SRUM prouve-t-il qu’un programme s’est exécuté ?

Oui. Une ligne dans Utilisation des ressources avec des cycles CPU non nuls signifie que le processus a tourné durant ce bucket horaire. Contrairement à Prefetch, SRUM lie aussi l’exécution à un SID utilisateur et au coût ressources.

Prefetch est-il plus précis que SRUM pour l’heure d’exécution ?

Prefetch enregistre les 8 dernières exécutions à la seconde, donc plus précis pour les exécutions récentes. SRUM regroupe par fenêtres d’environ 1 heure mais conserve beaucoup plus d’historique (30–60 jours contre ~128 entrées Prefetch).

Amcache prouve-t-il l’exécution ?

Amcache prouve la présence et est fortement associé à l’exécution, mais c’est avant tout un inventaire de programmes. SRUM et Prefetch sont des preuves d’exécution plus directes.

Quel artefact survit le plus longtemps ?

Amcache et SRUM se conservent des semaines à des mois. Prefetch est plafonné à 1024 fichiers (et parfois désactivé sur serveurs/SSD), il tourne donc le plus vite sur les systèmes chargés.

Faut-il n’en utiliser qu’un seul ?

Non. Ils se corroborent. Prefetch donne des horodatages récents précis, SRUM l’activité longue durée plus l’attribution utilisateur et les octets, Amcache le SHA-1 du binaire. Ensemble ils construisent une timeline défendable.

← Retour à l’analyseur

SRUM vs Prefetch vs Amcache : quel artefact d’exécution utiliser

19/05/2026

La réponse en une ligne

Utilisez Prefetch pour les heures d’exécution récentes précises, SRUM pour l’activité longue durée avec attribution utilisateur et coût ressources, et Amcache pour le hash et la présence du binaire. Ils sont complémentaires, pas interchangeables.

Comparaison

	SRUM	Prefetch	Amcache
Prouve l’exécution	Oui (cycles CPU > 0)	Oui	Associé, non définitif
Résolution temporelle	bucket ~1 h	Seconde (8 derniers)	Installation/1re vue
Profondeur historique	30–60 jours	~1024 entrées	Semaines–mois
Attribution utilisateur	Oui (UserId → SID)	Non	Non
Octets / réseau	Oui	Non	Non
Hash du binaire	Non	Non	Oui (SHA-1)
Disponibilité par défaut	Oui (Win8+)	Souvent off SSD/serveur	Oui

Quand SRUM est le bon outil

SRUM est unique quand la question porte sur qui ou combien :

« Quel compte a exécuté cet outil ? » — Prefetch et Amcache ne le disent pas ; le UserId de SRUM résout vers un SID via SruDbIdMapTable.
« Combien de données le processus a-t-il envoyées ? » — seule la table Utilisation des données réseau de SRUM a des compteurs d’octets par processus.
« A-t-il tourné de façon répétée le mois dernier ? » — SRUM garde ~30–60 jours ; Prefetch a probablement tourné.

Quand SRUM est le mauvais outil

Vous voulez la seconde exacte de la dernière exécution → Prefetch.
Vous voulez le hash du binaire pour le threat intel → Amcache.
Serveur avec Prefetch désactivé, simple oui/non de présence → Amcache.

Flux combiné

Amcache — SHA-1 du binaire, date de première installation.
Prefetch — horodatages précis des dernières exécutions.
SRUM — récurrence longue durée, compte utilisateur, et toute sortie réseau. Déposez la base dans l’analyseur SRUM et pivotez sur l’AppId résolu.

C’est la corroboration des trois qui rend la timeline solide.

Pour aller plus loin

Questions fréquentes

SRUM prouve-t-il qu’un programme s’est exécuté ?: Oui. Une ligne dans Utilisation des ressources avec des cycles CPU non nuls signifie que le processus a tourné durant ce bucket horaire. Contrairement à Prefetch, SRUM lie aussi l’exécution à un SID utilisateur et au coût ressources.
Prefetch est-il plus précis que SRUM pour l’heure d’exécution ?: Prefetch enregistre les 8 dernières exécutions à la seconde, donc plus précis pour les exécutions récentes. SRUM regroupe par fenêtres d’environ 1 heure mais conserve beaucoup plus d’historique (30–60 jours contre ~128 entrées Prefetch).
Amcache prouve-t-il l’exécution ?: Amcache prouve la présence et est fortement associé à l’exécution, mais c’est avant tout un inventaire de programmes. SRUM et Prefetch sont des preuves d’exécution plus directes.
Quel artefact survit le plus longtemps ?: Amcache et SRUM se conservent des semaines à des mois. Prefetch est plafonné à 1024 fichiers (et parfois désactivé sur serveurs/SSD), il tourne donc le plus vite sur les systèmes chargés.
Faut-il n’en utiliser qu’un seul ?: Non. Ils se corroborent. Prefetch donne des horodatages récents précis, SRUM l’activité longue durée plus l’attribution utilisateur et les octets, Amcache le SHA-1 du binaire. Ensemble ils construisent une timeline défendable.