Jump-List-Parser-Tools im Vergleich (2026)
Wählen Sie eines von drei Dingen: eine CLI, eine GUI oder einen Browser. Prüfen Sie dann, ob Sie auf dem Analystencomputer Software installieren können und ob das Artefakt diesen Computer überhaupt verlassen darf. Die vier Tools unten decken die Kombinationen ab, die in der Fallarbeit tatsächlich vorkommen. Alles andere ist ein Wrapper um eines davon.
JLECmd (Eric Zimmerman)
Der de-facto-Standard für die Befehlszeilen-Jump-List-Analyse. Es behandelt sowohl *.automaticDestinations-ms als auch *.customDestinations-ms, durchläuft den DestList-Stream, dekodiert jeden eingebetteten LNK-Stream und gibt CSV oder JSON aus. Schnell, skriptbar und das, was jedes KAPE-Modul letztendlich umhüllt. Das Ausgabeschema ist im Wesentlichen der Industriestandard, Drittanbieter-Tooling zielt auf die Spaltennamen von JLECmd ab, weil das ist, was Review-Pipelines erwarten.
Die zusammen mit ihm gelieferte AppID-Liste ist der andere Grund, JLECmd in Ihrem Werkzeugkasten zu behalten. Sie ist das, was der Community am nächsten zu einer kanonischen AppID-zu-Anwendungs-Karte kommt, und Sie werden bei jeder Triage danach greifen.
Kompromiss: Windows-.NET-Binärdatei, keine GUI. Sie lesen die Ausgabe in einer Tabellenkalkulation oder übergeben sie an ein anderes Tool. Es gibt kein Durchklicken durch Einträge.
JumpListExplorer (Eric Zimmerman)
Das GUI-Pendant zu JLECmd. Laden Sie eine Datei oder einen Ordner, klicken Sie durch geparste Einträge, LNK-Felder, FILETIMEs und die DestList-Reihenfolge. Gleiche Parser-Engine wie JLECmd, sodass die Dekodierung zwischen den beiden konsistent ist. Das ist das richtige Tool, wenn Sie an einer Windows-Analysten-Workstation sitzen und Einträge so lesen wollen, wie Sie E-Mails lesen würden, langsam, mit Rechtsklick-Kontext.
Kompromiss: Nur Windows, erfordert Installation, nicht für Batch-Verarbeitung gebaut. Verwenden Sie dafür JLECmd.
Jumplist-Browser (kacos2000)
Ein quelloffener PowerShell-Viewer, gehostet auf GitHub. Er legt die rohen Strukturen innerhalb einer Jump List offen, die MS-CFB-Streams, die DestList-Datensätze, die eingebetteten MS-SHLLINK-Substreams, auf eine Weise, die ehrlich darüber ist, was tatsächlich in der Datei steht, anstatt eine normalisierte Sicht darauf zu präsentieren. Das PowerShell zu lesen ist auch eine anständige Möglichkeit, das Format zu lernen, wenn Sie kalt einsteigen.
Kompromiss: Nur Windows und PowerShell. Die Oberfläche ist näher an einem Forschungstool als an einer polierten Analysten-GUI. Sie werden kurz darin leben, um eine seltsame Datei zu verstehen, und dann zurück zu JLECmd oder dieser Seite gehen.
Jump List Parser (diese Seite)
Ein zu WebAssembly kompilierter Rust-Parser, der vollständig im Browser läuft. Nichts zu installieren, funktioniert unter Windows, macOS und Linux. Die Datei wird lokal dekodiert, sie verlässt nie die Maschine, was für die Beweismittelkette und für den Umgang mit Artefakten wichtig ist, die Sie nicht zu einem Drittanbieterdienst hochladen können. Die Ausgabe deckt ab, was ein Analyst tatsächlich will: die AppID, jede DestList-Zeile mit Hostname und FILETIME, jeden vollständigen Feldsatz jedes eingebetteten LNK einschließlich der Droid-GUID des TrackerDataBlock.
Kompromiss: Gebaut für Ad-hoc- und Triage-Parsing, nicht für unbeaufsichtigte Batch-Verarbeitung großer Verzeichnisse. Für Pipeline-Arbeit ist JLECmd der richtige Fit.
Wann was zu verwenden
- JLECmd, Batch-Verarbeitung von Jump Lists in CSV oder JSON, KAPE-Module, überall wo Sie Parsen in eine Pipeline einbauen.
- JumpListExplorer, Windows-Analysten-Workstation, interaktiver Tiefenblick, komfortables Lesen.
- Jump List Parser (Browser), Mac- oder Linux-Rechner, Einzeldatei-Triage, Artefakt, dessen Hochladen die Richtlinie verbietet, schnelle Zweitmeinung zu einem JLECmd-Ergebnis.
- Jumplist-Browser (kacos2000), Sie wollen die rohen Streams sehen, oder Sie lernen das Format und Vertrauen kommt vom Lesen des Parsers.
Alle vier sind kostenlos. Es gibt kein einziges "Bestes". Die richtige Wahl ist diejenige, deren Einschränkungen zur Box passen, an der Sie sitzen. Probieren Sie den Browser-Parser aus, wenn Sie keine Installation wollen.
Weiterführende Literatur
- Eric Zimmerman, JLECmd auf GitHub, Quelle, Releases, AppID-Liste.
- Kacos2000, Jumplist-Browser auf GitHub, der Roh-Stream-Viewer.
- Für die Artefakte, zu denen Sie nach einem Jump-List-Treffer schwenken werden: LNK-Parser, Prefetch-Parser, AmCache-Parser, EVTX-Parser.