Moniteur d’utilisation des ressources système (SRUM)

But et fonction

Le System Resource Usage Monitor (SRUM) est une fonctionnalité de Windows (présente à partir de Windows 8) qui fournit des données historiques détaillées sur la consommation des ressources système. Son objectif principal pour le système d’exploitation est de suivre quelles applications et services utilisent des ressources telles que le processeur, le réseau et le disque, ce qui est précieux pour la gestion de l’alimentation et la compréhension du comportement des applications au fil du temps.

Pour les analystes DFIR, le SRUM est souvent qualifié de « mine d’or médico-légale ». Il maintient une base de données historique continue (généralement pendant 30 à 60 jours) d’activité de processus et de réseau, ce qui en fait un artefact incroyablement robuste qui conserve souvent des preuves bien après que des traces plus volatiles ont été écrasées ou délibérément effacées.

Emplacement et structure

Les données SRUM sont stockées dans une base de données Extensible Storage Engine (ESE), un type de format de base de données également utilisé par Microsoft Exchange et Active Directory.

• Emplacement: C:\Windows\System32\sru\SRUDB.dat

Le fichier est une base de données complexe à plusieurs tables, généralement verrouillée par le système pendant que Windows fonctionne. L’analyse nécessite des outils médico-légaux spécialisés capables d’analyser les bases de données ESE.SRUDB.dat

Métadonnées stockées

La base de données SRUM enregistre un large éventail de métriques détaillées pour les applications et services. Les informations les plus pertinentes sur le plan médico-légal incluent :

• Historique de l’exécution des processus : Il enregistre les processus exécutés, y compris leurs chemins complets et le contexte utilisateur (SID) sous lequel ils ont été exécutés. Cela offre un historique d’exécution plus long que les artefacts comme le prélecture ou le BAM.

• Activité réseau : C’est une caractéristique clé. SRUM surveille la connectivité réseau par application, en enregistrant :

  • Octets envoyés et reçus : La quantité totale de données transférées via des interfaces filaires et sans fil.

  • Interface réseau : L’adaptateur réseau spécifique utilisé pour la connexion.

  • Horodatages de connexion : Lorsque l’application était connectée au réseau.

• Consommation des ressources : Il enregistre des métriques telles que le temps CPU (distinguant l’utilisation au premier plan et en arrière-plan), les entrées/sorties disque (lectures et écritures), ainsi que d’autres compteurs de performance pour chaque application.

• Disponibilité et focus de la candidature : Grâce à des tables comme , SRUM peut suivre combien de temps une application est restée au point (c’est-à-dire la fenêtre active au premier plan), fournissant un contexte sur l’interaction utilisateur.AppTimelineProvider

Valeur médico-légale

La profondeur historique et l’étendue des données de la base de données SRUM en font un outil exceptionnellement puissant pour une enquête.

• Historique à long terme : La capacité de SRUM à conserver des données pendant 30 à 60 jours lui permet de fournir des preuves d’activités survenues bien avant le début de l’enquête, survivant souvent à de multiples redémarrages et tentatives de nettoyage.

• Détection des logiciels malveillants sensibles au réseau : La capacité de surveillance réseau est inestimable pour identifier les applications non autorisées qui communiquent sur le réseau. Il peut prouver qu’un processus spécifique (par exemple, un chargeur de triche) s’est connecté à Internet, ce qui peut être corrélé à une activité de téléchargement ou de commande et contrôle (C2).

• Résilience face à la falsification : Bien que le fichier puisse être supprimé, son absence constitue un indicateur très suspect d’activité anti-médico-légale. Contrairement à effacer des fichiers de prélecture individuels ou des clés de registre, effacer toute la base de données SRUM est une action beaucoup plus radicale et visible.SRUDB.dat

• Corrélation entre l’activité utilisateur et le système : En combinant les données d’exécution des processus avec les SIDs et horodatages des utilisateurs, SRUM aide les analystes à attribuer des activités spécifiques à des utilisateurs spécifiques et à construire une chronologie complète des événements.

En raison de sa complexité, les outils médico-légaux en ligne de commande comme ceux d’Eric Zimmerman sont la norme pour analyser la base de données et exporter ses tables dans un format lisible par l’humain (comme le CSV) pour analyse.SrumECmd