Was ist der beste Jump-List-Parser?

Das hängt vom Workflow ab: JLECmd für die Batch-Ausgabe als CSV/JSON, Jumplist Explorer für interaktive Analyse unter Windows, Jumplist-Browser für die Inspektion roher Streams und ein Parser im Browser für plattformübergreifende Triage ohne Installation.

Gibt es einen Online-Jump-List-Parser?

Ja — diese Seite betreibt einen zu WebAssembly kompilierten Rust-Parser, sodass die Datei lokal im Browser dekodiert und nie auf einen Server hochgeladen wird.

Funktioniert Eric Zimmermans JLECmd unter Linux oder macOS?

JLECmd ist ein Windows-.NET-Tool; unter Linux oder macOS verwenden Sie einen Parser im Browser oder führen JLECmd in einer Windows-VM aus.

Sind diese Jump-List-Parser kostenlos?

Ja, alle vier hier aufgeführten Tools sind kostenlos nutzbar.

Jump-List-Parser-Tools im Vergleich (2026)

Welchen Jump-List-Parser Sie wählen, hängt von drei Fragen ab: Wollen Sie eine CLI, eine GUI oder einen Browser? Können Sie Software auf der Analyse-Workstation installieren? Und ist es akzeptabel, dass das Artefakt diesen Rechner verlässt? Die vier Tools unten decken diese Kombinationen ab.

JLECmd (Eric Zimmerman)

Der De-facto-Standard für die Jump-List-Verarbeitung per Kommandozeile. JLECmd verarbeitet sowohl *.automaticDestinations-ms als auch *.customDestinations-ms, läuft den DestList-Stream durch, dekodiert jedes eingebettete LNK und gibt CSV oder JSON aus. Es ist schnell, skriptfähig und fügt sich sauber in KAPE und andere automatisierte Pipelines ein, was es zur naheliegenden Wahl macht, wenn Sie ein Verzeichnis voller Artefakte von vielen Endpunkten verarbeiten.

Kompromiss: Es ist eine Windows-.NET-Binärdatei ohne GUI. Sie lesen die Ausgabe in einer Tabellenkalkulation oder geben sie an ein anderes Tool weiter — es gibt kein interaktives Durchsuchen der Einträge.

Jumplist Explorer (Eric Zimmerman)

Der GUI-Begleiter zu JLECmd. Laden Sie eine Datei oder einen Ordner und klicken Sie sich durch geparste Einträge, LNK-Felder, Zeitstempel und die DestList-Reihenfolge. Es ist der komfortabelste Weg, auf einer Windows-Analyse-Workstation tiefe, interaktive Analysen durchzuführen, und es teilt sich die Parser-Engine mit JLECmd, sodass die zugrunde liegende Dekodierung konsistent ist.

Kompromiss: erfordert eine Installation und läuft nur unter Windows. Für die Batch-Verarbeitung ungeeignet — das ist JLECmds Aufgabe.

Jumplist-Browser (kacos2000, GitHub)

Ein quelloffener, PowerShell-basierter Viewer, gehostet auf GitHub. Er legt die Rohstrukturen einer Jump List offen — die OLE-Compound-File-Streams, die DestList-Datensätze, die eingebetteten LNK-Felder — auf eine Weise, die nützlich ist, wenn Sie sehen wollen, was tatsächlich in der Datei steht, statt einer normalisierten Sicht darauf. Den Quellcode zu lesen ist außerdem ein guter Weg, das Format zu lernen.

Kompromiss: nur Windows und PowerShell, und die Oberfläche ist näher an einem Forschungswerkzeug als an einer ausgefeilten Analysten-GUI.

Jump List Parser (diese Seite)

Ein zu WebAssembly kompilierter Rust-Parser, der vollständig im Browser läuft. Es gibt nichts zu installieren, er funktioniert unter Windows, macOS und Linux, und die Datei wird lokal dekodiert — sie verlässt den Rechner nie, was für die Beweismittelkette und für den Umgang mit Artefakten, die Sie nicht zu einem Drittanbieterdienst hochladen dürfen, wichtig ist.

Kompromiss: Er ist für Ad-hoc- und Triage-Analysen gebaut, nicht für die unbeaufsichtigte Batch-Verarbeitung großer Verzeichnisse. Für Pipeline-Arbeit ist JLECmd die bessere Wahl.

Wann welches Tool verwenden

Greifen Sie zu JLECmd, wenn Sie viele Jump Lists in CSV oder JSON verarbeiten müssen oder wenn Sie das Parsen in ein KAPE-Modul einbinden. Verwenden Sie Jumplist Explorer, wenn Sie an einer Windows-Analyse-Workstation sitzen und Einträge interaktiv durchklicken möchten. Verwenden Sie den Jump List Parser dieser Seite, wenn Sie an einem Mac oder Linux-Rechner arbeiten, wenn ein Kollege Ihnen gerade eine einzelne Datei geschickt hat oder wenn Richtlinien das Hochladen des Artefakts irgendwohin verbieten. Und greifen Sie zu Jumplist-Browser, wenn Sie an den rohen Streams interessiert sind oder das Format lernen wollen.

Alle vier sind kostenlos. Die richtige Wahl ist die, die zu Ihrem Workflow passt — probieren Sie den Parser im Browser, wenn Sie ohne Installation auskommen wollen.