Jump Lists
Qu'est-ce que Jump Lists ?
Jump ListsFichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.
Les Jump Lists conservent les elements recents et frequents qu'un utilisateur ouvre via le menu contextuel de chaque application dans la barre des taches. Windows maintient deux depots par profil utilisateur : AutomaticDestinations (*.automaticDestinations-ms), genere par Windows, et CustomDestinations (*.customDestinations-ms), alimente par les applications. Chaque fichier est nomme avec le hash de l'AppID et utilise un conteneur OLE Structured Storage qui encapsule des flux ShellLink de type LNK contenant le chemin complet, les temps MAC, la taille et les metadonnees de volume ou de reseau. Les analystes s'en servent pour prouver l'ouverture d'un document avec un programme precis, recuperer des noms de fichiers supprimes et relier l'activite a un compte. JLECmd est l'analyseur de reference.
● Exemples
- 01
Prouver que confidential.docx a ete ouvert dans Microsoft Word par l'utilisateur avant l'exfiltration.
- 02
Recuperer des URL visitees dans un navigateur a l'historique efface via la Jump List du navigateur.
● Questions fréquentes
Qu'est-ce que Jump Lists ?
Fichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Jump Lists ?
Fichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.
Comment fonctionne Jump Lists ?
Les Jump Lists conservent les elements recents et frequents qu'un utilisateur ouvre via le menu contextuel de chaque application dans la barre des taches. Windows maintient deux depots par profil utilisateur : AutomaticDestinations (*.automaticDestinations-ms), genere par Windows, et CustomDestinations (*.customDestinations-ms), alimente par les applications. Chaque fichier est nomme avec le hash de l'AppID et utilise un conteneur OLE Structured Storage qui encapsule des flux ShellLink de type LNK contenant le chemin complet, les temps MAC, la taille et les metadonnees de volume ou de reseau. Les analystes s'en servent pour prouver l'ouverture d'un document avec un programme precis, recuperer des noms de fichiers supprimes et relier l'activite a un compte. JLECmd est l'analyseur de reference.
Comment se défendre contre Jump Lists ?
Les défenses contre Jump Lists combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Jump Lists ?
Noms alternatifs courants : JumpLists, AutomaticDestinations, CustomDestinations.
● Termes liés
- forensics-ir№ 1031
Shellbags
Cles de registre qui stockent les preferences d'affichage par utilisateur de l'Explorateur Windows et servent de preuve qu'un utilisateur a ouvert un dossier specifique, y compris des chemins amovibles ou reseau.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.