Bonjour à tous, aujourd’hui on continue la série Forensgeek avec un nouveau TP sur un élément analysable en investigation post-mortem, le SRUM (System Ressource Utilization Manager).
C’est quoi SRUM et ça sert à quoi ?
Le SRUM est présent depuis Windows 8 et enregistre l’activité relative à l’utilisation des ressources dans le système. On y retrouve des informations sur cycles CPU, les I/O disque ou réseau ou encore les notifications. C’est une sorte de journal d’évènements de performances des applications.
C’est où ?
Alors vous pouvez visualiser, partiellement, les informations dans le gestionnaire de tâches, onglet Historique des applications.
Après c’est une vue incomplète au dessus. L’ensemble des données est accessible dans deux emplacement :
- Le registre et la clé
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions
. Attention, vous n’avez ici que les informations relatives à la dernière heure au maximum (purge horaire et celui-ci est aussi purgé à l’arrêt du système). - le fichier
SRUDB.dat
dansC:\WINDOWS\System32\sru
, mais vous n’avez pas la possibilité d’accéder facilement à ce fichier tant que le système est en ligne.
Pour les curieux le format du .dat, c’est un ESE pour Extensible Storage Engine (ESE). C’est un format propriétaire Microsoft, un peu à l’image d’un SQLlite ou vous avez … Lire la suite