Qu’est-ce que SRUM et pourquoi cela intéresse les analystes forensiques
16/05/2026
Aperçu
Le System Resource Usage Monitor (SRUM) est un sous-système Windows
apparu avec Windows 8 qui enregistre par application l’activité
ressources : cycles CPU, temps au premier ou à l’arrière-plan, octets
lus/écrits, octets envoyés et reçus, consommation d’énergie. Les données
résident dans une base ESE à C:\Windows\System32\sru\SRUDB.dat et
couvrent environ 30 à 60 jours d’historique (plus pour les variantes LT).
Pour un analyste forensique, SRUM répond à des questions auxquelles aucune autre source ne répond avec la même précision :
- Quel programme a exfiltré des données réseau, et combien ?
- Telle application tournait-elle à telle date ?
- Quel compte utilisateur était connecté lors de l’exécution ?
- L’appareil était-il sur secteur ou batterie au moment de l’événement ?
Les tables connues
SRUDB.dat est une base ESE (Jet Blue) standard. La plupart des tables portent un nom GUID ; chaque GUID identifie une extension SRUM enregistrée auprès du service.
| GUID | Usage |
|---|---|
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89} | Utilisation des ressources |
{973F5D5C-1D90-4944-BE8E-24B94231A174} | Utilisation des données réseau |
{DD6636C4-8929-4683-974E-22C046A43763} | Connectivité réseau |
{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37} | Utilisation de l’énergie |
{D10CA2FE-6FCF-4F6D-848E-B2E99266FA8F} | Notifications push |
La table non-GUID SruDbIdMapTable permet de résoudre les clés
étrangères AppId et UserId (entiers) vers le chemin d’une application
ou un SID Windows.
Un article dédié détaille les colonnes de chaque table.
Comment utiliser ce site
Déposez un fichier SRUDB.dat sur la page d’accueil et l’analyseur
vous montre chaque table, chaque colonne, et résout les chemins
d’applications et SIDs utilisateurs à la volée. Rien n’est uploadé — tout
tourne localement en WebAssembly.
Pour aller plus loin :
- Où se trouve SRUDB.dat sur Windows ? — conseils d’acquisition
- Tables SRUM expliquées — référence colonnes
- Comment analyser SRUDB.dat sans rien installer — comparatif des outils
- Investigation forensique avec SRUM — exemples d’enquête
- Le format de base ESE derrière SRUDB.dat — internals ESE
- SRUM vs Prefetch vs Amcache — quel artefact d’exécution utiliser
- Réparer un SRUDB.dat corrompu — dépannage récupération ESE
- Combien de temps SRUM conserve-t-il les données ? — rétention et registre
- Détecter l’exfiltration de données avec SRUM — méthode d’exfiltration ciblée
Questions fréquentes
- Que signifie SRUM ?
- System Resource Usage Monitor. C’est un sous-système Windows apparu avec Windows 8 qui enregistre par application l’utilisation CPU, réseau et énergie.
- Jusqu’à quand SRUM remonte-t-il dans le temps ?
- 30 à 60 jours pour les tables court-terme, jusqu’à un an pour les variantes long-terme (LT). La rétention est gouvernée par les réglages registre du Diagnostic Policy Service.
- SRUM trace-t-il les URL ou chemins de fichiers ?
- Non. SRUM compte les octets par processus et les cycles CPU, pas les URL, chemins, ou contenu d’écran. Combiné avec l’historique navigateur ou les timelines système, il devient cependant très précis.
- Peut-on désactiver SRUM ?
- Oui, en arrêtant le Diagnostic Policy Service (DPS). De nouvelles lignes cessent d’être écrites mais le SRUDB.dat existant est conservé jusqu’à suppression manuelle. La plupart des environnements entreprise laissent SRUM actif.
- Quels outils analysent SRUDB.dat ?
- SrumECmd (.NET), srum-dump (Python), libesedb (C), et cet outil navigateur (Rust → WebAssembly). Voir le comparatif dédié pour les détails.