Quel est le chemin complet de SRUDB.dat ?

C:\Windows\System32\sru\SRUDB.dat sur toutes les versions de Windows de 8 à 11. Il est accompagné des journaux de transactions (SRU*.log) et d’un fichier checkpoint (SRU.chk) dans le même répertoire.

Puis-je copier SRUDB.dat pendant que Windows tourne ?

Non. Le service SRUM (Dps) maintient un verrou exclusif sur le fichier. Utilisez un Volume Shadow Copy, un imager forensique comme FTK Imager ou KAPE, ou un outil noyau comme Velociraptor.

SRUDB.dat existe-t-il sur Windows Server ?

Oui, sur Server 2012 R2 et ultérieur, lorsque le Diagnostic Policy Service est actif. Le fichier peut être plus petit car les charges grand public (apps Modern, suivi énergie) sont absentes.

SRUDB.dat est-il chiffré ?

Non. SRUDB.dat est une base ESE classique. Certaines colonnes sont compressées en XPRESS mais jamais chiffrées au repos.

Quels autres fichiers récupérer avec SRUDB.dat ?

Pour une acquisition complète : tout le répertoire C:\Windows\System32\sru\ (les logs et le checkpoint rejouent les transactions non commit), plus la ruche de registre SOFTWARE pour résoudre les GUID de profils réseau en noms lisibles.

← Retour à l’analyseur

Où se trouve SRUDB.dat sur Windows ?

17/05/2026

TL;DR

SRUDB.dat se trouve à :

C:\Windows\System32\sru\SRUDB.dat

Il ne peut pas être copié pendant que le système tourne car le service Diagnostic Policy Service (DPS) maintient un handle exclusif. Utilisez un Volume Shadow Copy ou un imager forensique.

Pourquoi le chemin importe

Le System Resource Usage Monitor est apparu avec Windows 8 et n’a pas changé d’emplacement depuis. Tout le répertoire C:\Windows\System32\sru\ contient les artefacts maintenus par le service :

SRUDB.dat — la base ESE principale
SRU*.log — journaux d’écriture ESE
SRU.chk — fichier checkpoint qui permet à un parseur de rejouer les transactions non commit

Copier seulement SRUDB.dat sans les logs peut faire qu’un parseur remonte moins de lignes — les activités récentes peuvent encore être dans les logs en attente de flush.

Acquérir le fichier

Sur un système vivant, SRUDB.dat est verrouillé. Approches qui marchent :

Volume Shadow Copy (VSS). Prendre un snapshot du volume système puis lire le fichier depuis le snapshot. L’outil Arsenal Image Mounter gère ça très bien.
Imager forensique. FTK Imager, X-Ways, ou Magnet AXIOM Process récupèrent tous les fichiers système verrouillés via accès disque direct.
Outils de collecte ciblée. KAPE et Velociraptor ont des collecteurs SRUM intégrés qui prennent le répertoire sru\ entier plus la ruche SOFTWARE.

Après acquisition, déposez le fichier directement dans l’analyseur SRUM — pas d’étape d’extraction supplémentaire.

Quand le chemin diffère

Le chemin est identique sur les SKU grand public et serveur, mais :

Windows 7 et antérieurs n’ont pas SRUM. Le service est apparu avec Windows 8 / Server 2012.
Environnements Windows sandboxés (Windows-on-ARM en kiosque, certains verrouillages d’entreprise) peuvent avoir le service SRUM désactivé — le répertoire existe mais la base peut être vide.

Pour aller plus loin

Questions fréquentes

Quel est le chemin complet de SRUDB.dat ?: C:\Windows\System32\sru\SRUDB.dat sur toutes les versions de Windows de 8 à 11. Il est accompagné des journaux de transactions (SRU*.log) et d’un fichier checkpoint (SRU.chk) dans le même répertoire.
Puis-je copier SRUDB.dat pendant que Windows tourne ?: Non. Le service SRUM (Dps) maintient un verrou exclusif sur le fichier. Utilisez un Volume Shadow Copy, un imager forensique comme FTK Imager ou KAPE, ou un outil noyau comme Velociraptor.
SRUDB.dat existe-t-il sur Windows Server ?: Oui, sur Server 2012 R2 et ultérieur, lorsque le Diagnostic Policy Service est actif. Le fichier peut être plus petit car les charges grand public (apps Modern, suivi énergie) sont absentes.
SRUDB.dat est-il chiffré ?: Non. SRUDB.dat est une base ESE classique. Certaines colonnes sont compressées en XPRESS mais jamais chiffrées au repos.
Quels autres fichiers récupérer avec SRUDB.dat ?: Pour une acquisition complète : tout le répertoire C:\Windows\System32\sru\ (les logs et le checkpoint rejouent les transactions non commit), plus la ruche de registre SOFTWARE pour résoudre les GUID de profils réseau en noms lisibles.