Simon Schneider

Aus IT-Forensik Wiki

Bachelor Thesis, Hochschule Wismar, Juni 2022

Autor: Simon Schneider

Titel: Möglichkeiten und Grenzen des Windows System Resource Usage Monitor (SRUM) als forensisches Artefakt unter Windows 11

Seit Windows 8 verfügen die Betriebssysteme von Microsoft über eine neue Technologie, welche das Anwendungsverhalten überwacht und speichert. Diese Daten werden vom SRUM erfasst. In der Bachelorthesis soll untersucht werden, ob Windows SRUM als forensisches Artefakt dienlich ist. Dazu findet ein Versuchsaufbau statt, in dem Nutzeraktionen simuliert werden. Anschließend wird eine forensische Auswertung der Daten durchgeführt, um Möglichkeiten und Grenzen von SRUM zu identifizieren. Die Analyse von SRUM unter Windows 11 ergab, dass es als forensisches Artefakt einen Mehrwert bei der Aufklärung von Vorfällen bringt. Es kann Ergebnisse zur Aufklärung von forensischen W-Fragen liefern, jedoch wurden auch Grenzen bei der Erfassung von Anwendungen ermittelt.

Title: Capabilities and Limitations of the Windows System Resource Usage Monitor (SRUM) as a Forensic Artifact on Windows 11

Abstract Since Windows 8 the operating systems of Microsoft contain a new technology, which monitors and stores the behavior of applications. This kind of data is recorded by the System Resource Usage Monitor (SRUM). This Bachelor's thesis examines whether Windows SRUM is a useful forensic artifact. Thus, a test environment was set up to simulate the user activities. Subsequently, a forensics analysis of the data was carried out to identify the possibilities and limitations of SRUM. The analysis of SRUM running in Windows 11 yielded that SRUM does provide additional value as a forensic artifact in the resolution of incidents. It provides results which lead to the answering of central forensic questions. However, there were also limitations in the detection of some applications.


Download PDF-Dokument