Jump Lists
O que é Jump Lists?
Jump ListsArquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
As Jump Lists armazenam itens recentes e frequentes que um usuario acessa pelo menu de contexto de cada aplicativo na barra de tarefas. O Windows mantem dois repositorios por perfil: AutomaticDestinations (*.automaticDestinations-ms), gerado pelo Windows, e CustomDestinations (*.customDestinations-ms), populado pelos aplicativos. Cada arquivo recebe o nome do hash do AppID e usa um container OLE Structured Storage que envolve streams ShellLink do tipo LNK com caminho completo, tempos MAC, tamanho e metadados de volume ou rede. Analistas forenses usam Jump Lists para provar que um usuario abriu certo documento com certo programa, recuperar nomes de arquivos ja apagados e atribuir atividade a uma conta. O parser padrao e o JLECmd.
● Exemplos
- 01
Comprovar que confidential.docx foi aberto no Microsoft Word pelo usuario antes da exfiltracao.
- 02
Recuperar URLs visitadas em um navegador com historico apagado a partir da Jump List do navegador.
● Perguntas frequentes
O que é Jump Lists?
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Jump Lists?
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
Como funciona Jump Lists?
As Jump Lists armazenam itens recentes e frequentes que um usuario acessa pelo menu de contexto de cada aplicativo na barra de tarefas. O Windows mantem dois repositorios por perfil: AutomaticDestinations (*.automaticDestinations-ms), gerado pelo Windows, e CustomDestinations (*.customDestinations-ms), populado pelos aplicativos. Cada arquivo recebe o nome do hash do AppID e usa um container OLE Structured Storage que envolve streams ShellLink do tipo LNK com caminho completo, tempos MAC, tamanho e metadados de volume ou rede. Analistas forenses usam Jump Lists para provar que um usuario abriu certo documento com certo programa, recuperar nomes de arquivos ja apagados e atribuir atividade a uma conta. O parser padrao e o JLECmd.
Como se defender contra Jump Lists?
As defesas contra Jump Lists costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Jump Lists?
Nomes alternativos comuns: JumpLists, AutomaticDestinations, CustomDestinations.
● Termos relacionados
- forensics-ir№ 1031
Shellbags
Chaves de registro que armazenam as preferencias de visualizacao de pastas do Explorer por usuario e servem como prova forense de que um usuario abriu uma pasta especifica, inclusive em midias removiveis ou caminhos de rede.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.