Jump Lists
¿Qué es Jump Lists?
Jump ListsArchivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
Las Jump Lists almacenan los elementos recientes y frecuentes a los que un usuario accede mediante el menu contextual de cada aplicacion en la barra de tareas. Windows mantiene dos repositorios por perfil de usuario: AutomaticDestinations (*.automaticDestinations-ms), generado por Windows, y CustomDestinations (*.customDestinations-ms), poblado por las aplicaciones. Cada archivo se nombra con el hash del AppID y emplea un contenedor OLE Structured Storage compuesto que envuelve flujos tipo LNK ShellLink con la ruta completa, tiempos MAC, tamano y metadatos de red o volumen. Los forenses los usan para demostrar que un usuario abrio un documento concreto con un programa concreto, recuperar nombres de archivos ya borrados y vincular actividad a una cuenta. El parser estandar es JLECmd.
● Ejemplos
- 01
Probar que confidential.docx se abrio en Microsoft Word por el usuario antes de la exfiltracion.
- 02
Recuperar URLs visitadas en un navegador con historial borrado a traves de la Jump List del navegador.
● Preguntas frecuentes
¿Qué es Jump Lists?
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Jump Lists?
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
¿Cómo funciona Jump Lists?
Las Jump Lists almacenan los elementos recientes y frecuentes a los que un usuario accede mediante el menu contextual de cada aplicacion en la barra de tareas. Windows mantiene dos repositorios por perfil de usuario: AutomaticDestinations (*.automaticDestinations-ms), generado por Windows, y CustomDestinations (*.customDestinations-ms), poblado por las aplicaciones. Cada archivo se nombra con el hash del AppID y emplea un contenedor OLE Structured Storage compuesto que envuelve flujos tipo LNK ShellLink con la ruta completa, tiempos MAC, tamano y metadatos de red o volumen. Los forenses los usan para demostrar que un usuario abrio un documento concreto con un programa concreto, recuperar nombres de archivos ya borrados y vincular actividad a una cuenta. El parser estandar es JLECmd.
¿Cómo defenderse de Jump Lists?
Las defensas contra Jump Lists combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Jump Lists?
Nombres alternativos comunes: JumpLists, AutomaticDestinations, CustomDestinations.
● Términos relacionados
- forensics-ir№ 1031
Shellbags
Claves de registro que almacenan los ajustes de vista de carpetas del Explorador por usuario y demuestran que un usuario concreto abrio una carpeta especifica, incluidas rutas externas y de red.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.