Que peut apprendre un analyste forensique des Jump Lists ?

Le chemin cible de chaque fichier ouvert, l'horodatage du dernier accès et le compteur d'accès, ainsi que le nom d'hôte NetBIOS de la machine qui hébergeait initialement le fichier.

Les Jump Lists enregistrent-elles les accès aux fichiers depuis des partages réseau ?

Oui. Le flux DestList stocke le nom d'hôte NetBIOS d'origine pour chaque entrée, ce qui fait des Jump Lists une source solide pour suivre l'accès distant aux fichiers et le mouvement latéral.

Comment analyser un fichier Jump List ?

Utilisez JLECmd d'Eric Zimmerman pour un triage en ligne de commande, ou déposez le fichier sur la page d'accueil de Jump List Parser pour le décoder dans le navigateur sans téléversement.

Un utilisateur peut-il supprimer son historique Jump List ?

Oui — les Paramètres de la barre des tâches proposent une bascule pour effacer les éléments récents, ce qui tronque le fichier par AppID. Windows le recrée ensuite à la prochaine utilisation interactive, donc l'absence d'entrées anciennes est elle-même un indicateur.

Forensique des Jump Lists : un parcours pratique DFIR

Les Jump Lists fournissent à un analyste DFIR un enregistrement de l'accès aux fichiers par application et par utilisateur : le chemin cible complet de chaque élément ouvert, le FILETIME du dernier accès et un compteur d'accès monotone, le nom d'hôte NetBIOS de la machine qui hébergeait initialement le fichier, l'état épinglé, l'identité de l'application via son AppID, et un identifiant de volume qui peut rattacher une entrée à un lecteur amovible spécifique. Ce qui suit est le workflow pour extraire ces données et les intégrer à un rapport.

Quelles preuves les Jump Lists fournissent

Chemin cible de l'élément ouvert (local, UNC ou amovible).
Horodatage du dernier accès (FILETIME, UTC) et compteur d'accès par entrée.
Nom d'hôte NetBIOS d'origine enregistré au moment de l'accès.
État épinglé — cet élément a-t-il été épinglé par l'utilisateur à la Jump List.
AppID, qui identifie de manière déterministe l'application lanceuse.
Identifiant et libellé de volume issus du LNK embarqué, utiles pour la corrélation avec des supports amovibles.
Horodatages MAC et taille du fichier cible tels qu'observés lors de l'écriture du LNK.

Un workflow DFIR en 5 étapes

Acquérir. Récupérer %AppData%\Microsoft\Windows\Recent\AutomaticDestinations et le dossier voisin CustomDestinations pour chaque profil utilisateur. Travailler à partir d'une image forensique ou d'une copie VSS — les fichiers en cours d'utilisation sont généralement verrouillés par Explorer. KAPE dispose d'une cible pour cela ; sinon robocopy /b depuis une shadow copy montée fonctionne.
Trier. Lister les AppIDs (noms de fichiers sans l'extension) et les associer aux applications. Utiliser la liste d'AppIDs fournie avec JLECmd d'Eric Zimmerman comme référence ; tout ce qui n'est pas répertorié mérite un examen plus approfondi, car les applications personnalisées et portables génèrent leurs propres AppIDs.
Analyser. Extraire chaque flux LNK numéroté et les lignes DestList. JLECmd produit du CSV ; Plaso/log2timeline émet des événements de timeline ; Autopsy les expose dans ses résultats d'ingestion. Pour une revue ponctuelle sans déplacer l'artefact hors du poste d'analyste, déposez le fichier sur le parseur en navigateur — il s'exécute côté client et ne téléverse jamais rien.
Corréler. Aligner les horodatages d'accès DestList avec la timeline de la session interactive de l'utilisateur : Security log 4624/4634 pour le logon et le logoff, la clé de registre UserAssist pour les lancements GUI, et Prefetch pour l'exécution de processus. Les artefacts mémoire via Volatility peuvent confirmer que l'application était effectivement résidente à ce moment-là.
Rapporter. Citer chaque constat par fichier source, numéro de flux et identifiant d'entrée DestList — par exemple, 1b4dd67f29cb1962.automaticDestinations-ms, flux 7, entrée DestList 0x12. La reproductibilité est ce qui fait tenir le constat.

Preuves inter-hôtes : le champ nom d'hôte

Chaque ligne DestList porte le nom d'hôte NetBIOS de la machine depuis laquelle le fichier cible a été ouvert. Sur un poste qui monte des partages provenant de plusieurs serveurs, ce champ révèle quel serveur hébergeait chaque document ouvert — sans avoir besoin des journaux du serveur lui-même. Dans les enquêtes sur le mouvement latéral, une Jump List sur un hôte compromis contient fréquemment le nom du serveur de staging de l'attaquant longtemps après que le partage a été démonté.

Pièges courants

FILETIME représente des intervalles de 100 nanosecondes depuis le 1601-01-01 UTC. La conversion vers l'epoch Unix nécessite de soustraire 11644473600 secondes après division par 10^7 ; les erreurs d'un jour ici sont la source la plus fréquente de timelines erronées.
Les versions de DestList diffèrent entre Windows 7 (version 1) et Windows 10+ (versions 3 et 4). Les tailles de ligne et les offsets de champ changent — les anciens parseurs se désaligneront silencieusement sur des hôtes plus récents.
Certaines applications (Office, Explorer) épinglent des éléments de manière agressive et incrémentent les compteurs d'accès lors de l'indexation en arrière-plan, donc un compteur élevé n'est pas à lui seul la preuve d'une interaction utilisateur répétée.
Les Paramètres de la barre des tâches comportent une bascule « Afficher les éléments récemment ouverts ». La désactiver tronque les fichiers par AppID. Les fichiers sont recréés à la prochaine utilisation, donc des DestLists anormalement courtes sont un indicateur à signaler.

Déposez un fichier Jump List sur la page d'accueil du parseur pour voir tout cela sans envoyer de données où que ce soit.