Où sont stockés les fichiers Jump List ?

Sous %AppData%\Microsoft\Windows\Recent\AutomaticDestinations et %AppData%\Microsoft\Windows\Recent\CustomDestinations. Chaque fichier est nommé d'après l'AppID de l'application qui l'a créé.

Quelle différence entre AutomaticDestinations et CustomDestinations ?

Les fichiers AutomaticDestinations sont des OLE Compound Files où chaque flux numéroté est un LNK et un flux DestList les ordonne avec leurs horodatages. Les fichiers CustomDestinations sont des catégories définies par l'application contenant une séquence de structures LNK.

Est-il sûr d'envoyer un fichier Jump List à un parseur en ligne ?

La plupart des parseurs en ligne envoient l'artefact sur un serveur, ce qui peut rompre la chaîne de possession. Jump List Parser fonctionne entièrement dans votre navigateur via WebAssembly : le fichier ne quitte jamais votre machine.

Comprendre les Jump Lists Windows

Q: Qu'est-ce qu'une Jump List Windows ?

Une liste, par application, des éléments récemment et fréquemment ouverts, introduite avec Windows 7. Pour un analyste forensique, elle enregistre quels fichiers un utilisateur a ouverts, quand et depuis quel hôte.

Les Jump Lists ont été introduites dans Windows 7 pour offrir un accès rapide aux fichiers récemment et fréquemment utilisés par application. Pour un analyste forensique, elles constituent un riche enregistrement de l'activité de l'utilisateur : quels fichiers ont été ouverts, quand et depuis où.

Si vous découvrez le sujet, commencez par l'introduction de niveau débutant : qu'est-ce qu'une Jump List Windows ?.

Deux types de fichiers

AutomaticDestinations (*.automaticDestinations-ms) — un fichier composé OLE. Chaque flux numéroté est un raccourci Windows (LNK), et un flux DestList les ordonne et enregistre les horodatages d'accès ainsi que le nom d'hôte d'origine.
CustomDestinations (*.customDestinations-ms) — des catégories définies par l'application contenant une séquence de structures LNK.

Les deux se trouvent sous %AppData%\Microsoft\Windows\Recent\(Automatic|Custom)Destinations\ — voir où Windows stocke les fichiers Jump List pour les chemins par utilisateur, la convention de nommage par AppID et la récupération sur image forensique.

Pourquoi les analyser dans le navigateur ?

Pour une enquête, la chaîne de possession est essentielle. Cet outil compile un analyseur Rust en WebAssembly et l'exécute entièrement côté client : l'artefact ne quitte jamais votre machine, et aucun serveur ne le journalise. Pour une comparaison côte à côte avec les autres outils, voir la comparaison des parseurs Jump List.

Déposez un fichier sur la page d'accueil pour voir les entrées décodées. Vous cherchez une méthodologie d'enquête pas à pas ? Lisez la méthodologie DFIR. Vous voulez au contraire effacer l'historique des Jump Lists ? Voir comment effacer ou supprimer les Jump Lists Windows.