C windows system32 sru что это

Уровень сложностиСредний

Время на прочтение12 мин

Количество просмотров17K

Всем привет! Меня зовут Сергей Кислухин, я работаю аналитиком 3 линии SOC, и мне есть чем поделиться в области реагирования на компьютерные инциденты на хостах под управлением Windows.

Введение

При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов, которые не всегда легко интерпретировать. Чаще всего работники обращаются к журналам событий системы, однако их может быть недостаточно, особенно если аудит событий не настроен должным образом, а журналы либо удалены, либо сохраняются лишь на короткий срок.

Иногда даже стандартный набор артефактов, изучаемый на различных учебных программах по расследованию инцидентов может не дать полный ответ на вопрос: «Что произошло в системе?». Например, злоумышленник может успеть очистить наиболее популярные артефакты, или данные в процессе сбора или передачи могут повредиться.

Цель этой статьи — предложить наиболее полный список источников информации, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки предложить где их находить и чем анализировать.

Оглавление

Типы артефактов
Артефакты активности в Windows
Информация о системе (System Information)
Выполнение команд (Command Execution)
Выполнение приложений (Application Execution)
Открытие файлов и папок (File/Folder Opening)
Удаленные элементы и существование файлов (Deleted Items and File Existence)
Сетевая активность (Network Activity)
Использование внешних устройств/USB (External Device/USB Usage)
Выводы

Типы артефактов

Все предложенные далее артефакты можно разделить на 4 группы — источника:

  • Журналы событий безопасности:

    • Имеют расширение .evtx 

    • Хранятся в каталоге %SystemRoot%\System32\winevt\Logs\*

    • Анализ: стандартный %SystemRoot%\System32\eventvwr.msc, Event Log Explorer, SIEM

  • Реестр Windows: 

    • Файлы:

      • %SystemRoot%\System32\Config\* (SOFTWARE, SYSTEM, SAM, …)

      • %UserProfile%\NTUSER.DAT

      • %LocalAppData%\Microsoft\Windows\UsrClass.dat

      • %SystemRoot%\AppCompat\Programs\Amcache.hve

    • Анализ: стандартный %SystemRoot%\regedit.exe, Registry Explorer, RegRipper.

  • Файлы системных утилит, которые используются в работе для получения быстрого доступа к ранее введенным командам или открываемым папкам и файлам.

    • Анализ: В текстовом редакторе или иной специальной утилите.

  • Файлы в которых хранится системная информация (для ускорения работы или журналирования сбоев), изначально не предназначенная для форензики, но которую можно использовать для этих целей.

    • Анализ: специальными утилитами.

При возможности, для каждого артефакта приведены его описание, что он содержит, где находится и название утилиты, с помощью которой его можно проанализировать. Также по минимуму будут указываться источники в виде журналов безопасности, т.к. все равно их смотрят в первую очередь, и подробный разбор всех событий для анализа активности пользователей являются темой для отдельной статьи.

Артефакты активности в Windows

Информация о системе (System Information)

Артефакты системной информации содержат базовые параметры, которые будут необходимы для определения ключевых характеристик системы. Особенно полезны при анализе образов дисков без идентификации (например при решении заданий CTF). 

  • Версия ОС и Дата установки:

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion

  • Часовой пояс: 

    • SYSTEM\CurrentControlSet\Control\TimeZoneInformation

  • Имя хоста: 

    • SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName > ComputerName

  • Сетевые интерфейсы: 

    • SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\*

  • Установленные антивирусные программы и их статус:

    • SOFTWARE\Microsoft\Security Center\Provider\Av\*

  • Список установленных патчей и обновлений системы:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\*

  • Перечень пользователей: 

    • SAM\Domains\Accounts\Users

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%SID%

  • Членство пользователя в группах:

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership

  • Переменные среды пользователя:

    • NTUSER.DAT\Environment > Path

  • Время последнего входа в систему:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

  • Установленные программы:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*

    • SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*

Выполнение команд (Command Execution)

Главное в поиске вредоносных команд не выйти на самого себя

Главное в поиске вредоносных команд не выйти на самого себя

Артефакты, связанные с выполнением команд, помогают установить, какие команды и скрипты запускались в системе. Данные артефакты являются наиболее ценными, т.к. также могут дать информацию о путях к вредоносным приложениям или уже удаленным файлам. 

  • Журналы событий безопасности:

    • Security.evtx -> event_id 4688 — Был создан новый процесс (необходима настройка аудита Windows для вывода команд);

    • Microsoft–Windows–PowerShell/Operational.evtx, Windows PowerShell.evtx;

    • Microsoft-Windows-Shell-Core/Operational.evtx -> event_id 9707 — Выполнение процесса из разделов реестра автозагрузки с указанием командной строки.

  • PowerShell Consolehost History

    • История введенных команд Powershell.

    • Содержит 4096 последних запущенных команд в Powershell (Без временных отметок выполнения команд. Единственная временная метка — время изменения файла = время запуска последней команды). 

    • %AppData%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

  • Профили PowerShell:

    • Скрипт .ps1, выполняющийся при запуске оболочки PowerShell.

    • Файлы:

      • %SystemRoot%\System32\WindowsPowerShell\v1.0\*profile.ps1

      • %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\*profile.ps1

      • %UserProfile%\Documents\*profile.ps1

  • Планировщик заданий Windows:

    • Файлы запланированных задач Windows, выполняющиеся по расписанию или при наступлении определенных событий.

    • Содержат команды и условия, при которых они должны запускаться.

    • %SystemRoot%\Tasks\*, %SystemRoot%\System32\Tasks\*, %SystemRoot%\SysWOW64\Tasks\*

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tree\*, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks\*

    • Журнал Windows-TaskScheduler/Operational.evtx;

  • Хранилище свойств объектов WMI:

    • Подобие планировщика задач, но на основе WMI Event Consumer.

    • Содержат команды и условия, при которых они должны запускаться.

    • %SystemRoot%\System32\WBEM\Repository\OBJECTS.DATA

    • Анализ: python–cim, PyWMIPersistenceFinder.py .

  • Задания BITS:

    • Задачи механизма асинхронной передачи файлов, для удаленных подключений.

    • Содержат очереди из операций с файлами.

    • %AllUsersProfile%\Microsoft\Network\Downloader\*:

      • qmgr.db (или qmgr0.dat и qmgr1.dat) — сами задания;

      • edb.log — журнал транзакций.

    • Анализ: BitsParser.

  • Журналы антивируса:

    • Вредоносные команды могут сохраняться в результате детектирования движком поведенческого анализа.

    • Содержит информацию о зафиксированных вредоносных объектах на хосте.

    • Windows Defender: Журнал Microsoft-Windows-Windows-Defender/Operational.evtx + %ProgramData%\Microsoft\Windows Defender\Scans\History\*

  • Службы:

    • Фоновые приложения, обеспечивающие функциональность операционной системы и запускающиеся без участия пользователя.

    • Содержат путь до исполняемого файла (иногда с командой) и тип его запуска (автоматически или вручную).

    • SYSTEM\CurrentControlSet\Services\* + Журнал System.evtx -> event_id 7034-7045

  • Файлы гибернации, подкачки и аварийные дампы (дампы / части оперативной памяти):

    • Файл гибернации содержит дамп оперативной памяти, созданный при переходе системы в состояние гибернации. В нем могут находиться данные активных или уже завершенных процессов.

    • Файл подкачки служит для временного хранения данных из оперативной памяти, когда ее недостаточно. В нем могут храниться фрагменты памяти, включая данные завершенных процессов, пароли, фрагменты документов и т. д.

    • Файл дампа режима ядра (файл аварийного дампа), сохраняется при возникновении синих экранов смерти. Содержимое варьируется в зависимости от настроек в реестре.

    • Файл гибернации: %SystemDrive%\hiberfil.sys. Файлы подкачки: %SystemDrive%\pagefile.sys+ %SystemDrive%\swapfile.sys. Файлы аварийного дампа:%SystemRoot%\MEMORY.DMP + %SystemRoot%\Minidump.dmp

    • Анализ: Volatility, Strings, PhotoRec, MemProcFS

Выполнение приложений (Application Execution)

Суть артефактов указывающих на выполнение приложений

Суть артефактов указывающих на выполнение приложений

Артефакты выполнения приложений помогают в восстановлении последовательности действий на компьютере, определении подозрительных или нежелательных программ, а также позволяют выявить изменения в системе, связанные с их запуском.

  • AppCompatCache / ShimCache:

    • Механизм совместимости приложений Windows, который содержит список исполняемых файлов, запущенных в системе.

    • Содержит полные пути к файлам и  временные метки последнего изменения файла (по одинаковому времени можно искать переименования и перемещения файлов).

    • SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache > AppCompatCache

    • Анализ: appcompatprocessor, AppCompatCacheParser.

  • Amcache:

    • Реестровый файл Windows, который содержит информацию о всех исполняемых файлах на хосте.

    • Содержит полный путь к файлу, время первого запуска файла, размер файла, хэш SHA-1 файла, информацию о программном обеспечении.

    • %SystemRoot%\AppCompat\Programs\Amcache.hve

    • Анализ: AmcacheParser, appcompatprocessor.

  • Windows JumpLists:

    • Функция панели задач Windows, которая позволяет пользователям просматривать список недавно использованных элементов.

    • Содержит время первого запуска приложения, путь к приложению, а также хосты, к которым осуществляется доступ через RDP.

    • %AppData%\Microsoft\Windows\Recent\AutomaticDestinations\* + %AppData%\Microsoft\Windows\Recent\CustomDestinations\*

    • Анализ: JLECmd, JumpList Explorer.

  • Prefetch:

    • Функция Windows, которая ускоряет загрузку приложений путем кэширования данных о приложениях, которые часто используются.

    • Содержит информацию о файлах и директориях, которые загружаются приложением при запуске, и временные метки для этих файлов.

    • %SystemRoot%\Prefetch\(имя_файла)-(хэш_пути).pf

    • Анализ: PECmd, WinPrefetchView, TZWorks Prefetch Parser.

  • UserAssist

    • Функция Windows, которая отслеживает, какие приложения с графическим интерфейсом запускает пользователь, и сколько раз они были запущены.

    • Содержит информацию о запускаемых приложениях и времени последнего запуска.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\*

  • RunMRU (Most Recently Used):

    • Команды, введенные в диалоговом окне `Выполнить` (Run).

    • Может указывать на запуск программы или скрипта на устройстве.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\*

  • RecentApps:

    • Последние приложения, открытые пользователем через меню «Пуск» или через Task Switcher (например, с помощью комбинации клавиш Alt+Tab).

    • Содержит приложения, которые были запущены недавно.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\*

  • SRUM (Монитор использования системных ресурсов):

    • Функция Windows используемая для мониторинга производительности системы.

    • Содержит путь к файлу, время запуска и количество переданных и загруженных байт.

    • %SystemRoot%\System32\SRU\SRUDB.dat

    • Анализ: SrumECmd, srum-dump, Диспетчер задач\Журнал приложений (частичный просмотр).

  • Windows 10 Timeline:

    • Временная шкала (функционал Представления задач), открываемая через сочетание клавиш Win+Tab

    • Содержат пути к файлам и время их запуска.

    • %LocalAppdata%\ConnectedDevicesPlatform\%Account-ID%\ActivitiesCache.db

    • Анализ: DB Browser for SQLite, WxTCmd.

  • Background Activity Moderator (BAM):

    • Отслеживает и контролирует активность приложений в фоновом режиме, для оптимизации производительности системы и управления использованием ресурсов.

    • Содержит информацию о приложениях, которые были запущены, времени их запуска и пути к исполняемому файлу.

    • SYSTEM\CurrentControlSet\Services\bam\state\UserSettings\{USER_SID} + SYSTEM\CurrentControlSet\Services\bam\UserSettings\{USER_SID}

  • Windows Error Reporting:

    • Компонент Windows, который позволяет пользователям отправлять отчеты о сбоях в Microsoft. Предоставление артефактов, указывающих на выполнение программы, если вредоносная программа дает сбой во время своего выполнения.

    • Содержит пути к приложениям, загруженные модули, SHA1-хэш и метаданные приложения.

    • %ProgramData%\Microsoft\Windows\WER\* + %LocalAppdata%\Microsoft\Windows\WER\* + Журнал Application.evtx -> 1001 (Отчеты об ошибках).

    • Особенности: Можно посмотреть в `Панель управления\Система и безопасность\Центр безопасности и обслуживания\Монитор стабильности системы`.

  • FeatureUsage:

    • Реестр использования приложений на панели задач.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppBadgeUpdated\*

  • Image File Execution Options (IFEO):

    • Запуск приложения под отладчиком, который указывается в реестре.

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* + SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

  • Windows Push Notification Services

    • Системные уведомления от приложений

    • Содержит имя приложения и содержимое уведомления, в котором могут быть чувствительные данные

    • %LocalAppdata%\Microsoft\Windows\Notifications\wpndatabase.db + %LocalAppdata%\Microsoft\Windows\Notifications\wpndatabase.db‑wal

    • Анализ: Notifications.sql, walitean

  • Места закрепления в реестре:

    • Хоть и не являются отдельным артефактом, но упомянуть стоит, т.к. наличие вредоноса в хоть в одном из них, также будет свидетельствовать о вредоносной активности на хосте.

    • Их много, и более подробно места их нахождения и способы анализа описывал в своей предыдущей статье.

Открытие файлов и папок (File/Folder Opening)

Артефакты открытия файлов и папок могут указать, какие файлы открывались, редактировались или сохранялись. Это полезно для установления факта работы с определенными документами, анализа работы с конфиденциальной информацией и поиска следов удаленных подключений.

  • LNK-файлы (ярлыки):

    • Автоматически создаются операционной системой Windows, когда пользователь открывает локальный или удаленный файл.

    • Содержит путь к файлу, и временные метки как самого файла LNK, так и файла, на который он указывает.

    • %AppData%\Microsoft\Windows\Recent\* + %AppData%\Microsoft\Office\Recent\*

    • Анализ: LECmd.

  • LastVisitedMRU, OpenSaveMRU, BagMRU, RecentDocs, TypedPaths, Mapped network drive

    • Пути к папкам и файлам из разных источников: к которым обращались приложения, открыты или сохранены через диалоговые окна `Открыть файл` и `Сохранить файл`, настроены отображения в проводнике, открыты или введены вручную через проводник, подключенные сетевые диски.

    • Файлы:

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\*

      • SOFTWARE\Microsoft\Windows\Shell\Bags\* + UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU

  • MS Word Reading Location

    • NTUSER.DAT\SOFTWARE\Microsoft\Office\*\Word\Reading Locations\*

  • Удаленно подключенные диски

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*

  • Общие ресурсы не по умолчанию:

    • SYSTEM\CurrentControlSet\LanmanServer\Shares

Удаленные элементы и существование файлов (Deleted Items and File Existence)

Эти артефакты позволяют восстановить информацию о существовавших на системе файлах, даже если они были удалены или изменены. Они помогают восстановить историю файловой активности, идентифицировать удаленные файлы и доказать факт их существования в прошлом.

  • MFT:

    • Файл содержащий информацию о каждом файле и каталоге на NTFS-томе.

    • Содержит информацию о файле или каталоге, включая его атрибуты, такие как время создания, время последнего изменения, время последнего доступа и т.д.

    • Метафайл $MFT в корне тома (видим и выгружается через KAPE, FTK Imager, и т.д.)

    • Анализ: MFTExplorer, MFTECmd, analyzeMFT.

  • USN Journal:

    • Отслеживает изменения каждого тома (высокоуровневые записи операций, выполняемых в файловой системе).

    • Содержит недавние записи для каждого изменения, внесенного в данные на томе: когда файлы были созданы, переименованы (в том числе перемещены), изменены.

    • $Extend\$UsnJrnl в корне тома.

    • Анализ: MFTEcmd.

  • Recycle.Bin (Корзина):

    • Содержит файлы, перед которыми стоят $I и $R и к которым добавляется расширение исходного файла. $I файл содержит информацию об удаленном файле (размер, путь и время удаления), а $R файл содержит полное содержимое этого удаленного файла.

    • %SystemDrive%\$Recycle.Bin\{USER_SID}

    • Анализ: RBCmd.

  • Windows Search database:

    • Хранит индексированные данные всех файлов, папок и другого контента на компьютере.

    • Содержит временные метки доступа к файлам, путь и местоположение файлов, содержимое файлов, если они были проиндексированы.

    • %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb

    • Анализ: ESEDatabaseView.

  • IconCache.db / Thumbcache:

    • Миниатюрные изображения файлов на компьютере.

    • Содержат JPG, BMP и PNG-файлы в различных размерах пикселей. Каждая миниатюра хранит уникальный идентификационный номер для каждого связанного эскиза из ThumbnailcacheID.

    • %LocalAppdata%/Microsoft/Windows/Explorer/thumbcache_*.db

  • Теневая копия:

    • Разностные резервные копии файлов во время работы ОС.

    • С:\System Volume Information.

    • Анализ: ShadowCopyView.

Сетевая активность (Network Activity)

Артефакты сетевой активности полезны для расследования сетевой активности, анализа взаимодействий с внешними ресурсами и выявления возможных каналов команд и управления. Они могут показать, с какими сетями и ресурсами взаимодействовала система, что важно для выявления атак.

  • Сети, к которым подключался компьютер:

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList

  • Правила Брандмауэра Windows:

    • SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*

  • SRUM (упоминался ранее) — содержит количество переданных и принятых байт из сети приложением.

  • Браузеры:

    • Хранит истории посещения веб-страниц, cookies, загрузки, кеш страниц и данные онлайн-форм.

    • Данные хранятся базах данных SQLite в папке профиля пользователя:

      • Firefox: %Appdata%\Mozilla\Firefox\Profiles\*

      • Chromium: %LocalAppdata%\Google\Chrome\User Data\%PROFILE%

    • История открытия некоторых видов файлов: %LocalAppdata%/Microsoft/Windows/WebCache/WebCacheV*.dat

    • Анализ: BrowsingHistoryView, ChromeCacheView, IE10Analyzer.

  • Certutil History:

    • Кэш загруженных файлов, который содержит ценные метаданные.

    • Содержит кэш файла и url источника.

    • %UserProfile%/AppData/LocalLow/Microsoft/CryptnetUrlCache/MetaData/*

  • HostsFile:

    • Указывает, по какому IP-адресу надо обращаться к хосту.

    • Может содержать перенаправление на вредоносный сервер для легитимного домена.

    •  %SystemRoot%\System32\drivers\etc\hosts

Использование внешних устройств/USB (External Device/USB Usage)

Артефакты использования USB-устройств полезны для анализа передачи данных с системы на внешние носители, что важно при расследовании утечек данных и несанкционированного копирования файлов.

  • Журнал установки драйверов:

    • Содержит дату и вре­мя пер­вого под­клю­чения носите­ля.

    • %SystemRoot%\INF\setupapi.dev.log

  • Иден­тифика­торы подключенных устрой­ств:

    • SYSTEM\CurrentControlSet\Enum\USBSTOR\*

  • Бук­ва, наз­начен­ная сис­темой под­клю­чен­ному устрой­ству:

    • SYSTEM\MountedDevices

  • Название устройства:

    • SOFTWARE\Microsoft\Windows Portable Devices\Devices\*\FriendlyName

  • Информа­ция об устрой­ствах и свя­зан­ных с ними иден­тифика­торах фай­ловых сис­тем (исто­рия фор­матиро­ваний носите­ля):

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

Выводы

Windows хранит огромное количество артефактов, которые могут указывать на активность пользователей и приложений. Конечно, невозможно знать все, но подобная шпаргалка по основным артефактам может значительно упростить работу по расследованию инцидентов, особенно если доступ к привычным источникам данных ограничен или они оказались недоступны.

Последнее обновление: 12/02/2024
[Время, требуемое для чтения: 3,5 мин.]

Файлы CHK, такие как SRU.chk, классифицируются как файлы Data (InterCheck Checksum Database). Как файл InterCheck Checksum Database он был создан для использования в Sumatra PDF 3.1.2 от компании Open Source.

Файл SRU.chk впервые был выпущен для ОС Windows 8 08/01/2012 с Windows 8.

Самая последняя версия [версия 3.1.2] была представлена 08/14/2016 для Sumatra PDF 3.1.2.

Ниже приведены подробные сведения, порядок устранения неполадок, возникших с файлом CHK, и бесплатные загрузки различных версий файла SRU.chk.

Что такое сообщения об ошибках SRU.chk?

Общие ошибки выполнения SRU.chk

Ошибки файла SRU.chk часто возникают на этапе запуска Sumatra PDF, но также могут возникать во время работы программы.

Эти типы ошибок CHK также известны как «ошибки выполнения», поскольку они возникают во время выполнения Sumatra PDF. К числу наиболее распространенных ошибок выполнения SRU.chk относятся:

  • Не удается найти SRU.chk.
  • SRU.chk — ошибка.
  • Не удалось загрузить SRU.chk.
  • Ошибка при загрузке SRU.chk.
  • Не удалось зарегистрировать SRU.chk / Не удается зарегистрировать SRU.chk.
  • Ошибка выполнения — SRU.chk.
  • Файл SRU.chk отсутствует или поврежден.

Библиотека времени выполнения Microsoft Visual C++

Ошибка выполнения!

Программа: C:\Windows\System32\sru\SRU.chk

Среда выполнения получила запрос от этого приложения, чтобы прекратить его необычным способом.
Для получения дополнительной информации обратитесь в службу поддержки приложения.

В большинстве случаев причинами ошибок в CHK являются отсутствующие или поврежденные файлы. Файл SRU.chk может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Sumatra PDF) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла SRU.chk может быть вызвано отключением питания при загрузке Sumatra PDF, сбоем системы при загрузке или сохранении SRU.chk, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Как исправить ошибки SRU.chk — 3-шаговое руководство (время выполнения: ~5-15 мин.)

Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему SRU.chk. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):

  1. Нажмите кнопку «Пуск» в Windows
  2. В поле поиска введите «Восстановление системы» и нажмите ENTER.
  3. В результатах поиска найдите и нажмите «Восстановление системы»
  4. Введите пароль администратора (при необходимости).
  5. Следуйте инструкциям мастера восстановления системы, чтобы выбрать соответствующую точку восстановления.
  6. Восстановите компьютер к этому образу резервной копии.

Если на этапе 1 не удается устранить ошибку SRU.chk, перейдите к шагу 2 ниже.

Шаг 2. Если вы недавно установили приложение Sumatra PDF (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Sumatra PDF.

Чтобы удалить программное обеспечение Sumatra PDF, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):

  1. Нажмите кнопку «Пуск» в Windows
  2. В поле поиска введите «Удалить» и нажмите ENTER.
  3. В результатах поиска найдите и нажмите «Установка и удаление программ»
  4. Найдите запись для Sumatra PDF 3.1.2 и нажмите «Удалить»
  5. Следуйте указаниям по удалению.

После полного удаления приложения следует перезагрузить ПК и заново установить Sumatra PDF.

Если на этапе 2 также не удается устранить ошибку SRU.chk, перейдите к шагу 3 ниже.

Sumatra PDF 3.1.2

Open Source

Шаг 3. Выполните обновление Windows.

Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках SRU.chk может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:

  1. Нажмите кнопку «Пуск» в Windows
  2. В поле поиска введите «Обновить» и нажмите ENTER.
  3. В диалоговом окне Центра обновления Windows нажмите «Проверить наличие обновлений» (или аналогичную кнопку в зависимости от версии Windows)
  4. Если обновления доступны для загрузки, нажмите «Установить обновления».
  5. После завершения обновления следует перезагрузить ПК.

Если Центр обновления Windows не смог устранить сообщение об ошибке SRU.chk, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.

Если эти шаги не принесут результата: скачайте и замените файл SRU.chk (внимание: для опытных пользователей)

Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла SRU.chk. Мы храним полную базу данных файлов SRU.chk со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии Sumatra PDF . Чтобы загрузить и правильно заменить файл, выполните следующие действия:

  1. Найдите версию операционной системы Windows в нижеприведенном списке «Загрузить файлы SRU.chk».
  2. Нажмите соответствующую кнопку «Скачать», чтобы скачать версию файла Windows.
  3. Скопируйте этот файл в соответствующее расположение папки Sumatra PDF:

    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\

    Показать на 195 каталогов больше +

    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\
    Windows 10: C:\Windows\System32\sru\

  4. Перезагрузите компьютер.

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

СОВЕТ ОТ СПЕЦИАЛИСТА: Мы должны подчеркнуть, что переустановка Windows является достаточно длительной и сложной задачей для решения проблем, связанных с SRU.chk. Во избежание потери данных следует убедиться, что перед началом процесса вы создали резервные копии всех важных документов, изображений, установщиков программного обеспечения и других персональных данных. Если вы в настоящее время не создаете резервных копий своих данных, вам необходимо сделать это немедленно.

Скачать файлы SRU.chk (проверено на наличие вредоносного ПО — отсутствие 100 %)

ВНИМАНИЕ! Мы настоятельно не рекомендуем загружать и копировать SRU.chk в соответствующий системный каталог Windows. Open Source, как правило, не выпускает файлы Sumatra PDF CHK для загрузки, поскольку они входят в состав установщика программного обеспечения. Задача установщика заключается в том, чтобы обеспечить выполнение всех надлежащих проверок перед установкой и размещением SRU.chk и всех других файлов CHK для Sumatra PDF. Неправильно установленный файл CHK может нарушить стабильность работы системы и привести к тому, что программа или операционная система полностью перестанут работать. Действовать с осторожностью.

Файлы, относящиеся к SRU.chk

Файлы CHK, относящиеся к SRU.chk

Имя файла Описание Программное обеспечение (версия) Размер файла (в байтах) Расположение файла
SRU.chk InterCheck Checksum Database Sumatra PDF 3.1.2 8192 C:\Windows\System32\LogFiles\WMI\RtBackup\
edb.chk InterCheck Checksum Database Sumatra PDF 3.1.2 8192 C:\Windows\inf\

Download Windows Speedup Tool to fix errors and make PC run faster

Regular computer users, especially those with limited data consumption plans, usually monitor their data and bandwidth usage. While the earlier version of Windows let you reset or clear Network Data Usage via Settings, Windows 11/10 has no direct settings for it.

Windows comes with a built-in data usage monitor which calculates and shows the network data consumption by all your apps, software, program, Windows Update, etc.

How to view network data usage on Windows 11

How to manage the Data Usage Limit on Windows 11

To view data usage on Windows 11, follow these steps:

  1. Press Win+I to open Windows Settings.
  2. Click on the Network & internet option on the left side.
  3. Click on the Advanced network settings.
  4. Click the Data usage option under More settings.

View Network Data Usage in Windows 10

To get a detailed view of your data usage, press Win+I to go to Settings, click on Network and Internet and go to Data Usage. Here you can see the data used in the last 30 days.

data usage windows 10

Click on View Usage Details and you can get to see the data consumed by each of your apps and programs.

If you wish, you can reset or clear your Network Data Usage limit on your Windows 11/10 PC manually, using a Batch File or a freeware.

1] Manually delete contents of sru folder

To reset the Data Usage counter to zero, you will have to do the following.

Start Windows in Safe Mode. The easiest way would be to press Shift and then click on Restart. Once in Safe Mode, open the following folder location:

C:\Windows\System32\sru

clear Data Usage in Windows 10

Once here, delete all the contents of the sru folder.

Restart your PC in normal mode and see. Your Network Data Usage will have been reset.

The other way to do it manually would be to open Services Manager, stop the Diagnostic Policy Service, clear the contents of this sru folder, and then restart the Diagnostic Policy Service.

2] Data Usage Backup, Restore, Reset Script

But you have an easy option. You can use this Windows 10 Data Usage Reset Script sent to us by Hendrik Vermaak.

windows 10 data usage script

This download offers a fast solution for Windows 11/10 users to easily backup, reset and restore the Network Data Usage files when it is required. So not only does this download let you reset or clear Data Usage, but it will also let you first back them up and restore them if you need to. Click here to download it from our servers.

3] Use Reset Data Usage Tool

The third option is to use freeware. If you don’t want to disable the network adapters or boot into Safe Mode every time, Reset Data Usage is a nice and simple tool that can help.

It is a lightweight tool that comes in a zip file and takes less than a minute to land on your PC. Download the tool, extract the files, and run executable.

Click on Data Usage and it will take you to the Settings page directly where you can see the data usage for all your apps. Click on Reset Usage and the tool clears all your data usage files and resets it to zero. It is available for download here.

Once you have reset the Data Usage, you will be able to see the results in the Data usage settings page.

You can thus reset or clear Network Data Usage Limit in Windows 11/10 PC.

Data usage high? This post will show you how to limit and monitor Data Usage.

How to reset internet data on PC?

To reset internet data on a PC, navigate to Settings, select Network & Internet, and then go to the Status tab. Click on ‘Network reset’ at the bottom of the page. This process will reinstall network adapters and return networking components to their default settings, helping resolve connectivity issues.

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

SRUM, or System Resource Utilization Monitor, is a feature of modern Windows systems (Win8+), intended to track the application usage, network utilization and system energy state.

SRUM, as with most operating system features, wasn’t designed for the forensicator, but that doesn’t mean we can’t use it to support our investigations.

Let’s look at some things you can gain, and some you can’t, from investigating the System Resource Utilization Monitor.

Accessing SRUDB.dat

The SRUM database is stored in C:\Windows\System32\sru\SRUDB.dat. The file is an ESE (Extensible Storage Engine) database. This is the same kind of database utilized by Active Directory, Microsoft Exchange, Microsoft Search, and others. Information is written to the database hourly and at system shutdown.

In the interim, information not yet captured to the database is stored in the registry. This is important as depending on the timeframe of your response and the time between the activity and the acquisition, the information you’re looking for may not have been written to the database yet.

Figure 1: View Related Artifacts on the SRUDB.dat to see all the SRUM artifacts available.

Figure 1: View Related Artifacts on the SRUDB.dat to see all the SRUM artifacts available.

If you’re doing dead disk forensics or working from an image, you can grab the database from its path at C:\Windows\System32\sru\SRUDB.dat. On a live system this file will be locked and can’t be accessed with normal copy & paste routines.

Installing a forensic imager on the host will enable you to make an export of the SRUDB.dat, as well as grabbing registry hive files. However, running a software installation on a live host under investigation is not preferable. The more changes you make, the more volatile data you could be overwriting. This imager method could be useful for a lab environment where you’ve got tools pre-loaded, but it’s very unlikely you’ll walk up to a host for examination in the field like this.

Another utility for live extraction is SRUM-DUMP from Mark Baggett: https://github.com/MarkBaggett/srum-dump. For live acquisitions (admin rights required), SRUM-DUMP utilizes f-get.exe (included with the download) to make a copy of the live file. SRUM-Dump uses an Excel template to parse collected database into a spreadsheet. If you only want to grab the SRUDB.dat and skip the Excel manipulation, you can run just the f-get command (see Mark’s ReadMe for syntax). Personally, I prefer having the Excel results as well for validation of my primary forensic tools.

System Resource Utilization Monitor Artifact Categories

System Resource Utilization Monitor artifacts are divided into categories:

SRUM Application Resource Usage SRUM Network Connections
SRUM Energy Usage SRUM Network Usage
SRUM Energy Usage (Long Term) SRUM Push Notification Data
Figure 2: Axiom Cyber showing SRUM Artifacts

Figure 2: Axiom Cyber showing SRUM Artifacts

SRUM Application Resource Usage

Of the different artifact categories, SRUM Application Resource Usage is one of the most useful, and usually the noisiest, of the categories. That’s because it’s tracking every exe that’s executed on the system whether it still exists on disk or not. If it executed, it should be logged.

SRUM Application Resource Usage stores the full path that the application executed from. This can help us filter down to un-expected application paths. Using the Advanced filters in AXIOM or AXIOM Cyber, exclude known paths and stack the exclusions to narrow the dataset. That makes it easier to identify unusual paths and the binaries running from them.

In the example below you can see activity from the WannaCry executing from ~\ProgramData\qchpkpkovx300\, certainly not a typical path name.

Figure 3: Binary identified having run from suspicious directory

Figure 3: Binary identified having run from suspicious directory

We can utilize this path information to see what other binaries have executed from this location, giving us further indicators to pivot from.

Figure 4: Other binaries run from the same suspicious path.

Figure 4: Other binaries run from the same suspicious path.

SRUM records the SID (Security Identifier) that executed the binary. This is another pivot point for the investigation: looking at what other activities occurred under that ID. When the binary executes using a System account it may be harder to sort the malicious activity from the benign. However, if the attacker created a user for their activities, executed their actions, and then deleted the user account, you will have a reasonably clear trail to follow revealing what applications were executed by the now deleted account.

SRUM Energy Usage (and Extended Usage)

SRUM Energy Usage captures statistics related to the charge and power state of the device. While this could be useful for corroborating how long a system was active and when it was plugged in, it’s a little more of a stretch to find immediate applicability to forensics unless the power cord is your murder weapon.

SRUM Network Connections

SRUM Network Connections can be utilized to identify when the asset was connected to a network. It will capture the connection start time and the interface type (ethernet or wireless), and the duration of the connection. This information could be coalesced with GPS data to support evidence of network activity at a time and place.

SRUM Network Usage

This is the second most useful category after Application usage. The SRUM Network Usage tracks wired and wireless connections and the network SSID (when wireless) the asset was connected to. It also captures bandwidth usage in bytes sent and received by application. As with other SRUM categories, these results include the full path of the application and the SID that executed it. If you suspect a data exfiltration event, you can utilize these artifacts to see what applications are responsible for the most data on the wire—either sent or received—and correlate to the user behind them.

Figure 5: Network Usage - bytes sent and received by .exe

Figure 5: Network Usage – bytes sent and received by .exe

As seen in the example, there are multiple entries for the same exe. Think of these like TCP sessions with the same destination. In this case, it’s different application ‘sessions.’ If you need to quantify to total bytes sent or received for an application, highlight your included results and export to CSV. A quick pivot table in Excel will give you the cumulative results (in bytes) by application.

A quick pivot table in Excel showing the cumulative results (in bytes) by application.

SRUM Push Notification Data

SRUM Push Notification Data reports on notification events displayed to the user. I’ve yet to find a practical forensic use for this data, but as we said in the beginning, SRUM wasn’t created for the forensicators.

A Lot to be Learned With SRUM

The SRUM database presents a plethora of artifacts and indicators for the analyst to use while pivoting through their investigation.

We can ascertain what identity was responsible for the execution of a process, the volume of data transmitted or exfiltrated, and a record of binary execution including files previously deleted from disk. We also have a time window of execution that we can leverage plus or minus an hour depending on database writes.

Whether these artifacts alone seal the deal, or add another positive indicator to our case, there’s a lot to be learned by pointing your lens at SRUM for another set of clues as to what took place and whodunnit.

If you want to learn more about artifacts useful to digital forensic investigators, check out our posts on Prefetch files, MRU (Most Recently Used), MUICache (Multilingual User Interface), LNK files, and Windows Shellbags.

Info, Blue Teaming, 2023

Description :

Today we’re going to see how wen can retrieve a wealth of information about all the activities that occur on your machine.


What is SRUM:

  • The Windows System Resource Usage Monitor (aka SRUM) is designed to track system resource utilization things like CPU cycles,network activity,power consumption.

File Location:

c:\Windows\System32\sru\SRUMDB.dat

How to copy the file in order to parse it:

  • You can grab SRUMDB.dat using FTK Imager

Download FTK Imager

How to parse the SRUMDB.dat file :

  • SRUM Dump extracts information from the System Resource Utilization Management Database and creates a Excel spreadsheet.

SRUM Dump

How to use srum_dump:

srum_dump.exe -i SRUMDB.dat -o outfile.xlsx -t SRUM_TEMPLATE.xlsx -r SOFTWARE

SRUM

  • You can get user name from SID using this command
wmic useraccount get name,sid

more infos about SRUM

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Download minecraft bedrock edition for windows 10 free
  • Что означает понятие объектно ориентированная среда windows
  • Меню восстановления windows 10 при загрузке клавиша
  • Oobesettings ошибка при установке windows 10
  • Активация windows server 2016 без интернета