Windows SRUMデータ解析！srum-dumpでシステムリソース使用状況を可視化する方法

Windows の SRUM（System Resource Usage Monitor）データベースは、過去30日間のアプリケーション実行履歴を知る上で非常に重要な情報源です。事件調査において極めて役立ちます。このデータを解析し、活用するためのツールが srum-dump です。本記事では、srum-dump の使い方や活用方法を紹介します。

SRUM って何？なぜ重要？

SRUMは、Windowsが記録しているシステムリソースの使用状況データです。どのアプリケーションがいつ、どれくらいネットワークやCPUを使ったかなどの情報が含まれています。これは、マルウェア解析やインシデント対応において、侵入経路の特定や影響範囲の把握に役立ちます。

srum-dump の概要：SRUMをExcelで解析

srum-dumpは、WindowsのSRUMデータベース（srudb.dat）からデータを抽出し、見やすいExcel（.xlsx）形式に変換するフォレンジックツールです。SRUMデータは通常、OSによってロックされていますが、srum-dumpを使うことで容易にアクセスし、分析できます。

srum-dump の入手と実行方法

srum-dumpはGitHubのリポジトリで公開されています。実行には、srum_dump2.exe と SRUM_TEMPLATE2.XLSX の2つのファイルが必要です。

• 実行の準備：

  1. srum-dumpのリポジトリ（https://github.com/MarkBaggett/srum-dump）から、srum_dump2.exe と SRUM_TEMPLATE2.XLSX をダウンロードします。
  2. 同じディレクトリに2つのファイルを配置します。
  3. srum_dump2.exe をダブルクリックして実行します。

• 管理者権限での実行：

  • 自身のシステムを解析する場合は、管理者として実行する必要があります。これにより、SRUMデータベースへのアクセスが可能になります。

srum-dump GUI：GUIとコマンドライン、選べる実行方法

SRUMデータの抽出にはGUIとコマンドラインの2つの方法があります。 GUI版は、SRUMファイルとSOFTWAREレジストリハイブのパスを指定することで、簡単にExcelファイルを作成できます。

ライブシステムからの取得：管理者権限で簡単アクセス

管理者権限で実行すると、OSがロックしているSRUMファイル（c:\Windows\system32\sru\srudb.dat）を直接取得できます。 GUI に表示される「AUTO EXTRACT」ボタンをクリックすると、FGETというツールがダウンロードされ、SRUMファイルと関連する SOFTWARE レジストリハイブのコピーが一時ディレクトリに自動的に取得されます。

SRUM_TEMPLATE2.xlsx：テンプレートで表示をカスタマイズ

SRUM_TEMPLATE2.xlsx ファイルは、SRUMデータベース内のフィールドを解釈し、表示形式を定義するためのテンプレートです。このテンプレートを使用することで、フィールドの名称を分かりやすいものに変更したり、特定の形式で値を表示したりできます。

BLANK_TEMPLATE.XLSX：生のデータを確認

BLANK_TEMPLATE.XLSXを使用すると、テンプレートを使用せずに、SRUMデータベースの生のデータをダンプできます。これにより、どのデータが利用可能か、どのように構造化されているかを理解するのに役立ちます。

Windowsでのインストールと依存関係：インストール方法

srum-dumpをソースコードから実行する場合は、Pythonといくつかのライブラリが必要です。特に、libesedb-pythonのインストールはWindows環境では少し複雑です。

1. Visual C++ Build Toolsのインストール：

   • コンパイラとして、Visual StudioのBuild Toolsをインストールします（「C++ Build Tools core features」を含む）。
   • または、log2timelineプロジェクトからプリコンパイルされたライブラリをダウンロードします(https://github.com/log2timeline/l2tbinaries)。libesedb-python-???.msiを探し、インストールします。

2. Pythonのインストール：

   • Python 3.9.6 以降をインストールします。インストール時に、すべてのオプションを選択することをお勧めします。

3. 必要なモジュールのインストール：

   pip install --upgrade pip
   pip install --upgrade setuptools pip
   pip install -r requirements.txt
   

まとめ：srum-dumpでWindowsフォレンジックを強化

srum-dumpは、Windowsシステムのフォレンジック調査において、SRUMデータを効率的に解析するための強力なツールです。この記事を参考に、srum-dumpを活用して、より詳細なシステムリソース使用状況の把握に役立ててください。