Jump Lists
Was ist Jump Lists?
Jump ListsAnwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
Jump Lists speichern die zuletzt und haeufig genutzten Eintraege, die ein Nutzer ueber das Kontextmenue einer Taskleisten-Anwendung oeffnet. Windows fuehrt pro Nutzerprofil zwei Speicher: die von Windows erzeugten AutomaticDestinations (*.automaticDestinations-ms) und die von Anwendungen gepflegten CustomDestinations (*.customDestinations-ms). Jede Datei wird mit dem AppID-Hash der Anwendung benannt und nutzt einen OLE-Structured-Storage-Container, der LNK-aehnliche ShellLink-Streams mit vollem Pfad, MAC-Zeiten, Groesse sowie Netz- oder Volume-Metadaten enthaelt. Forensiker beweisen damit, dass ein Nutzer ein konkretes Dokument mit einem bestimmten Programm geoeffnet hat, rekonstruieren Namen geloeschter Dateien und verknuepfen Aktivitaeten mit Konten. JLECmd ist der Standard-Parser.
● Beispiele
- 01
Nachweis, dass confidential.docx vom Nutzer in Microsoft Word geoeffnet wurde, bevor die Datei exfiltriert wurde.
- 02
Wiederherstellung von URLs aus der Jump List eines Browsers, dessen Historie geloescht wurde.
● Häufige Fragen
Was ist Jump Lists?
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Jump Lists?
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
Wie funktioniert Jump Lists?
Jump Lists speichern die zuletzt und haeufig genutzten Eintraege, die ein Nutzer ueber das Kontextmenue einer Taskleisten-Anwendung oeffnet. Windows fuehrt pro Nutzerprofil zwei Speicher: die von Windows erzeugten AutomaticDestinations (*.automaticDestinations-ms) und die von Anwendungen gepflegten CustomDestinations (*.customDestinations-ms). Jede Datei wird mit dem AppID-Hash der Anwendung benannt und nutzt einen OLE-Structured-Storage-Container, der LNK-aehnliche ShellLink-Streams mit vollem Pfad, MAC-Zeiten, Groesse sowie Netz- oder Volume-Metadaten enthaelt. Forensiker beweisen damit, dass ein Nutzer ein konkretes Dokument mit einem bestimmten Programm geoeffnet hat, rekonstruieren Namen geloeschter Dateien und verknuepfen Aktivitaeten mit Konten. JLECmd ist der Standard-Parser.
Wie schützt man sich gegen Jump Lists?
Schutzmaßnahmen gegen Jump Lists kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Jump Lists?
Übliche alternative Bezeichnungen: JumpLists, AutomaticDestinations, CustomDestinations.
● Verwandte Begriffe
- forensics-ir№ 1031
Shellbags
Registry-Schluessel, die benutzerbezogene Explorer-Ordneransichten speichern und als forensischer Nachweis dienen, dass ein bestimmter Nutzer einen bestimmten Ordner geoeffnet hat, auch auf Wechselmedien oder Netzpfaden.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.