¿Dónde se almacenan los archivos Jump List?

En %AppData%\Microsoft\Windows\Recent\AutomaticDestinations y %AppData%\Microsoft\Windows\Recent\CustomDestinations. Cada archivo recibe el nombre del AppID de la aplicación que lo creó.

¿En qué se diferencian AutomaticDestinations y CustomDestinations?

Los archivos AutomaticDestinations son OLE Compound Files: cada flujo numerado es un LNK y un flujo DestList los ordena con sus marcas de tiempo. Los archivos CustomDestinations contienen categorías definidas por la aplicación con una secuencia de estructuras LNK.

¿Es seguro subir un archivo Jump List a un parser en línea?

La mayoría de parsers en línea envían el artefacto a un servidor, lo que puede romper la cadena de custodia. Jump List Parser funciona enteramente en el navegador mediante WebAssembly: el archivo nunca sale de tu equipo.

Entender las Jump Lists de Windows

Q: ¿Qué es una Jump List de Windows?

Una lista, por aplicación, de los elementos abiertos recientemente y con frecuencia, introducida en Windows 7. Para el análisis forense registra qué archivos abrió un usuario, cuándo y desde qué equipo.

Las Jump Lists se introdujeron en Windows 7 para ofrecer acceso rápido a los archivos usados recientemente y con frecuencia por aplicación. Para un analista forense son un registro valioso de la actividad del usuario: qué archivos se abrieron, cuándo y desde dónde.

Si el tema es nuevo para ti, empieza por la introducción para principiantes: ¿qué es una Jump List de Windows?.

Dos tipos de archivo

AutomaticDestinations (*.automaticDestinations-ms) — un archivo compuesto OLE. Cada flujo numerado es un acceso directo de Windows (LNK), y un flujo DestList los ordena y registra marcas de tiempo de acceso y el nombre de host de origen.
CustomDestinations (*.customDestinations-ms) — categorías definidas por la aplicación que contienen una secuencia de estructuras LNK.

Ambos se encuentran en %AppData%\Microsoft\Windows\Recent\(Automatic|Custom)Destinations\ — consulta dónde Windows almacena los archivos Jump List para las rutas por usuario, la convención de nombre por AppID y cómo recuperarlos de una imagen forense.

¿Por qué analizarlas en el navegador?

En una investigación, la cadena de custodia es esencial. Esta herramienta compila un analizador en Rust a WebAssembly y lo ejecuta completamente del lado del cliente: el artefacto nunca sale de tu equipo y ningún servidor lo registra. Para una comparativa directa con otras herramientas, consulta la comparativa de parsers de Jump List.

Suelta un archivo en la página principal para ver las entradas decodificadas. ¿Necesitas un flujo de trabajo de investigación paso a paso? Lee la guía DFIR. ¿Quieres, al contrario, borrar el historial de Jump Lists? Consulta cómo borrar o eliminar las Jump Lists de Windows.