Outils de parser Jump List comparés (2026)
Choisissez l'une de trois choses : une CLI, une GUI ou un navigateur. Puis vérifiez si vous pouvez installer un logiciel sur la machine de l'analyste, et si l'artefact est autorisé à quitter cette machine. Les quatre outils ci-dessous couvrent les combinaisons qui apparaissent réellement dans le travail de cas. Tout le reste est un wrapper autour de l'un d'eux.
JLECmd (Eric Zimmerman)
Le standard de facto pour le parsing Jump List en ligne de commande. Il gère à la fois *.automaticDestinations-ms et *.customDestinations-ms, parcourt le flux DestList, décode chaque flux LNK incorporé et émet du CSV ou du JSON. Rapide, scriptable, et ce que chaque module KAPE finit par envelopper. Le schéma de sortie est essentiellement le standard de l'industrie, l'outillage tiers cible les noms de colonnes de JLECmd parce que c'est ce que les pipelines de revue attendent.
La liste d'AppID livrée à ses côtés est l'autre raison de garder JLECmd dans votre boîte à outils. C'est ce dont la communauté dispose de plus proche d'une carte canonique AppID-vers-application, et vous y aurez recours à chaque triage.
Compromis : binaire Windows .NET, pas de GUI. Vous lisez la sortie dans un tableur ou vous la donnez à un autre outil. Pas de clics à travers les entrées.
JumpListExplorer (Eric Zimmerman)
Le frère GUI de JLECmd. Chargez un fichier ou un dossier, cliquez à travers les entrées parsées, les champs LNK, les FILETIMEs et l'ordre DestList. Même moteur de parsing que JLECmd, donc le décodage est cohérent entre les deux. C'est le bon outil quand vous êtes assis à une station de travail d'analyste Windows et voulez lire les entrées comme vous liriez des emails, lentement, avec un contexte de clic droit.
Compromis : Windows uniquement, nécessite une installation, pas conçu pour le traitement par lots. Utilisez JLECmd pour cela.
Jumplist-Browser (kacos2000)
Un visualiseur PowerShell open-source hébergé sur GitHub. Il expose les structures brutes à l'intérieur d'une Jump List, les flux MS-CFB, les enregistrements DestList, les sous-flux MS-SHLLINK incorporés, d'une manière qui est honnête sur ce qui est réellement dans le fichier plutôt que de présenter une vue normalisée. Lire le PowerShell est aussi une façon décente d'apprendre le format si vous y arrivez à froid.
Compromis : Windows et PowerShell uniquement. L'interface est plus proche d'un outil de recherche que d'une GUI d'analyste polie. Vous y vivrez brièvement pour comprendre un fichier étrange, puis vous reviendrez à JLECmd ou à ce site.
Jump List Parser (ce site)
Un parser Rust compilé en WebAssembly qui s'exécute entièrement dans le navigateur. Rien à installer, fonctionne sur Windows, macOS et Linux. Le fichier est décodé localement, il ne quitte jamais la machine, ce qui compte pour la chaîne de garde et pour gérer les artefacts que vous ne pouvez pas téléverser vers un service tiers. La sortie couvre ce qu'un analyste veut vraiment : l'AppID, chaque ligne DestList avec hostname et FILETIME, l'ensemble complet des champs de chaque LNK incorporé y compris le GUID droid du TrackerDataBlock.
Compromis : conçu pour le parsing ad-hoc et de triage, pas pour le traitement par lots non surveillé de grands répertoires. Pour le travail de pipeline, JLECmd est le bon ajustement.
Quand utiliser lequel
- JLECmd, traitement par lots des Jump Lists en CSV ou JSON, modules KAPE, partout où vous câblez le parsing dans un pipeline.
- JumpListExplorer, station de travail d'analyste Windows, plongée interactive, lecture confortable.
- Jump List Parser (navigateur), machine Mac ou Linux, triage d'un seul fichier, artefact dont la politique interdit le téléversement, deuxième opinion rapide sur un résultat JLECmd.
- Jumplist-Browser (kacos2000), vous voulez voir les flux bruts, ou vous apprenez le format et la confiance vient de la lecture du parser.
Les quatre sont gratuits. Il n'y a pas de "meilleur" unique. Le bon choix est celui dont les contraintes correspondent à la machine sur laquelle vous êtes assis. Essayez le parser navigateur si vous voulez zéro installation.
Pour aller plus loin
- Eric Zimmerman, JLECmd sur GitHub, source, releases, liste d'AppID.
- Kacos2000, Jumplist-Browser sur GitHub, le visualiseur de flux bruts.
- Pour les artefacts vers lesquels vous pivoterez depuis un hit Jump List : parser LNK, parser Prefetch, parser AmCache, parser EVTX.