跳转列表 (Jump Lists)
跳转列表 (Jump Lists) 是什么?
跳转列表 (Jump Lists)按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
跳转列表保存用户通过任务栏应用程序右键菜单访问过的最近项和常用项。Windows 在每个用户配置文件下维护两套存储:由 Windows 生成的 AutomaticDestinations (.automaticDestinations-ms) 和由应用自行写入的 CustomDestinations (.customDestinations-ms)。每个文件以应用的 AppID 哈希命名,采用复合 OLE Structured Storage 容器,内部封装了类似 LNK 的 ShellLink 流,包含完整路径、MAC 时间、文件大小以及网络或卷的元数据。取证人员利用跳转列表证明用户用某程序打开过某文档、恢复已删除文件名,并将活动归因到具体账户。标准解析工具是 JLECmd。
● 示例
- 01
在数据外泄前,证明用户曾在 Microsoft Word 中打开 confidential.docx。
- 02
通过浏览器的跳转列表恢复用户访问过但历史记录已被清空的 URL。
● 常见问题
跳转列表 (Jump Lists) 是什么?
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。 它属于网络安全的 取证与应急响应 分类。
跳转列表 (Jump Lists) 是什么意思?
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
如何防御 跳转列表 (Jump Lists)?
针对 跳转列表 (Jump Lists) 的防御通常结合技术控制与运营实践,详见上方完整定义。
跳转列表 (Jump Lists) 还有哪些其他名称?
常见的别称包括: JumpLists, AutomaticDestinations, CustomDestinations。