• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Статья [1 часть] Форензика списков переходов Jump Lists в Windows 7

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.

последние.png
посещения.png
задачи.png

Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.

Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.

Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
скрин1.png

скрин2.png
Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)



P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю:) )
Статья будет дополниться незначительными правками.
Продолжение: Форензика списков переходов Jump Lists в Windows 10
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab