読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(33) Jump Lists

フォレンジック

Jump Listsには、AutomaticDestinationsフォルダとは別にCustomDestinationsフォルダがあり、こちらにも 4119a98bddddcdb4.customDestinations-ms といったファイルが保存されています。
AutomaticDestinations は CFB 形式でしたが、customDestinations の内部構造としては SHLINK 構造が複数存在する状況になっています。以下は 4119a98bddddcdb4.customDestinations-ms ファイルの先頭部分を抜粋したものになります。

02 00 00 00 03 00 00 00 00 00 00 00 00 00 00 00
0B 00 88 30 4F 30 A2 30 AF 30 BB 30 B9 30 59 30
8B 30 DA 30 FC 30 B8 30 04 00 00 00 01 14 02 00
00 00 00 00 C0 00 00 00 00 00 00 46 4C 00 00 00
01 14 02 00 00 00 00 00 C0 00 00 00 00 00 00 46
E3 40 20 00 20 20 00 00 6E 51 F2 D9 F0 2B CC 01
30 52 CD A4 65 87 CF 01 C2 31 02 41 C6 80 CF 01
48 21 0D 00 00 00 00 00 01 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00

上記のうち、下記のバイト列部分は Unicode で“よくアクセスするページ”という文字列になります。

88 30 4F 30 A2 30 AF 30 BB 30 B9 30 59 30 8B 30
DA 30 FC 30 B8 30

この続きに、4C 00 00 00 があり、これがHeaderSizeになります。この次にLinkCLSID (16 bytes):00021401-0000-0000-C000-000000000046 が続きますので、この LinkCLSID が目印になるかと思います。

例えば、JumpLister ツールを利用すれば、customDestinations ファイル内に複数含まれている SHLINK 構造をパースした結果を簡単に確認する事が可能ですね。

JumpLister
http://www.woanware.co.uk/forensics/jumplister.html