Herramientas de parser de Jump List comparadas (2026)
Elige una de tres cosas: una CLI, una GUI o un navegador. Luego comprueba si puedes instalar software en la caja del analista y si se permite que el artefacto salga de esa caja en absoluto. Las cuatro herramientas a continuación cubren las combinaciones que realmente aparecen en el trabajo de casos. Todo lo demás es un wrapper alrededor de una de ellas.
JLECmd (Eric Zimmerman)
El estándar de facto para el parseo de Jump List por línea de comandos. Maneja tanto *.automaticDestinations-ms como *.customDestinations-ms, recorre el flujo DestList, decodifica cada flujo LNK incrustado y emite CSV o JSON. Rápido, scriptable, y lo que cada módulo KAPE acaba envolviendo. El esquema de salida es esencialmente el estándar de la industria, las herramientas de terceros apuntan a los nombres de columna de JLECmd porque eso es lo que esperan las canalizaciones de revisión.
La lista de AppID que se envía junto con él es la otra razón para mantener JLECmd en tu kit de herramientas. Es lo más cercano que tiene la comunidad a un mapa canónico de AppID a aplicación, y recurrirás a él en cada triaje.
Compensación: binario Windows .NET, sin GUI. Lees la salida en una hoja de cálculo o se la entregas a otra herramienta. No hay clics a través de entradas.
JumpListExplorer (Eric Zimmerman)
El hermano GUI de JLECmd. Carga un archivo o una carpeta, haz clic a través de las entradas parseadas, campos LNK, FILETIMEs y el orden de DestList. Mismo motor de parseo que JLECmd, por lo que la decodificación es consistente entre ambos. Esta es la herramienta adecuada cuando estás sentado en una estación de trabajo de analista Windows y quieres leer entradas como leerías correos electrónicos, lentamente, con contexto de clic derecho.
Compensación: solo Windows, requiere instalación, no está construida para procesamiento por lotes. Usa JLECmd para eso.
Jumplist-Browser (kacos2000)
Un visor PowerShell de código abierto alojado en GitHub. Expone las estructuras crudas dentro de una Jump List, los flujos MS-CFB, los registros DestList, los subflujos MS-SHLLINK incrustados, de una manera que es honesta sobre lo que realmente hay en el archivo en lugar de presentar una vista normalizada de él. Leer el PowerShell también es una manera decente de aprender el formato si entraste en frío.
Compensación: solo Windows y PowerShell. La interfaz está más cerca de una herramienta de investigación que de una GUI pulida para analistas. Vivirás brevemente en ella para entender un archivo extraño, luego volverás a JLECmd o a este sitio.
Jump List Parser (este sitio)
Un parser Rust compilado a WebAssembly que se ejecuta enteramente en el navegador. Nada que instalar, funciona en Windows, macOS y Linux. El archivo se decodifica localmente, nunca abandona la máquina, lo que importa para la cadena de custodia y para manejar artefactos que no puedes subir a un servicio de terceros. La salida cubre lo que un analista realmente quiere: la AppID, cada fila DestList con hostname y FILETIME, el conjunto completo de campos de cada LNK incrustado incluyendo el GUID droid del TrackerDataBlock.
Compensación: construido para parseo ad-hoc y de triaje, no para procesamiento por lotes desatendido de grandes directorios. Para trabajo de canalización, JLECmd es la opción adecuada.
Cuándo usar cuál
- JLECmd, procesamiento por lotes de Jump Lists en CSV o JSON, módulos KAPE, en cualquier sitio donde conectes el parseo a una canalización.
- JumpListExplorer, estación de trabajo de analista Windows, inmersión interactiva, lectura cómoda.
- Jump List Parser (navegador), caja Mac o Linux, triaje de un solo archivo, artefacto que la política prohíbe subir, segunda opinión rápida sobre un resultado de JLECmd.
- Jumplist-Browser (kacos2000), quieres ver los flujos crudos, o estás aprendiendo el formato y la confianza viene de leer el parser.
Las cuatro son gratuitas. No hay un único "mejor". La elección correcta es aquella cuyas restricciones coinciden con la caja en la que estás sentado. Prueba el parser en navegador si quieres cero instalación.
Lecturas adicionales
- Eric Zimmerman, JLECmd en GitHub, código, lanzamientos, lista de AppID.
- Kacos2000, Jumplist-Browser en GitHub, el visor de flujos crudos.
- Para los artefactos a los que pivotarás desde un hit de Jump List: parser LNK, parser Prefetch, parser AmCache, parser EVTX.