• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья [1 часть] Форензика списков переходов Jump Lists в Windows 7

F

forgot

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.

[1 часть] Форензика списков переходов Jump Lists в Windows 7
[1 часть] Форензика списков переходов Jump Lists в Windows 7
[1 часть] Форензика списков переходов Jump Lists в Windows 7

Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.

Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.

Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
[1 часть] Форензика списков переходов Jump Lists в Windows 7

[1 часть] Форензика списков переходов Jump Lists в Windows 7
Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)



P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю:) )
Статья будет дополниться незначительными правками.
Продолжение: Форензика списков переходов Jump Lists в Windows 10
 
Последнее редактирование модератором:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб