonta SRUM?

30 a 60 días típicamente, dependiendo del build y la configuración de Windows. SRUM se agrega diariamente en agregados a largo plazo.

¿Cuál es la diferencia entre SRUM y Amcache?

SRUM registra uso de recursos en una ventana de 30-60 días; Amcache registra presencia de archivos con metadatos ricos durante meses o años. SRUM es el único artefacto de Windows con totales de bytes de red por aplicación — invaluable para investigaciones de exfiltración.

¿Qué herramienta parsea SRUM?

SrumECmd (herramienta de Eric Zimmerman) para salida CSV, srum-dump (Mark Baggett) para Excel, o cualquier parser ESE si quieres manejar el formato manualmente.

¿Qué es SRUM (SRUDB.dat)? (glosario)

SRUM (System Resource Usage Monitor) es una base de datos ESE de Windows que registra el uso de recursos por aplicación — CPU, memoria, red, notificaciones push y energía — agrupados por hora. Vive en C:\Windows\System32\sru\SRUDB.dat y es mantenida por el servicio SRUM para alimentar los paneles "Uso de datos" y "Uso de energía" en la configuración de Windows.

Para DFIR, SRUM es el único artefacto de Windows con totales de bytes de red por aplicación, lo que lo hace esencial para investigaciones de exfiltración de datos.

Tablas clave#

Tabla	Registra
`Application Resource Usage`	CPU, bytes de working-set, tiempo en primer plano, I/O.
`Network Usage`	Bytes enviados y recibidos por aplicación por hora.
`Push Notification`	Actividad de toast / push.
`Energy Estimation`	Estimaciones de consumo de energía.

Cada fila se identifica por aplicación (ruta del ejecutable o AppID) y bloque de una hora.

SRUM vs Amcache#

	SRUM	Amcache
Almacenamiento	`SRUDB.dat` (ESE)	`Amcache.hve` (hive del registro)
Granularidad	Por app, por hora	Por archivo
¿Registra hash?	No	Sí (SHA-1)
¿Registra ejecución?	Sí, implícitamente	No (solo presencia)
¿Registra bytes de red?	Sí	No
Retención	30-60 días	Meses a años
Agrupación	Hora	Segundo (tiempos de escritura de claves)

Son complementarios, no solapados. La pareja clásica: SRUM identifica actividad de red sospechosa por binario; Amcache identifica el hash y metadatos del binario; Prefetch confirma horas de ejecución exactas. Los tres juntos te dan el panorama completo de una intrusión con exfiltración de datos.

Para cobertura completa, ver Amcache vs SRUM.

Cuándo gana SRUM#

"¿Cuánto envió este binario por la red?" — SRUM es el único artefacto de Windows con esta respuesta.
"¿Qué apps usaron la CPU la semana pasada?" — SRUM tiene bloques horarios.
"¿Cuál fue el perfil de recursos del host alrededor del incidente?" — SRUM es lo más cercano que Windows incluye a un grabador de rendimiento siempre activo.

Herramientas de parseo#

SrumECmd (Eric Zimmerman) — produce CSVs estructurados por tabla.
srum-dump (Mark Baggett) — produce libros de Excel coloreados. Excelente para briefings de stakeholders.

Términos relacionados#

Amcache.hve — el artefacto de evidencia de presencia.
Prefetch — evidencia de ejecución.
ShimCache — cache del loader del lado del kernel.