Analyse du SRUM de Windows pour les enquĂȘtes forensiques : guide, limites et outils
Source : Elcomsoft Blog â Dans un guide dĂ©taillĂ© orientĂ© forensique et rĂ©ponse Ă incident, lâarticle explique lâexploitation de la base Windows SRUM pour retracer lâactivitĂ© utilisateur et rĂ©seau sur une fenĂȘtre glissante de 30 jours. đ SRUM conserve des historiques sur lâusage dâapplications et lâactivitĂ© rĂ©seau utiles pour reconstruire des chronologies lors dâincidents. Lâarticle prĂ©sente ses capacitĂ©s, ses limites et des mĂ©thodes pratiques dâaccĂšs/analyses adaptĂ©es aux enquĂȘtes numĂ©riques. đïž Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions rĂ©seau, CPU, I/O disque, consommation Ă©nergĂ©tique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes dâexĂ©cution, horodatages, ainsi que des mĂ©tadonnĂ©es rĂ©seau (adresses IP, ports). ...