Srum – Ðika

Srum

System Resource Usage Monitor (SRUM) diperkenalkan sejak Windows 8. SRUM mencatat riwayat penggunaan sumber daya sistem selama 30 hingga 60 hari , mencakup penggunaan aplikasi terperinci, konsumsi energi, konektivitas jaringan, dan notifikasi push. Data ini juga merupakan sumber informasi bagi tab App History di Task Manager.

Note

Tips Akses: Karena file ini selalu digunakan oleh sistem, mengambilnya secara langsung mungkin akan menghasilkan status “dirty”. Gunakan tool ekstraksi seperti FTK Imager atau KAPE untuk mengambilnya dari jalur: C:\Windows\System32\SRU\SRUDB.dat.

Field	Value
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat`
Format	Extensible Storage Engine (ESE) / JetBlue Database
Registry Reference	`SOFTWARE\Microsoft\Windows NT\Current Version\SRUM\Extensions`
Data Retention	30 - 60 Hari
Forensic Value	mencatat aktivitas eksekusi bahkan jika file sumber telah dihapus.
Example
Example Registry Refrence

Digital Forensics Value

SRUM melampaui sekadar bukti eksekusi program. Dengan artefak ini, investigator dapat:

Analisis Aktivitas: Mengetahui berapa lama aplikasi menjadi jendela aktif (foreground) dibandingkan saat berjalan di latar belakang (background).
Eksfiltrasi Data: Mengidentifikasi aplikasi mana yang mengirimkan data keluar melalui statistik Bytes Sent/Received.
Riwayat Koneksi: Mendapatkan SSID dan nama jaringan nirkabel yang pernah terhubung dengan bantuan hive Registry.

SRUM Providers (Extension GUID)

SRUM menyimpan data dalam bentuk database ESE (Extensible Storage Engine) yang terdiri dari beberapa provider atau extension.
Setiap provider direpresentasikan oleh GUID yang terdaftar pada Registry dan masing-masing bertanggung jawab mencatat jenis aktivitas sistem tertentu.

File Location

SRUM Database
C:\Windows\System32\SRU\SRUDB.dat
Registry Reference
SOFTWARE\Microsoft\Windows NT\Current Version\SRUM\Extensions

Provider berikut merupakan komponen utama yang sering digunakan dalam analisis digital forensik:

Extension GUID	Provider	Deskripsi
`{973F5D5C-1D90-4944-BE8E-24B94231A174}`	Network Data Usage Monitor	Mencatat penggunaan jaringan kabel dan nirkabel, termasuk SSID jaringan Wi-Fi yang pernah terhubung. Artefak ini sangat berguna untuk membuktikan aktivitas koneksi jaringan pada waktu tertentu.
`{D10CA2FE-6FCF-4F6D-848E-B2E99266FA86}`	Push Notification Provider	Mencatat aktivitas notifikasi yang ditampilkan kepada pengguna. Secara praktis, provider ini jarang memiliki nilai forensik yang signifikan.
`{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89}`	Application Resource Usage Provider	Mencatat setiap file executable (.exe) yang dijalankan di sistem, termasuk aplikasi yang sudah dihapus. Jika aplikasi pernah dieksekusi, maka jejaknya seharusnya tercatat di sini.
`{DD6636C4-8929-4683-974E-22C046A43763}`	Network Connectivity Usage Monitor	Mencatat waktu mulai koneksi, jenis antarmuka jaringan (Ethernet atau Wireless), serta durasi koneksi. Data ini dapat dikorelasikan dengan artefak lokasi untuk mendukung bukti aktivitas jaringan pada waktu dan tempat tertentu.
`{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}`	Energy Usage Provider	Mencatat statistik penggunaan daya dan status baterai/perangkat, berguna dalam analisis aktivitas perangkat mobile atau laptop.

Note

Setiap provider memiliki tabel tersendiri di dalam SRUDB.dat.
Tool seperti SrumECmd akan mengonversi tabel-tabel ini menjadi file CSV berdasarkan masing-masing provider.

Prosedur Ekstraksi & Analisis

1. Ekstraksi dengan FTK Imager

Untuk hasil analisis maksimal, ambil folder SRU secara utuh beserta hive Registry pendukung:

Buka FTK Imager > Add Evidence Item > Physical Drive.
Ekspor folder: C:\Windows\System32\SRU\ (Berisi SRUDB.dat dan log transaksi).

Ekspor hive Registry: C:\Windows\System32\config\SOFTWARE.

Tip

Penting: Mengambil hive SOFTWARE memungkinkan tool parser untuk menyelesaikan (resolve) nama profil jaringan dan SSID.

2. Parsing Menggunakan SrumECmd

Gunakan tool dari Eric Zimmerman untuk mengubah database ESE menjadi file CSV yang mudah dibaca:

# Contoh perintah untuk mem-parsing direktori hasil ekstraksi
SrumECmd.exe -d "C:\Users\USER\Desktop\sru" --csv "C:\Users\USER\Desktop\Output"

Note

Tool ini secara otomatis akan mencari SRUDB.dat dan hive SOFTWARE di dalam direktori tersebut.

Artefak Utama dalam SRUM

App Resource Use Info (Eksekusi & Sumber Daya)

Tabel ini adalah inti dari SRUM untuk melacak perilaku aplikasi. Artefak ini mencatat statistik penggunaan CPU, disk I/O, dan durasi interaksi pengguna yang dibagi menjadi aktivitas Foreground (aktif) dan Background (latar belakang).

Field	Value / Description
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat (Table: AppResourceUseInfo)`
Provider	Application Resource Usage Provider (`{D10CA2FE-6FCF-4F6D-848E-B2E99266FA89})`
Exe Info / AppId	Menunjukkan path lengkap dari file executable yang dijalankan (contoh: `\Device\HarddiskVolume4...\ffmpeg.exe`).
User Name / SID	Identitas akun pengguna yang bertanggung jawab atas eksekusi aplikasi tersebut.
FaceTime	Durasi total (dalam milidetik) aplikasi berada di jendela aktif (interaksi langsung user).
Data I/O	Mencatat ForegroundBytesRead/Written (saat aktif) dan BackgroundBytesRead/Written (saat di latar belakang).
Forensic Value	Sangat Tinggi; menyediakan bukti durasi penggunaan aplikasi dan volume transfer data yang dilakukan.
Example

Tip

Tips Forensik: Selalu bandingkan UserId di SRUM dengan SID di Registry SOFTWARE untuk memastikan nama profil pengguna yang melakukan aktivitas tersebut.

SRUM Energy Usage (Long Term)

Artefak SRUM Energy Usage (Long Term) mencatat informasi konsumsi daya jangka panjang pada perangkat Windows. Artefak ini berasal dari Energy Usage Provider dan sangat relevan dalam analisis forensik perangkat laptop atau mobile, khususnya untuk mengaitkan aktivitas aplikasi dengan kondisi daya dan siklus baterai.

Field	Value
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat (Table: EnergyUsage or EnergyUsageLongTerm)`
Provider	Energy Usage Provider (`{FEE4E14F-02A9-4550-B5CE-5FA2DA202E37}`)
Purpose	Mencatat statistik konsumsi daya aplikasi dan sistem dalam jangka panjang.
Key Data	Active AC Time – Durasi aplikasi aktif saat terhubung ke daya listrik. Active DC Time – Durasi aplikasi aktif saat menggunakan baterai. Active Discharge Time – Waktu pelepasan daya baterai saat aplikasi aktif. Active Energy – Total konsumsi energi aplikasi. CS AC/DC Time – Aktivitas aplikasi dalam mode Connected Standby. Cycle Count – Jumlah siklus baterai sepanjang masa hidup perangkat. Designed Capacity – Kapasitas baterai awal dari pabrikan. Full Charged Capacity – Kapasitas baterai aktual saat terisi penuh.
Forensic Value	Tinggi; memungkinkan korelasi antara aktivitas aplikasi, waktu kejadian, dan kondisi daya perangkat.
Notes	Artefak ini sangat berguna pada analisis laptop dan perangkat mobile. Dapat dikorelasikan dengan App Resource Use untuk mengetahui aplikasi yang aktif saat baterai digunakan. Nilai Cycle Count dan Full Charged Capacity dapat membantu menilai kondisi baterai secara historis.
Example

Note

Data ini dihasilkan oleh Energy Usage Provider dan akan diekstraksi secara otomatis saat menggunakan SrumECmd.

SRUM Network Connections

Artefak SRUM Network Connections mencatat informasi jaringan yang pernah terhubung dengan perangkat Windows beserta durasi koneksinya. Artefak ini berasal dari Network Connectivity Usage Monitor dan sangat berguna untuk membangun timeline konektivitas jaringan dalam investigasi digital forensik.

Field	Value
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat (Table: NetworkConnectivityUsageMonitor)`
Provider	Network Connectivity Usage Monitor (`{DD6636C4-8929-4683-974E-22C046A43763}`)
Purpose	Mencatat riwayat koneksi jaringan dan durasi koneksi perangkat.
Key Data	ConnectedTime – Durasi perangkat terhubung ke jaringan (dalam detik). ConnectStartTime – Waktu mulai koneksi jaringan. InterfaceType – Jenis antarmuka jaringan (Wireless / Ethernet). ProfileName – Nama profil jaringan (SSID untuk Wi-Fi). InterfaceLuid – Identifier unik antarmuka jaringan.
Forensic Value	Sangat Tinggi; memungkinkan investigator membuktikan waktu, jenis koneksi jaringan, dan durasi aktivitas jaringan.
Notes	Dapat dikorelasikan dengan artefak Network Data Usage untuk mengetahui volume transfer data. InterfaceType `IF_TYPE_IEEE80211` menunjukkan koneksi Wi-Fi, sedangkan `IF_TYPE_ETHERNET_CSMACD` menunjukkan koneksi kabel. Nama SSID dapat di-resolve lebih lengkap dengan bantuan hive Registry `SOFTWARE`.
Example

Note

Artefak ini sangat efektif untuk membangun timeline aktivitas jaringan dan dapat dikorelasikan dengan artefak lokasi, log VPN, atau data browser.

SRUM Network Usage

Artefak SRUM Network Usage mencatat aktivitas penggunaan jaringan oleh aplikasi pada sistem Windows. Artefak ini berasal dari Network Data Usage Monitor dan memungkinkan investigator mengidentifikasi aplikasi apa yang melakukan komunikasi jaringan, serta berapa banyak data yang dikirim dan diterima.

Field	Value
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat (Table: NetworkUsage)`
Provider	Network Data Usage Monitor (`{973F5D5C-1D90-4944-BE8E-24B94231A174}`)
Purpose	Mencatat penggunaan jaringan oleh aplikasi, termasuk volume data yang dikirim dan diterima.
Key Data	ExeInfo – Path lengkap file executable aplikasi. AppId – Identifier unik aplikasi. BytesReceived – Total data yang diterima aplikasi. BytesSent – Total data yang dikirim aplikasi. InterfaceType – Jenis antarmuka jaringan (Wi-Fi atau Ethernet). User SID / User ID – Identitas pengguna yang menjalankan aplikasi.
Forensic Value	Sangat Tinggi; menyediakan bukti kuat aktivitas komunikasi jaringan oleh aplikasi tertentu, termasuk potensi eksfiltrasi data.
Notes	Aplikasi yang sudah dihapus tetap dapat muncul jika pernah melakukan aktivitas jaringan. Entri dengan `S-1-5-18 (LocalSystem)` menunjukkan aktivitas jaringan oleh service sistem. Dapat dikorelasikan dengan artefak Network Connections untuk menentukan konteks waktu koneksi.
Example

Note

Artefak ini sangat efektif untuk mengidentifikasi aplikasi yang melakukan komunikasi jaringan, termasuk service sistem dan aplikasi yang sudah dihapus.

SRUM Push Notification Data

Artefak SRUM Push Notification Data mencatat aktivitas notifikasi push pada sistem Windows. Artefak ini berasal dari Push Notification Provider dan merekam informasi dasar mengenai aplikasi yang memicu notifikasi serta konteks jaringan saat notifikasi tersebut terjadi.

Field	Value
Location / Path	`C:\Windows\System32\SRU\SRUDB.dat (Table: PushNotificationData)`
Provider	Push Notification Provider (`{D10CA2FE-6FCF-4F6D-848E-B2E99266FA86}`)
Purpose	Mencatat aktivitas notifikasi push yang dihasilkan oleh aplikasi Windows.
Key Data	ExeInfo – Path lengkap atau identitas aplikasi yang menghasilkan notifikasi. AppId – Identifier unik aplikasi. NetworkType – Jenis jaringan saat notifikasi dikirim. NotificationType – Jenis notifikasi jaringan. PayloadSize – Ukuran data notifikasi yang dikirim. User SID / User ID – Identitas pengguna terkait.
Forensic Value	Rendah – Menengah; umumnya digunakan sebagai artefak pendukung untuk menguatkan timeline aktivitas aplikasi.
Notes	Artefak ini jarang digunakan sebagai bukti utama. Berguna untuk menguatkan korelasi waktu antara aplikasi dan aktivitas jaringan. Sering muncul pada aplikasi UWP dan aplikasi Microsoft Office.
Example

Note

Artefak ini paling efektif digunakan sebagai pendukung timeline, bukan sebagai bukti tunggal dalam investigasi.

Tools yang Direkomendasikan untuk SRUM

Tool	Deskripsi
SrumECmd	Tool CLI terbaik untuk parsing massal ke CSV.
Timeline Explorer	Viewer terbaik untuk membuka hasil CSV SRUM dalam format tabulasi yang rapi.
FTK Imager	Digunakan untuk ekstraksi file dari sistem yang sedang berjalan (Live System).

Last updated on March 28, 2026

Windows Timeline Event Log