Quand Windows a-t-il introduit les Jump Lists ?

Les Jump Lists ont été livrées avec Windows 7 en 2009 et sont toujours présentes, dans les mêmes formats sur disque, dans Windows 10 et Windows 11.

Où les Jump Lists apparaissent-elles dans l'interface Windows ?

Cliquez avec le bouton droit sur une icône de la barre des tâches, ou survolez une application épinglée dans le menu Démarrer — le menu déroulant qui liste les entrées Récentes, Fréquentes, Épinglées et celles définies par l'application est la Jump List.

Quelle différence entre Automatic et Custom Destinations ?

Les AutomaticDestinations sont suivies par Windows lui-même sous forme d'un OLE Compound File composé de flux LNK ordonnés par un DestList ; les CustomDestinations sont écrites par l'application et contiennent une séquence plate de structures LNK regroupées en catégories.

Qu'est-ce qu'une Jump List Windows ? Guide pour débutants

Q: Qu'est-ce qu'une Jump List Windows ?

Une Jump List est un menu, par application, des éléments récemment et fréquemment utilisés que Windows affiche depuis le menu Démarrer et la barre des tâches, adossé à des fichiers sur disque sous le dossier AppData de l'utilisateur.

Une Jump List Windows est un menu, par application, des éléments récemment utilisés, fréquemment utilisés et épinglés que Windows affiche depuis la barre des tâches et le menu Démarrer. Introduite dans Windows 7 et inchangée dans sa forme jusque Windows 10 et Windows 11, chaque Jump List est aussi un fichier sur disque qui enregistre quoi un utilisateur a ouvert avec quelle application, quand et depuis où.

Le concept côté interface

Cliquez avec le bouton droit sur n'importe quelle icône de la barre des tâches — Notepad, Word, Explorer, Chrome — et le menu déroulant qui apparaît est la Jump List de cette application. Le même menu s'affiche à côté des tuiles épinglées dans le menu Démarrer. Les sections incluent typiquement Épinglés, Récents, Fréquents, ainsi que tout groupe défini par l'application (par exemple, le Most visited de Chrome ou les Recent Documents de Word).

Le mécanisme est à deux faces. Windows lui-même suit les éléments récents et fréquents pour chaque application enregistrée. L'application peut aussi publier ses propres catégories via l'API shell ICustomDestinationList. Les deux se retrouvent sur disque dans le même dossier, mais dans deux formats de fichier différents.

Comment Windows les construit

Chaque application qui souhaite une Jump List enregistre un AppID — un identifiant de type hash tel que 1b4dd67f29cb1962. À chaque fois que l'utilisateur ouvre un fichier via cette application, le shell Windows enregistre un Windows Shell Link (.lnk) dans le fichier Jump List correspondant. Le LNK capture le chemin cible, la taille, les horodatages, le numéro de série du volume et souvent le nom NetBIOS et l'adresse MAC de la machine sur laquelle le fichier a été ouvert.

Deux types de fichiers

Les deux types de fichiers se trouvent sous %AppData%\Microsoft\Windows\Recent\ et sont nommés <AppID>.<extension> :

AutomaticDestinations (*.automaticDestinations-ms) — écrits par Windows. Le conteneur est un OLE Compound File (le même format que le .doc historique). Chaque flux numéroté est un LNK embarqué, et un flux spécial DestList les ordonne et enregistre par entrée les horodatages d'accès, les identifiants d'entrée et le nom d'hôte source.
CustomDestinations (*.customDestinations-ms) — écrits par l'application elle-même. Le conteneur est un blob binaire plat : un en-tête, puis une séquence de structures LNK regroupées en catégories nommées, terminée par un pied 0xBABFFBAB.

En pratique : AutomaticDestinations est l'endroit où Windows vous dit ce que l'utilisateur a fait. CustomDestinations est l'endroit où l'application vous dit ce qu'elle voulait afficher.

Ce que contient une entrée

Le décodage d'une seule entrée de Jump List produit typiquement :

Le chemin cible complet du fichier ou de l'URL ouvert.
Les métadonnées du fichier au moment de l'ouverture — taille, MAC times, attributs.
Le numéro de série du volume et le type de lecteur, utiles pour identifier les supports amovibles.
Un TrackerDataBlock contenant le nom NetBIOS de la machine et un ObjectID dérivé d'une adresse MAC.
Pour les AutomaticDestinations, un horodatage d'accès et un compteur d'accès issus du flux DestList.

Ensemble, ces éléments transforment une Jump List en une chronologie, par utilisateur, d'interactions avec les fichiers, qui subsiste même après la suppression du fichier d'origine.

Pourquoi cela compte en forensique

Pour un analyste DFIR, les Jump Lists répondent à une question à laquelle peu d'autres artefacts répondent aussi clairement : quelle application a ouvert quel fichier, sur quel hôte, à quel moment. Elles corroborent les ShellBags, les Recent Items et le Prefetch, et préservent souvent des références à des fichiers sur des clés USB ou des partages réseau qui n'existent plus. Pour aller au-delà de cette introduction et analyser les octets vous-même, le billet suivant sur comprendre les Jump Lists Windows détaille les formats en profondeur.