Quel est le meilleur parseur de Jump List ?

Cela dépend du workflow : JLECmd pour une sortie CSV/JSON en lot, Jumplist Explorer pour l'analyse interactive sous Windows, Jumplist-Browser pour l'inspection des flux bruts, et un parseur dans le navigateur pour le triage multiplateforme sans installation.

Existe-t-il un parseur de Jump List en ligne ?

Oui — ce site exécute un parseur Rust compilé en WebAssembly : le fichier est décodé localement dans le navigateur et n'est jamais envoyé sur un serveur.

Le JLECmd d'Eric Zimmerman fonctionne-t-il sous Linux ou macOS ?

JLECmd est un outil Windows .NET ; sous Linux ou macOS, utilisez un parseur dans le navigateur ou exécutez JLECmd dans une VM Windows.

Ces parseurs de Jump List sont-ils gratuits ?

Oui, les quatre outils listés ici sont gratuits.

Comparatif des outils de parsing Jump List (2026)

Le choix d'un parseur de Jump List se résume à trois questions : voulez-vous une CLI, une GUI ou un navigateur ? Pouvez-vous installer un logiciel sur le poste d'analyse ? Et est-il acceptable que l'artefact quitte cette machine ? Les quatre outils ci-dessous couvrent ces combinaisons.

JLECmd (Eric Zimmerman)

Le standard de fait pour le parsing de Jump List en ligne de commande. JLECmd prend en charge à la fois les *.automaticDestinations-ms et les *.customDestinations-ms, parcourt le flux DestList, décode chaque LNK intégré et produit du CSV ou du JSON. Il est rapide, scriptable et s'intègre proprement dans KAPE et d'autres pipelines automatisés, ce qui en fait le choix évident quand vous traitez un répertoire d'artefacts provenant de nombreux endpoints.

Compromis : c'est un binaire Windows .NET sans GUI. Vous lisez la sortie dans un tableur ou l'envoyez à un autre outil — pas de navigation interactive entre les entrées.

Jumplist Explorer (Eric Zimmerman)

Le pendant GUI de JLECmd. Chargez un fichier ou un dossier et cliquez à travers les entrées parsées, les champs LNK, les horodatages et l'ordre du DestList. C'est la manière la plus confortable de mener une analyse interactive approfondie sur un poste d'analyse Windows, et il partage le moteur de parsing de JLECmd, donc le décodage sous-jacent est cohérent.

Compromis : nécessite une installation et ne tourne que sous Windows. Peu adapté au traitement en lot — c'est le rôle de JLECmd.

Jumplist-Browser (kacos2000, GitHub)

Un visualiseur open source basé sur PowerShell hébergé sur GitHub. Il expose les structures brutes à l'intérieur d'une Jump List — les flux OLE Compound File, les enregistrements DestList, les champs LNK intégrés — d'une manière utile quand vous voulez voir ce qui se trouve réellement dans le fichier plutôt qu'une vue normalisée. Lire le code source est aussi une bonne façon d'apprendre le format.

Compromis : Windows et PowerShell uniquement, et l'interface se rapproche plus d'un outil de recherche que d'une GUI d'analyste soignée.

Jump List Parser (ce site)

Un parseur Rust compilé en WebAssembly qui s'exécute entièrement dans le navigateur. Rien à installer, fonctionne sous Windows, macOS et Linux, et le fichier est décodé localement — il ne quitte jamais la machine, ce qui compte pour la chaîne de possession et pour traiter des artefacts que vous ne pouvez pas téléverser vers un service tiers.

Compromis : conçu pour le parsing ad-hoc et le triage, pas pour le traitement en lot non supervisé de gros répertoires. Pour un travail de pipeline, JLECmd est plus adapté.

Quand utiliser quoi

Tournez-vous vers JLECmd quand vous devez traiter de nombreuses Jump Lists en CSV ou JSON, ou quand vous câblez le parsing dans un module KAPE. Utilisez Jumplist Explorer quand vous êtes assis à un poste d'analyse Windows et que vous voulez cliquer à travers les entrées de manière interactive. Utilisez le Jump List Parser de ce site quand vous êtes sur un Mac ou une machine Linux, quand un collègue vient de vous envoyer un seul fichier, ou quand une politique vous empêche de téléverser l'artefact où que ce soit. Et tournez-vous vers Jumplist-Browser quand vous êtes curieux des flux bruts ou que vous apprenez le format.

Les quatre sont gratuits. Le bon choix est celui qui convient à votre workflow — essayez le parseur navigateur si vous voulez zéro installation.