¿Cuál es el mejor parser de Jump List?

Depende del flujo de trabajo: JLECmd para salida CSV/JSON en lote, Jumplist Explorer para análisis interactivo en Windows, Jumplist-Browser para inspección de flujos en crudo, y un parser en el navegador para triaje multiplataforma sin instalación.

¿Existe un parser de Jump List en línea?

Sí — este sitio ejecuta un parser en Rust compilado a WebAssembly, por lo que el archivo se decodifica localmente en el navegador y nunca se sube a un servidor.

¿Funciona JLECmd de Eric Zimmerman en Linux o macOS?

JLECmd es una herramienta .NET para Windows; en Linux o macOS utiliza un parser en el navegador o ejecuta JLECmd dentro de una máquina virtual Windows.

¿Son gratuitos estos parsers de Jump List?

Sí, las cuatro herramientas aquí listadas son de uso gratuito.

Comparativa de herramientas para parsear Jump Lists (2026)

El parser de Jump List que elijas se reduce a tres preguntas: ¿quieres una CLI, una GUI o un navegador? ¿Puedes instalar software en la estación de trabajo del analista? ¿Y resulta aceptable que el artefacto salga de esa máquina? Las cuatro herramientas siguientes cubren esas combinaciones.

JLECmd (Eric Zimmerman)

El estándar de facto para parsear Jump Lists por línea de comandos. JLECmd gestiona tanto *.automaticDestinations-ms como *.customDestinations-ms, recorre el flujo DestList, decodifica cada LNK embebido y emite CSV o JSON. Es rápido, automatizable y encaja limpiamente en KAPE y otras canalizaciones automatizadas, lo que lo convierte en la opción obvia cuando procesas un directorio de artefactos provenientes de muchos endpoints.

Contrapartida: es un binario .NET para Windows sin GUI. La salida se lee en una hoja de cálculo o se alimenta a otra herramienta — no hay navegación interactiva de las entradas.

Jumplist Explorer (Eric Zimmerman)

El complemento gráfico de JLECmd. Carga un archivo o una carpeta y haz clic por las entradas parseadas, los campos LNK, las marcas de tiempo y el orden del DestList. Es la forma más cómoda de hacer análisis profundo e interactivo en una estación de analista Windows, y comparte el motor de parseo de JLECmd, por lo que la decodificación subyacente es coherente.

Contrapartida: requiere instalación y solo funciona en Windows. No es adecuado para procesamiento en lote — para eso está JLECmd.

Jumplist-Browser (kacos2000, GitHub)

Un visor de código abierto basado en PowerShell alojado en GitHub. Expone las estructuras en crudo dentro de una Jump List — los flujos OLE Compound File, los registros DestList, los campos LNK embebidos — de una manera útil cuando quieres ver lo que hay realmente en el archivo en lugar de una vista normalizada del mismo. Leer el código fuente también es una forma decente de aprender el formato.

Contrapartida: solo Windows y PowerShell, y la interfaz se acerca más a una herramienta de investigación que a una GUI pulida para analistas.

Jump List Parser (este sitio)

Un parser en Rust compilado a WebAssembly que se ejecuta enteramente en el navegador. No hay nada que instalar, funciona en Windows, macOS y Linux, y el archivo se decodifica localmente — nunca sale de la máquina, lo que importa para la cadena de custodia y para manejar artefactos que no puedes subir a un servicio de terceros.

Contrapartida: está pensado para parseo puntual y de triaje, no para procesamiento desatendido en lote de directorios grandes. Para trabajo en canalización, JLECmd encaja mejor.

Cuándo usar cada una

Recurre a JLECmd cuando necesites procesar muchas Jump Lists a CSV o JSON, o cuando estés cableando el parseo en un módulo de KAPE. Usa Jumplist Explorer cuando estés sentado en una estación de analista Windows y quieras recorrer las entradas interactivamente. Usa el Jump List Parser de este sitio cuando estés en un equipo Mac o Linux, cuando un compañero acabe de enviarte un único archivo, o cuando la política te impida subir el artefacto a ningún sitio. Y recurre a Jumplist-Browser cuando tengas curiosidad por los flujos en crudo o estés aprendiendo el formato.

Las cuatro son gratuitas. La elección correcta es la que encaja en tu flujo de trabajo — prueba el parser en el navegador si quieres cero instalación.