DFIR - Srum Forensics

SRUM, sistem kaynaklarının kullanımını izlemek ve analiz etmek için kullanılan bir mekanizmadır. Bu veriler, özellikle ağ trafiği ve uygulama kullanımının izlenmesi gibi alanlarda bilgisayar performansının anlaşılmasına yardımcı olmak için kullanılabilir.


Bu özellik Windows sistemlerinde varsayılan olarak etkindir ve sistem başlatıldığında otomatik olarak başlayacak şekilde yapılandırılmıştır.​


Sistem kapatıldıktan sonra veriler Srudat.db dosyasına yazılır. ​


Görev yöneticisinde Uygulama geçmişi sekmesi üzerinden kullanıcıya sunulur ancak bu bilgiler anlık olarak değişir.

SRUM hakkında bilgi edindiğimize göre bunu parse etme aşamasına geçebiliriz ilk olarak FTK Imager den aldığımız imajı FTK Imager da açıyoruz şekilde gösterilen yere tıklayıp imajımızı açıyoruz.

imajımızı açtıktan sonra sanalmakineyedek.001 > Basic Data Partition > Root > Windows > System32 > sru > SRUDB.dat yoluna gidiyoruz.

Hedef yolumuza gittikten sonra SRUDB.dat dosyasını export ediyoruz.

SRUDB.dat dosyası başarıyla export edilmiştir.

SRUDB.dat dosyasını analiz etmek için SrumECmd toolunu kullanacağız.

Parse etme işlemimize geçelim. İlk olarak cmd’yi yöneteci olarak çalıştırmamız ve ardından SrumECmd toollumuzun içine gitmemiz gerekecektir bunun için aşağıda işaretlenen komutu yazmamız gerekecektir bu komutu kendinize göre ayarlayabilirsiniz.

SrumECmd toollumuzu çalıştırıp -f parametresi ile parse edeceğimiz dosyanın yolunu ve –csv parametresi ile csv çıktısını alıp bunu nereye kayıt edeceğimizin yolunu yazmamız lazım.

Görüldüğü üzere parse etme işlemimiz tamamlandı ve csv çıktısı masaüstündeki output klasörünün içine kaydedildi.

Burdan hangi çıktıyı incelemek istiyorsanız onu inceleyebilirsiniz.

şuan da Timeline Explorer ile AppResourceUserInfo_output olanı açacağız.

Timeline Explorer i yönetici olarak çalıştırıp ilgili çıktıyı açıyoruz.

Çıktımızı inceleyebiliriz (Timestamp, sid type, Background bytes read, Background cycle time)

SRUM Forensics Anlatım Videosu : https://www.youtube.com/watch?v=0f2lG0XeyW8