Qu'est-ce que SRUM (SRUDB.dat) ? (glossaire)
SRUM (System Resource Usage Monitor) est une base de données ESE Windows
qui enregistre l'utilisation des ressources par application — CPU, mémoire,
réseau, notifications push et énergie — bucketé par heure. Il
vit à C:\Windows\System32\sru\SRUDB.dat et est maintenu par
le service SRUM pour alimenter les volets « Utilisation des données » et
« Utilisation de l'alimentation » dans les Paramètres Windows.
Pour le DFIR, SRUM est le seul artefact Windows avec des totaux d'octets réseau par application, ce qui le rend essentiel pour les investigations d'exfiltration de données.
Tables clés#
| Table | Enregistre |
|---|---|
Application Resource Usage |
CPU, octets de working-set, temps au premier plan, E/S. |
Network Usage |
Octets envoyés et reçus par application par heure. |
Push Notification |
Activité toast / push. |
Energy Estimation |
Estimations de consommation d'énergie. |
Chaque ligne est indexée par application (chemin d'exécutable ou AppID) et bucket d'une heure.
SRUM vs Amcache#
| SRUM | Amcache | |
|---|---|---|
| Stockage | SRUDB.dat (ESE) |
Amcache.hve (ruche de registre) |
| Granularité | Par app, par heure | Par fichier |
| Enregistre le hash ? | Non | Oui (SHA-1) |
| Enregistre l'exécution ? | Oui, implicitement | Non (présence uniquement) |
| Enregistre les octets réseau ? | Oui | Non |
| Rétention | 30–60 jours | Mois à années |
| Bucketing | Heure | Seconde (heures d'écriture de clés) |
Ils sont complémentaires, pas chevauchants. L'association classique : SRUM identifie l'activité réseau suspecte par binaire ; Amcache identifie le hash et les métadonnées du binaire ; Prefetch confirme les heures d'exécution exactes. Les trois ensemble vous donnent le tableau complet d'une intrusion d'exfiltration de données.
Pour une couverture complète, voir Amcache vs SRUM.
Quand SRUM gagne#
- « Combien ce binaire a-t-il envoyé sur le réseau ? » — SRUM est le seul artefact Windows avec cette réponse.
- « Quelles apps ont utilisé le CPU la semaine dernière ? » — SRUM a des buckets horaires.
- « Quel était le profil de ressources de l'hôte autour de l'incident ? » — SRUM est ce qui se rapproche le plus, dans Windows, d'un enregistreur de performance toujours actif.
Outils de parsing#
- SrumECmd (Eric Zimmerman) — produit des CSVs structurés par table.
- srum-dump (Mark Baggett) — produit des classeurs Excel codés par couleur. Excellent pour les briefings aux parties prenantes.
Termes apparentés#
- Amcache.hve — l'artefact de preuve de présence.
- Prefetch — preuve d'exécution.
- ShimCache — cache loader côté noyau.
Articles liés
- Qu'est-ce que Windows Prefetch ? (glossaire)
Prefetch est le dossier Windows de fichiers .pf enregistrant chaque exécution de binaire, avec jusqu'à 8-10 horodatages d'exécution par binaire et les fichiers que chacun a chargés. La preuve d'exécution Windows la plus forte.
- Qu'est-ce que ShimCache (AppCompatCache) ? (glossaire)
ShimCache est un cache maintenu par le noyau dans la ruche du registre SYSTEM enregistrant jusqu'à 1024 binaires que le loader Windows a touchés. Différent d'Amcache.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.