Wo werden Jump-List-Dateien gespeichert?

Unter %AppData%\Microsoft\Windows\Recent\AutomaticDestinations und %AppData%\Microsoft\Windows\Recent\CustomDestinations. Jede Datei ist nach der AppID der erzeugenden Anwendung benannt.

Was ist der Unterschied zwischen AutomaticDestinations und CustomDestinations?

AutomaticDestinations-Dateien sind OLE-Compound-Files, in denen jeder nummerierte Stream ein LNK ist und ein DestList-Stream Reihenfolge und Zeitstempel liefert. CustomDestinations-Dateien enthalten anwendungsdefinierte Kategorien mit einer Folge von LNK-Strukturen.

Ist es sicher, Jump-List-Dateien an einen Online-Parser zu übergeben?

Die meisten Online-Parser laden das Artefakt auf einen Server hoch, was die Beweismittelkette gefährden kann. Jump List Parser läuft vollständig im Browser per WebAssembly — die Datei verlässt Ihren Rechner nie.

Windows-Jump-Lists verstehen

Q: Was ist eine Windows-Jump-List?

Eine pro Anwendung gepflegte Liste zuletzt und häufig geöffneter Elemente, eingeführt mit Windows 7. Für Forensiker dokumentiert sie, welche Dateien ein Benutzer wann und von welchem Host geöffnet hat.

Jump Lists wurden mit Windows 7 eingeführt, um pro Anwendung schnellen Zugriff auf zuletzt und häufig verwendete Dateien zu bieten. Für Forensiker sind sie eine reichhaltige Aufzeichnung der Benutzeraktivität: welche Dateien wann und von wo geöffnet wurden.

Wenn das Thema neu für Sie ist, beginnen Sie mit der Einführung für Einsteiger: Was ist eine Windows-Jump-List?.

Zwei Dateitypen

AutomaticDestinations (*.automaticDestinations-ms) — eine OLE-Compound-Datei. Jeder nummerierte Stream ist eine Windows-Verknüpfung (LNK), und ein DestList-Stream ordnet sie und speichert Zugriffszeitstempel sowie den ursprünglichen Hostnamen.
CustomDestinations (*.customDestinations-ms) — anwendungsdefinierte Kategorien mit einer Folge von LNK-Strukturen.

Beide liegen unter %AppData%\Microsoft\Windows\Recent\(Automatic|Custom)Destinations\ — siehe wo Windows Jump-List-Dateien speichert für die benutzerbezogenen Pfade, die AppID-Benennung und das Abgreifen aus einem forensischen Image.

Warum im Browser analysieren?

Bei Ermittlungen zählt die Beweismittelkette. Dieses Tool kompiliert einen Rust-Parser zu WebAssembly und führt ihn vollständig clientseitig aus — das Artefakt verlässt niemals Ihren Rechner, und kein Server protokolliert es. Für einen direkten Vergleich mit anderen Werkzeugen siehe den Vergleich der Jump-List-Parser.

Legen Sie auf der Startseite eine Datei ab, um die dekodierten Einträge zu sehen. Brauchen Sie einen schrittweisen Ermittlungs-Workflow? Lesen Sie die DFIR-Anleitung. Wollen Sie stattdessen den Jump-List-Verlauf löschen? Siehe wie man Windows-Jump-Lists löscht oder leert.