跳转列表 (Jump Lists)
跳转列表 (Jump Lists) 是什么?
跳转列表 (Jump Lists)按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
跳转列表保存用户通过任务栏应用程序右键菜单访问过的最近项和常用项。Windows 在每个用户配置文件下维护两套存储:由 Windows 生成的 AutomaticDestinations (*.automaticDestinations-ms) 和由应用自行写入的 CustomDestinations (*.customDestinations-ms)。每个文件以应用的 AppID 哈希命名,采用复合 OLE Structured Storage 容器,内部封装了类似 LNK 的 ShellLink 流,包含完整路径、MAC 时间、文件大小以及网络或卷的元数据。取证人员利用跳转列表证明用户用某程序打开过某文档、恢复已删除文件名,并将活动归因到具体账户。标准解析工具是 JLECmd。
● 示例
- 01
在数据外泄前,证明用户曾在 Microsoft Word 中打开 confidential.docx。
- 02
通过浏览器的跳转列表恢复用户访问过但历史记录已被清空的 URL。
● 常见问题
跳转列表 (Jump Lists) 是什么?
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。 它属于网络安全的 取证与应急响应 分类。
跳转列表 (Jump Lists) 是什么意思?
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
跳转列表 (Jump Lists) 是如何工作的?
跳转列表保存用户通过任务栏应用程序右键菜单访问过的最近项和常用项。Windows 在每个用户配置文件下维护两套存储:由 Windows 生成的 AutomaticDestinations (*.automaticDestinations-ms) 和由应用自行写入的 CustomDestinations (*.customDestinations-ms)。每个文件以应用的 AppID 哈希命名,采用复合 OLE Structured Storage 容器,内部封装了类似 LNK 的 ShellLink 流,包含完整路径、MAC 时间、文件大小以及网络或卷的元数据。取证人员利用跳转列表证明用户用某程序打开过某文档、恢复已删除文件名,并将活动归因到具体账户。标准解析工具是 JLECmd。
如何防御 跳转列表 (Jump Lists)?
针对 跳转列表 (Jump Lists) 的防御通常结合技术控制与运营实践,详见上方完整定义。
跳转列表 (Jump Lists) 还有哪些其他名称?
常见的别称包括: JumpLists, AutomaticDestinations, CustomDestinations。
● 相关术语
- forensics-ir№ 1031
Shellbags
保存每个用户在 Windows 资源管理器中文件夹视图设置的注册表键,可作为该用户访问过特定文件夹的取证证据,包括可移动介质和网络路径。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。