SRUM in der IT-Forensik – das unterschätzte Gedächtnis von Windows - All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit

Wer Windows-Systeme forensisch untersucht, greift zuerst zu den vertrauten Artefakten: Prefetch, AmCache, ShimCache, Event Logs. Sie sind die Klassiker, die nahezu jeder Forensiker aus dem Bereich der IT-Security kennt. Prefetch-Dateien verraten, welche Programme zuletzt gestartet wurden; AmCache liefert Details zu installierten Anwendungen; ShimCache zeichnet Ausführungen von Programmen auf, auch wenn zugehörige Dateien längst gelöscht wurden. Doch all diese Quellen sind Momentaufnahmen – sie sagen, dass etwas passiert ist, selten aber wie oft, wie lange und in welchem Kontext.

Genau hier setzt SRUM (System Resource Usage Monitor) an. Es protokolliert kontinuierlich, welche Prozesse wie lange aktiv waren, wie viel CPU-Zeit sie verbrauchten, welche Netzwerkmengen sie übertrugen und wie stark sie den Energieverbrauch beeinflussten. SRUM hinterlässt so ein detailliertes, fast lebendiges Aktivitätsprofil – gespeichert in der Datei SRUDB.dat unter:
C:\Windows\System32\sru\SRUDB.dat

Technisch handelt es sich um eine ESE-Datenbank (Extensible Storage Engine), ein robustes, transaktionales Datenbanksystem, das auch für Exchange-Server oder Teile der Registry verwendet wird.

Die Vorteile für IT-Forensiker sind:

• Persistenz: Die Daten bleiben über Neustarts erhalten.
• 30-Tage-Retention: SRUM speichert standardmäßig rund 30 Tage detaillierte Einträge. Ältere Daten werden aggregiert – zusammengefasste Nutzungsdaten über längere Zeiträume bleiben erhalten und erlauben so auch Wochen später noch Rückschlüsse auf Nutzungsmuster.
• Transaktionslogs: Dank ESE-Transaktionen lässt sich nachvollziehen, wann Tabellenbereiche zuletzt verändert wurden – ein indirekter Hinweis auf Manipulationsversuche.
• Fortlaufende Messungen: SRUM erfasst systematisch CPU-, Energie- und Netzwerkaktivität – auch von Hintergrundprozessen oder kurzzeitig laufenden Tasks.

Dieses kontinuierliche, strukturierte Datenprofil ist für die IT-Forensik besonders wertvoll, weil es die Lücken zwischen punktuellen Artefakten füllt. Während Prefetch oder AmCache den Moment des Geschehens festhalten, dokumentiert SRUM das Verhalten im Verlauf – also die Dynamik eines Systems. Damit wird aus einer Reihe statischer Beweise ein lebendiges Nutzungsbild, das zeigt, was wirklich über Zeit hinweg passiert ist.

Warum Ermittler SRUM übersehen haben – Eine Chance für die IT-Security

SRUM existiert seit Windows 8 – und wurde jahrelang kaum beachtet. Das liegt nicht an mangelnder Relevanz, sondern an menschlichen Routinen:
• Unsichtbar und unspektakulär: Zahlen über Energieverbrauch oder Netzwerkvolumen wirken auf den ersten Blick harmlos. Doch genau diese Werte lassen sich extrapolieren: Ein Prozess, der regelmäßig nachts CPU-Zeit verbraucht und Daten sendet, kann ein starkes Indiz für automatisierte Exfiltration oder Malware-Kommunikation sein. SRUM liefert damit Kontextdaten, die andere Artefakte nicht erfassen.
• Langsame Adaption: Forensische Workflows ändern sich selten schnell. Viele Tools und Analyseskripte stammen aus einer Zeit, in der Windows 7 noch Standard war. Bis sich neue Artefakte wie SRUM in Toolsets und Schulungen etablierten, dauerte es Jahre.
• Fokus auf Credentials: In der Praxis konzentrieren sich Forensiker häufig auf Passwörter, Tokens oder Dateiänderungen – harte „Beweise“. SRUM liefert keine Credentials, aber es zeigt, wann und wie lange Prozesse aktiv waren. Und genau diese Aktivitätsmuster helfen, den Weg zu den sensiblen Daten überhaupt erst zu rekonstruieren.

Gerade deshalb verdient SRUM mehr Beachtung: Es ist kein Ersatz, sondern das fehlende Puzzleteil zwischen den sichtbaren Beweisen.

Praktischer Mehrwert von SRUM

SRUM-Daten lassen sich direkt auswerten oder mit anderen Artefakten korrelieren. So entsteht ein sehr genaues Aktivitätsbild:

Hintergrundprozesse erkennen: Malware oder automatisierte Skripte, die im Hintergrund Daten sammeln, hinterlassen bei Prefetch oder im AmCache kaum Spuren. SRUM misst jedoch CPU- und Energieverbrauch. Verdächtige Prozesse, die immer wieder kurz aufblitzen, können so identifiziert werden.
Netzwerkaktivität auf Prozessebene: Wenn Daten exfiltriert werden, zeigt SRUM, welche Prozesse wann wie viel Netzwerkverkehr erzeugten. Kombiniert man diese Daten mit Firewall- oder Proxy-Logs, lässt sich der Ursprung einer Übertragung oft eindeutig zuordnen – auch wenn der Traffic verschlüsselt war.
Timeline-Rekonstruktion: SRUM-Einträge lassen sich chronologisch aufbereiten. Zusammen mit Prefetch, AmCache und ShimCache entsteht eine präzise Zeitleiste, die Startzeiten, Dauer und Intensität von Aktivitäten zeigt – ein unschätzbares Werkzeug für Incident Response.
Versteckte Aktivitäten: Prozesse, die selten gestartet oder absichtlich getarnt sind, verraten sich in SRUM durch ihre Energie- und CPU-Muster. Auch verschleierte Tools oder Batch-Aufrufe, die nur Sekunden laufen, hinterlassen dort messbare Spuren.

Ein Beispiel aus der Praxis

„Wir hatten den Fall eines kompromittierten Notebooks“, erzählt Oleg Afonin, Analyst bei ElcomSoft. „Alle klassischen Artefakte waren unauffällig – keine verdächtigen Prefetch-Dateien, keine auffälligen Registry-Einträge. Erst SRUM zeigte, dass ein Prozess namens runtimebroker.exe jede Nacht um 02:15 Uhr aktiv wurde, CPU-Last erzeugte und jeweils rund 3 MB Daten versendete. Prefetch und AmCache lieferten dazu keine Hinweise, der Prozess war legitim signiert. Letztlich stellte sich heraus, dass es sich um ein manipuliertes Binary handelte, das Screenshots sammelte und an einen externen Server übermittelte. Ohne SRUM wäre nichts auffällig gewesen.“

SRUM offenbart damit nicht nur, dass etwas passiert ist, sondern wie regelmäßig, wie intensiv und in welchem Kontext – Informationen, die in klassischen Artefakten der IT-Security oft fehlen.

Vom Rohdatenmeer zum forensischen Wert

SRUM-Daten sind allerdings keine leicht konsumierbaren Logfiles. Sie müssen aufbereitet, kontextualisiert und interpretiert werden. Rohdaten ohne Korrelation sind hier wenig wert. Erst durch Visualisierung – etwa in Form von Aktivitätsgrafen oder zeitlichen Mustern – wird sichtbar, wann das System wirklich ‚lebte‘. Ein Prozess, der täglich zur selben Uhrzeit aktiv ist, ist kein Zufall. Und eine Stunde GPU-Aktivität auf einem System ohne sichtbare Nutzung kann ein entscheidender Hinweis auf Kryptomining oder Remote-Execution sein.
Der Mehrwert von professioneller Forensik-Software liegt hier nicht darin, überhaupt erst an die Daten zu gelangen, sondern darin, diese Daten nutzbar zu machen.

Fazit

SRUM ist kein spektakuläres Artefakt, aber eines der aussagekräftigsten. Während andere Beweise Spuren vergangener Aktionen zeigen, zeichnet SRUM den Pulsschlag des Systems auf. Wer seine Daten zu lesen versteht, kann sehen, welche Prozesse das System wirklich am Leben hielten – auch wenn Logs gelöscht und Prefetch-Dateien manipuliert wurden.
Die Zukunft der IT-Forensik liegt nicht allein in der Suche nach Passwörtern oder Dateien, sondern im Verstehen von Aktivität. SRUM liefert genau das: den Kontext, der aus Daten Beweise macht.

Autor: Jürgen Haekel, IT-Fachjournalist aus München

Entdecke mehr