Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.
![[1 часть] Форензика списков переходов Jump Lists в Windows 7](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='561' height='151' viewBox%3D'0 0 561 151'%2F%3E "poslednie-png.21556")
![[1 часть] Форензика списков переходов Jump Lists в Windows 7](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='563' height='309' viewBox%3D'0 0 563 309'%2F%3E "poseschenija-png.21557")
![[1 часть] Форензика списков переходов Jump Lists в Windows 7](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='563' height='426' viewBox%3D'0 0 563 426'%2F%3E "zadachi-png.21558")
Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.
Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.
Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
![[1 часть] Форензика списков переходов Jump Lists в Windows 7](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='537' height='543' viewBox%3D'0 0 537 543'%2F%3E "skrin1-png.21559")
![[1 часть] Форензика списков переходов Jump Lists в Windows 7](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='492' height='380' viewBox%3D'0 0 492 380'%2F%3E "skrin2-png.21560")
Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)
P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю
)
Статья будет дополниться незначительными правками.
Продолжение: Форензика списков переходов Jump Lists в Windows 10
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.
Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.
Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.
Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю
)Статья будет дополниться незначительными правками.
Продолжение: Форензика списков переходов Jump Lists в Windows 10
Последнее редактирование модератором:
