アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(35) Jump Lists

AutomaticDestinations、CustomDestinationsは共にファイル名にアプリケーションのIDが付与されます。

このIDについては、既知のリストが下記で参照できますので、この値からどのアプリケーションのJummp Listであるかを確認する事が出来ます。

List of Jump List IDs
http://www.forensicswiki.org/wiki/List_of_Jump_List_IDs

別途、この AppID を算出できるツール appid_calc.pl も出ています。

単純にパスの文字列だけが使われる場合だけでなく、アプリケーション ユーザー モデル ID (AppID)形式?や、KNOWNFOLDERIDを使ったパターンもあるようですので、パスで値が一致しない場合には工夫する必要がありそうです。

 

JumpLists file names and AppID calculator
http://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/

KNOWNFOLDERID

http://msdn.microsoft.com/en-us/library/windows/desktop/dd378457%28v=vs.85%29.aspx

jumplistforensics.pdf

https://github.com/blakelyh/Jumplist/blob/master/doc/references/Forensics/jumplistforensics.pdf