@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(23) Jump Lists

Program Execution カテゴリにある Win7 Jump Lists について確認してみます。Windows 7 の Jump リストはポスターの Location で示されている下記パス配下に存在しています。

C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
[AppID].automaticDestinations-ms

C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
[AppID].customDestinations-ms

 

AutomaticDestinationsとCustomDestinationsがフォルダとして存在しています。ファイル内部の構造については、Forensic Focus の Web で詳細が説明されていますので、そちらが参考になります。

Forensic Analysis of Windows 7 Jump Lists
http://articles.forensicfocus.com/2012/10/30/forensic-analysis-of-windows-7-jump-lists/

Jumpリストファイルをパース出来るツールとしては、TZworks の jmp と JumpListerなどがあります。

Windows Jump List Parser (jmp)
https://www.tzworks.net/prototype_page.php?proto_id=20

JumpLister
http://www.woanware.co.uk/forensics/jumplister.html

 jmpとJumpListerを使い比べると、jmp の方がパースしてくれる印象がありますが、データによってはエラーとなり、JumpListerでロード可能な場合があります。

いずれのツールを利用した場合でも、ジャンプリストのファイルを直接 RAW で見た場合には、出力されていないデータを発見できる場合があります。


Jump Lists
http://www.forensicswiki.org/wiki/Jump_Lists

List of Jump List IDs
http://www.forensicswiki.org/wiki/List_of_Jump_List_IDs