Jump List Parser
Retour au blog

Qu'est-ce qu'une Jump List Windows ? Un guide pour débutants

2026-05-254 min de lecture

Une Jump List Windows est un menu par application d'éléments récemment utilisés, fréquemment utilisés et épinglés que Windows affiche depuis la barre des tâches et le menu Démarrer. Elle a été livrée dans Windows 7 et le format sur disque n'a pas changé à travers Windows 10 et 11. Chaque Jump List est aussi un fichier sur disque qui enregistre ce qu'un utilisateur a ouvert avec quelle application, quand, et d'où. Ce dernier fait est la raison pour laquelle les analystes DFIR se soucient d'un artefact que la plupart des utilisateurs ne nommeront jamais.

Ce que vous voyez dans l'UI

Faites un clic droit sur n'importe quelle icône de la barre des tâches, Notepad, Word, Explorer, Chrome, et le menu volant qui apparaît est la Jump List de cette application. Le même menu apparaît à côté des tuiles épinglées dans le menu Démarrer. Les sections varient selon l'app : Épinglés, Récents, Fréquents, plus tous les groupes définis par l'application (les Plus visités de Chrome, Documents récents de Word, Workspaces récents de VS Code).

Il y a deux auteurs qui écrivent dans le même dossier. Windows lui-même suit les éléments récents et fréquents pour chaque application enregistrée. L'application peut aussi publier ses propres catégories en utilisant l'API shell ICustomDestinationList. Les deux finissent sur disque au même endroit, dans deux formats de fichiers différents.

Comment Windows les construit

Chaque application qui veut une Jump List enregistre une AppID, une chaîne hexadécimale en minuscules de 16 caractères comme 1b4dd67f29cb1962, calculée comme un CRC64 tronqué sur le chemin de l'exécutable. Le même binaire au même chemin produit la même AppID sur chaque machine, ce qui rend les listes d'AppID publiées utiles pour le travail d'analyste.

Chaque fois que l'utilisateur ouvre un fichier via cette application, la shell Windows écrit un Windows Shell Link (.lnk) dans le fichier Jump List correspondant. Le LNK capture le chemin cible, la taille du fichier, trois horodatages FILETIME, le numéro de série du volume, et à travers son TrackerDataBlock, le nom NetBIOS de la machine d'origine et un GUID droid dérivé de son adresse MAC.

Deux types de fichiers, un dossier

Les deux résident sous %AppData%\Microsoft\Windows\Recent\ et utilisent la dénomination <AppID>.<extension> :

  • AutomaticDestinations (*.automaticDestinations-ms), écrit par Windows. Le conteneur est un OLE Compound File (MS-CFB, le même format qu'un ancien .doc). Chaque flux numéroté est un LNK incorporé ; un flux spécial DestList les ordonne et enregistre les horodatages d'accès par entrée, les compteurs d'accès, les IDs d'entrée et le hostname source.
  • CustomDestinations (*.customDestinations-ms), écrit par l'application. Le conteneur est un blob binaire plat : un en-tête, puis une séquence de structures LNK groupées en catégories nommées, terminées par 0xBABFFBAB.

Version pratique : AutomaticDestinations est ce que Windows vous dit que l'utilisateur a fait. CustomDestinations est ce que l'application vous dit qu'elle voulait offrir.

Ce qui se trouve réellement dans une entrée

Le décodage d'une seule entrée Jump List donne typiquement :

  • Le chemin cible complet du fichier ou de l'URL ouvert.
  • Les métadonnées du fichier au moment de l'ouverture, taille, temps MAC, attributs.
  • Le numéro de série du volume et le type de lecteur, utile pour l'empreinte des médias amovibles.
  • Un TrackerDataBlock contenant le nom NetBIOS de la machine et un GUID droid dérivé de l'adresse MAC.
  • Pour AutomaticDestinations, l'horodatage d'accès et le compteur d'accès du flux DestList.
  • Les arguments de ligne de commande et le répertoire de travail si le LNK les portait.

Ensemble, ces champs transforment une Jump List en une timeline par utilisateur d'interaction avec les fichiers qui survit même après la suppression du fichier original.

Pourquoi les analystes DFIR s'en soucient

Les Jump Lists répondent à une question à laquelle peu d'autres artefacts répondent proprement : quelle application a ouvert quel fichier, sur quel hôte, à quel moment. Elles corroborent ShellBags, Recent Items, Prefetch, AmCache et l'historique du navigateur, et préservent souvent des références à des fichiers sur des clés USB ou des partages réseau qui n'existent plus. Le champ hostname dans DestList est particulièrement utile pour le travail de mouvement latéral, la Jump List d'une station de travail se souviendra du nom NetBIOS du serveur de staging longtemps après que le partage a disparu.

Pour aller au-delà de l'introduction et lire les octets vous-même, le post de suivi comprendre les Jump Lists Windows parcourt les deux formats en détail.

Pour aller plus loin