Jump List (Списки переходов)
Что такое Jump List (Списки переходов)?
Jump List (Списки переходов)Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
Jump List хранят недавние и часто используемые элементы, к которым пользователь обращается через контекстное меню приложения на панели задач. Windows ведёт два хранилища в профиле пользователя: AutomaticDestinations (*.automaticDestinations-ms), создаваемые системой, и CustomDestinations (*.customDestinations-ms), заполняемые самими приложениями. Имя каждого файла строится из хеша AppID, а формат — составной OLE Structured Storage, в котором заключены LNK-подобные ShellLink-потоки с полным путём, временами MAC, размером и метаданными тома или сетевого пути. Криминалисты используют Jump List, чтобы доказать факт открытия конкретного документа конкретной программой, восстановить имена удалённых файлов и привязать действия к учётной записи. Стандартный парсер — JLECmd.
● Примеры
- 01
Доказательство того, что confidential.docx был открыт пользователем в Microsoft Word до утечки.
- 02
Восстановление URL, посещённых в браузере, чья история была очищена, через его Jump List.
● Частые вопросы
Что такое Jump List (Списки переходов)?
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Jump List (Списки переходов)?
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
Как работает Jump List (Списки переходов)?
Jump List хранят недавние и часто используемые элементы, к которым пользователь обращается через контекстное меню приложения на панели задач. Windows ведёт два хранилища в профиле пользователя: AutomaticDestinations (*.automaticDestinations-ms), создаваемые системой, и CustomDestinations (*.customDestinations-ms), заполняемые самими приложениями. Имя каждого файла строится из хеша AppID, а формат — составной OLE Structured Storage, в котором заключены LNK-подобные ShellLink-потоки с полным путём, временами MAC, размером и метаданными тома или сетевого пути. Криминалисты используют Jump List, чтобы доказать факт открытия конкретного документа конкретной программой, восстановить имена удалённых файлов и привязать действия к учётной записи. Стандартный парсер — JLECmd.
Как защититься от Jump List (Списки переходов)?
Защита от Jump List (Списки переходов) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Jump List (Списки переходов)?
Распространённые альтернативные названия: JumpLists, AutomaticDestinations, CustomDestinations.
● Связанные термины
- forensics-ir№ 1031
Shellbags
Ключи реестра, хранящие пользовательские настройки представления папок в Проводнике Windows; служат доказательством того, что конкретный пользователь открывал конкретную папку, включая сменные носители и сетевые пути.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.