Blog
Détecter l’exfiltration de données avec SRUM
Une méthode ciblée pour repérer le vol de données sortant via la table Utilisation des données réseau de SRUM — octets par processus, attribution utilisateur, profil réseau.
Réparer un SRUDB.dat corrompu (récupération de base ESE)
Pourquoi un SRUDB.dat copié est souvent en état « dirty », et comment rejouer les journaux de transactions avec esentutl pour qu’un parseur lise toutes les lignes.
Combien de temps SRUM conserve-t-il les données ? Rétention et registre
Jusqu’où remonte l’historique SRUM, ce qui contrôle la rétention, et les clés de registre qui gouvernent les tables court-terme et long-terme.
SRUM vs Prefetch vs Amcache : quel artefact d’exécution utiliser
Comparaison pratique des trois principaux artefacts d’exécution de Windows — ce que chacun prouve, leur résolution temporelle, et quand SRUM l’emporte.
Comment analyser SRUDB.dat sans rien installer
Trois façons d’extraire les données d’une base SRUM Windows — choisissez celle qui correspond à votre temps, environnement et niveau.
Le format de base ESE derrière SRUDB.dat
Comprendre l’Extensible Storage Engine — la base embarquée de Windows utilisée par SRUM, Active Directory, Exchange, le cache du navigateur Edge, et plus.
Investigation forensique avec SRUM
Questions d’enquête concrètes auxquelles la base SRUM répond — exfiltration de données, activité de malware, timeline suspect, menace interne.
Où se trouve SRUDB.dat sur Windows ?
Le chemin exact de la base SRUM sur toutes les versions de Windows, et comment l’extraire en toute sécurité depuis une machine vivante ou une image forensique.
Tables SRUM expliquées : AppResource, Network, Energy, Push
Guide de référence des tables connues dans SRUDB.dat — leur nom GUID, leurs colonnes, et ce que chacune indique à un analyste forensique.
Qu’est-ce que SRUM et pourquoi cela intéresse les analystes forensiques
Guide pilier sur le Windows System Resource Usage Monitor : ce qu’il enregistre, où le trouver, et ce que les enquêteurs en tirent.