A atividade pericial em Computação Forense corporativa confronta-se rotineiramente com o desafio de estabelecer a materialidade da execução de processos em cenários onde houve mitigação activa de evidências por meio de técnicas antiforenses. A exclusão de artefatos tradicionais de execução, como as chaves do Registry (BAM/DAM), Prefetch e Amcache, exige que o perito computacional explore repositórios de diagnóstico ressentidos em nível de sistema operacional. Nesse horizonte analítico, o System Resource Usage Monitor (SRUM) consolida-se como um dos artefatos de maior robustez para a reconstituição histórica de tráfego de rede e consumo de recursos de hardware.
Operacionalizado a partir do Windows 8, o subsistema SRUM monitora de forma ininterrupta as métricas de performance e uso de energia de aplicações em segundo plano e processos interativos de usuários. Tecnicamente, os dados coletados pelo serviço são descarregados periodicamente (a cada 60 minutos ou durante o procedimento de shutdown) em um banco de dados estruturado no formato Extensible Storage Engine (ESE), localizado no caminho absoluto %SystemRoot%\System32\sru\SRUDB.dat. A análise pericial deste arquivo é executada por meio de ferramentas especializadas de parsing, capazes de correlacionar as tabelas internas do banco (como a Network Data Usage Monitor e Application Resource Usage Monitor) aos Identificadores de Segurança (SIDs) dos usuários do domínio ou locais.
A relevância probatória do SRUM reside na granularidade e na resiliência de seus metadados. Mesmo diante da remoção completa de um arquivo executável ou ferramenta de exfiltração de dados da árvore de diretórios, o banco SRUDB.datpreserva o ID do aplicativo, o total de bytes trafegados na interface de rede (distinguindo fluxos de upload e download) e o tempo exato de computação em nível de CPU consumido pelo processo nos últimos 30 a 60 dias. A extração metodológica e a validação hash deste repositório conferem ao laudo pericial o rigor científico e o nexo de causalidade técnica indispensáveis para subsidiar litígios judiciais e auditorias de conformidade regulatória.
