Статья [1 часть] Форензика списков переходов Jump Lists в Windows 7

F

forgot

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.

последние.png
посещения.png
задачи.png

Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.

Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.

Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
скрин1.png

скрин2.png
Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)



P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю:) )
Статья будет дополниться незначительными правками.
Продолжение: Форензика списков переходов Jump Lists в Windows 10
 
Последнее редактирование модератором:
Мы в соцсетях: