Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours.
🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques.
🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports).
🧰 Côté outils et méthodes, l’analyse peut s’effectuer avec des solutions open source comme srum-dump sur systèmes actifs, ou via des solutions commerciales bootables telles qu’Elcomsoft System Recovery pour une analyse hors-ligne.
⏳ L’article souligne la volatilité de SRUM : la base est tronquée en continu pour ne conserver qu’environ 30 jours de données, ce qui impose un timing d’extraction soigneux afin de préserver les éléments probants.
Il s’agit d’une analyse technique visant à expliquer l’exploitation de SRUM pour la collecte et l’analyse de preuves numériques.
🔗 Source originale : https://blog.elcomsoft.com/2025/08/analyzing-the-windows-srum-database/