¿Cuándo añadió Windows las Jump Lists?

Las Jump Lists se incorporaron con Windows 7 en 2009 y siguen presentes, con los mismos formatos en disco, en Windows 10 y Windows 11.

¿Dónde se muestran las Jump Lists en la interfaz de Windows?

Haz clic derecho en un icono de la barra de tareas, o pasa el cursor sobre una aplicación anclada del menú Inicio: el desplegable que muestra elementos Recientes, Frecuentes, Anclados y entradas definidas por la aplicación es la Jump List.

¿Cuál es la diferencia entre AutomaticDestinations y CustomDestinations?

Los AutomaticDestinations los gestiona el propio Windows como un OLE Compound File de flujos LNK ordenados por un DestList; los CustomDestinations los escribe la aplicación y contienen una secuencia plana de estructuras LNK agrupadas en categorías.

¿Qué es una Jump List de Windows? Guía para principiantes

Q: ¿Qué es una Jump List de Windows?

Una Jump List es un menú, por aplicación, de los elementos usados recientemente y con frecuencia que Windows muestra desde el menú Inicio y la barra de tareas, respaldado por archivos en disco bajo el AppData del usuario.

Una Jump List de Windows es un menú, por aplicación, de los elementos usados recientemente, con frecuencia y anclados que Windows muestra desde la barra de tareas y el menú Inicio. Introducidas en Windows 7 y sin cambios de forma hasta Windows 10 y Windows 11, cada Jump List es también un archivo en disco que registra qué abrió un usuario con qué aplicación, cuándo y desde dónde.

El concepto en la interfaz

Haz clic derecho sobre cualquier icono de la barra de tareas —Notepad, Word, Explorer, Chrome— y el desplegable que aparece es la Jump List de esa aplicación. El mismo menú aparece junto a los iconos anclados del menú Inicio. Las secciones incluyen normalmente Anclados, Recientes, Frecuentes y los grupos definidos por la aplicación (por ejemplo, Most visited de Chrome o Recent Documents de Word).

El mecanismo es bidireccional. El propio Windows registra los elementos recientes y frecuentes de cada aplicación registrada. La aplicación también puede publicar sus propias categorías usando la API de shell ICustomDestinationList. Ambas terminan en disco en la misma carpeta, pero en dos formatos de archivo distintos.

Cómo las construye Windows

Cada aplicación que quiere una Jump List registra un AppID: un identificador con aspecto de hash, como 1b4dd67f29cb1962. Cada vez que el usuario abre un archivo a través de esa aplicación, el shell de Windows escribe un Windows Shell Link (.lnk) en el archivo de Jump List correspondiente. El LNK captura la ruta del destino, el tamaño, las marcas de tiempo, el número de serie del volumen y, a menudo, el nombre NetBIOS y la dirección MAC del equipo donde se abrió el archivo.

Dos tipos de archivo

Ambos tipos viven bajo %AppData%\Microsoft\Windows\Recent\ y se nombran <AppID>.<extension>:

AutomaticDestinations (*.automaticDestinations-ms): escritos por Windows. El contenedor es un OLE Compound File (el mismo formato que los antiguos .doc). Cada flujo numerado es un LNK incrustado, y un flujo especial DestList los ordena y registra marcas de tiempo de acceso por entrada, IDs de entrada y el nombre de host de origen.
CustomDestinations (*.customDestinations-ms): escritos por la propia aplicación. El contenedor es un blob binario plano: una cabecera, después una secuencia de estructuras LNK agrupadas en categorías con nombre, terminada por un pie 0xBABFFBAB.

En la práctica: AutomaticDestinations es donde Windows te dice lo que hizo el usuario. CustomDestinations es donde la aplicación te dice lo que quería mostrar.

Qué hay dentro de una entrada

Decodificar una entrada de Jump List suele dar:

La ruta de destino completa del archivo o URL abierto.
Metadatos del archivo en el momento de la apertura: tamaño, MAC times, atributos.
El número de serie del volumen y el tipo de unidad, útiles para identificar medios extraíbles.
Un TrackerDataBlock con el nombre NetBIOS del equipo y un ObjectID derivado de la dirección MAC.
Para AutomaticDestinations, una marca de tiempo de acceso y un contador de accesos del flujo DestList.

En conjunto, convierten una Jump List en una línea de tiempo, por usuario, de interacción con archivos que sobrevive incluso al borrado del archivo original.

Por qué importa en forense

Para un analista DFIR, las Jump Lists responden a una pregunta que pocos otros artefactos responden con claridad: qué aplicación abrió qué archivo, en qué equipo, en qué momento. Corroboran ShellBags, Recent Items y Prefetch, y a menudo conservan referencias a archivos en unidades USB o recursos de red que ya no existen. Si quieres ir más allá del nivel introductorio y analizar los bytes por tu cuenta, el artículo de seguimiento sobre entender las Jump Lists de Windows recorre los formatos en detalle.