Odber
Windows SRUM - čo to je

Windows SRUM: Tajná databáza, čo vie o vašom PC všetko

ToSho
Windows
Nenechaj v tom známych samých – zdieľaj
Začiatočník

Keď sa povie Windows logovanie, väčšina ľudí si predstaví Event Viewer, Prefetch alebo klasické systémové logy. Lenže potom je tu ešte jeden tichý hráč, ktorý sa tvári nenápadne, no v skutočnosti si pamätá viac, než by si mnohí želali. Volá sa Windows SRUM a ak robíš diagnostiku, incident response alebo forenznú analýzu Windows, je to artefakt, ktorý by si nemal ignorovať.

Nie preto, že je „mystický“. Práve naopak. Je zaujímavý preto, že je brutálne praktický. Vie prezradiť, ktoré aplikácie bežali, koľko zdrojov spotrebovali, koľko dát poslali do siete a v akých časových oknách sa to dialo. A presne tu sa z nevinne znejúcej funkcie systému stáva tajná databáza, ktorá vie pomôcť adminovi, analytikovi aj forenzníkovi.

Čo je Windows SRUM

Windows SRUM znamená System Resource Usage Monitor. Ide o mechanizmus, ktorý Microsoft zaviedol od Windows 8 a ktorý v systéme zhromažďuje štatistiky o využívaní zdrojov. Dôležité je jedno spresnenie: SRUM nie je obyčajný textový log a nie je to ani klasická SQLite databáza, ako sa občas nesprávne uvádza. V skutočnosti ide o databázu typu ESE/ESENT uloženú v súbore SRUDB.dat.

To znie technicky, ale preložme si to do ľudskej reči. Windows SRUM neukladá každý klik používateľa ako klebetná suseda za záclonou. Namiesto toho si skladá agregovaný obraz o tom, čo sa v systéme dialo: aké procesy bežali, akú mali spotrebu CPU, aké mali I/O operácie, koľko dát poslali a prijali a s akým používateľským kontextom súviseli.

Práve preto je to z pohľadu vyšetrenia incidentu silná digitálna forenzná stopa. Nie je to packet capture, nie je to úplný audit všetkého, ale je to veľmi užitočný súhrn správania systému v čase.

Prečo je vo Windows

Microsoft SRUM nevytvoril ako darček pre forenzných analytikov, hoci tí z neho dnes žijú skoro emocionálne. Jeho pôvodný účel je praktický: systém chce rozumieť tomu, ako aplikácie využívajú zdroje, aby vedel lepšie pracovať s energiou, výkonom, sieťovou aktivitou a historickým prehľadom používania aplikácií.

Časť týchto údajov sa premieta aj do používateľsky viditeľných funkcií, napríklad do histórie aplikácií v Správcovi úloh. Lenže to, čo vidí bežný používateľ, je iba vrchná vrstva ľadovca. Pod ňou je tajná databáza s oveľa zaujímavejším obsahom.

A áno, SRUM súvisí aj s diagnostikou a vybranými telemetrickými dátami, ale tvrdiť, že ide „iba o telemetry pre Microsoft“, je zjednodušenie. V praxi je to hlavne lokálny systémový zdroj dát o správaní aplikácií a siete.

Kde ho nájdeš

Hlavný súbor sa nachádza tu:

C:\Windows\System32\sru\SRUDB.dat

Toto je jadro artefaktu. Ak však chceš rozumieť niektorým záznamom lepšie, často potrebuješ aj registry hive SOFTWARE, pretože práve tam nájdeš mapovanie niektorých SRUM providerov a doplňujúci kontext.

Na live systéme je databáza spravidla zamknutá. Preto je najbezpečnejší prístup buď:

  • z offline obrazu disku,
  • cez forenzný zber,
  • alebo pomocou nástrojov, ktoré si vedia s uzamknutým ESE súborom poradiť.

Ak ideš cez príkazový riadok, používa sa napríklad esentutl na kópiu databázy. Praktické je to najmä vtedy, keď nechceš hrabať priamo do originálu. Meniť práva na priečinok a preberať vlastníctvo cez takeown je síce technicky možné, ale na produkčnom alebo vyšetrovanom systéme to nie je elegantný nápad. Inak povedané: keď už máš na mieste činu rukavice, nezačni tam boxovať.

Ako ho prezerať

Na prehliadanie Windows SRUM existuje viac ciest.

Najčistejšia pre začiatočníka býva:

  • ESEDatabaseView od NirSoftu – vhodný na surový pohľad do ESE databázy,
  • SrumECmd alebo SRUM-DUMP – výborné na parsovanie do čitateľnejšej formy,
  • forenzné platformy ako Autopsy, Magnet či iné DFIR nástroje,
  • powercfg /srumutil – ale pozor, ten neexportuje celý SRUM, iba energeticky orientovanú časť dát.

Toto je dôležitý detail. Mnohí si myslia, že powercfg /srumutil je magické okno do celej databázy. Nie je. Je to užitočné, ale iba pre konkrétny výsek dát.

Pri analýze ťa budú zaujímať najmä tabuľky mapované cez GUID providery, napríklad záznamy súvisiace s Application Resource Usage, App Timeline, Network Data Usage alebo Network Connectivity Usage. Práve tam sa z obyčajného systému stáva veľmi zaujímavá digitálna forenzná stopa.

Čo všetko vie prezradiť

Tu sa dostávame k tomu, prečo je Windows SRUM taký cenný.

Vie ti pomôcť zistiť:

  • ktoré aplikácie alebo procesy bežali,
  • pod akým používateľom sa aktivita diala,
  • aký bol približný čas záznamu,
  • koľko CPU času a I/O operácií proces spotreboval,
  • koľko bajtov aplikácia odoslala alebo prijala,
  • s akou sieťou alebo profilom mohla komunikácia súvisieť.

Dôležité je slovo približný. SRUM typicky zapisuje údaje v hodinových intervaloch, takže to nie je stopka na úrovni sekúnd. Nie je to „o 14:03:17 spustil malware a kýchol“. Je to skôr „v tomto hodinovom okne táto aplikácia žila podozrivo aktívnym životom“.

A presne to stačí v situácii, keď skladáš obraz incidentu z viacerých zdrojov: Windows Prefetch súbory, Event Logy, Registry, DNS cache, firewall logy, EDR a Windows SRUM.. Samostatne ti nepovie všetko. V kombinácii vie povedať veľa.

Mini ukážka z praxe

Predstav si, že na stanici riešiš podozrivý súbor spustený z dočasného priečinka, napríklad:

C:\Users\User\AppData\Local\Temp\invoice.exe

Používateľ tvrdí, že „nič nespúšťal“, klasika pondelok o 8:12. V SRUM však nájdeš, že daná aplikácia mala v konkrétnom hodinovom okne aktivitu, spotrebovala CPU čas, zapisovala na disk a zároveň odoslala dáta cez sieť.

Nemáš ešte celý príbeh. Ale už máš niečo, čo sa nedá odbiť vetou „to sa spustilo samo“. V tej chvíli je Windows SRUM presne ten tichý svedok, ktorý nepovie drámu, ale dodá fakty. A vo forenzike sú fakty krajšie než dojmy.

Zaujímavosti, ktoré stoja za pozornosť

1. SRUM neukladá obsah komunikácie

Nečakaj z neho plné pakety ani obsah prenosu. Ukladá metadáta, nie samotný obsah. To však vôbec neznamená, že je slabý. Naopak. Pri odhaľovaní exfiltrácie často stačí vedieť, že konkrétny proces posielal dáta von, v akom objeme a v akom časovom okne.

2. Je to artefakt s obmedzenou históriou

SRUM nie je kronika od vzniku vesmíru. Typicky drží približne 30 až 60 dní historických údajov podľa typu dát. Preto platí jednoduché pravidlo: keď máš incident, nečakaj týždeň. Zbieraj artefakty čo najskôr.

3. Vie byť užitočný aj pri „neviditeľných“ aplikáciách

Aj proces bez výrazného používateľského okna môže zanechať v SRUM stopy cez spotrebu zdrojov alebo sieťovú aktivitu. To je jeden z dôvodov, prečo sa Windows SRUM oplatí kontrolovať aj pri podozrení na tiché utility, skripty alebo downloader správanie.

Hardening a praktické odporúčania

Ak chceš mať SRUM na svojej strane a nie proti sebe, drž sa týchto zásad:

  • Nezmazávaj ho preventívne. Windows si databázu znovu vytvorí a ty prídeš o užitočný historický kontext.
  • Nespoliehaj sa iba na SRUM. Kombinuj ho s Prefetch, Event Logmi, Sysmonom, firewallom a EDR.
  • Nasadzuj AppLocker alebo WDAC. Ak obmedzíš spúšťanie z Temp a user-writeable priečinkov, SRUM bude menej často rozprávať horory.
  • Predĺž si viditeľnosť inde. Keďže SRUM má limitovanú históriu, udržuj si centrálne logovanie a dlhšiu retenciu bezpečnostných udalostí.
  • Pri incidente zbieraj artefakty skoro. Táto databáza je výborná, ale nie večná.

Rýchly checklist pre admina alebo analytika

  • Over, či existuje C:\Windows\System32\sru\SRUDB.dat
  • Získaj kópiu databázy bez práce priamo v origináli
  • Ak treba, priber aj registry hive SOFTWARE
  • Pozri Application Resource Usage a App Timeline
  • Skontroluj Network Data Usage a Network Connectivity Usage
  • Hľadaj procesy z Temp, Downloads a netypických ciest
  • Porovnaj časové okná s Prefetch, Sysmonom a Event Logmi
  • Zameraj sa na neobvyklé objemy odoslaných dát
  • Rátaj s tým, že timestampy bývajú agregované po hodinách

Záver

Windows SRUM je jeden z tých artefaktov, ktoré väčšina používateľov nepozná, no pri vyšetrovaní incidentu dokáže zachrániť deň. Nie je to všemocný zdroj pravdy. Nie je to filmový „black box“, ktorý ti vypluje celé dianie po sekundách. Ale ako tajná databáza systémového správania je mimoriadne silný.

Ak spravuješ Windows stanice, riešiš výkonové anomálie alebo skladáš časovú os podozrivej aktivity, Windows SRUM si zaslúži miesto v tvojej výbave. Lebo niekedy ti najviac nepovie ten, kto kričí v logoch. Niekedy ti najviac povie tichý databázový introvert schovaný v System32\sru.

Zdroje :

elcomsoft , nirsoft , forensafe

Odporúčané články:

Prihlásiť sa na odber
Upozorniť na
0 komentárov
Najstaršie
Najnovšie Najviac hlasovalo
Inline Feedbacks
Zobraziť všetky komentáre
Accessibility by WAH