SANS ポスター:Windows Artifact Analysis(29) Jump Lists
Jump Listsファイルの内部では、データとして MS-SHLINK 構造でデータが保存されていますが、ShellLinkHeader の後には(ヘッダ内のLinkFlagsの値に依存しますが)LinkTargetIDList と LinkInfo 構造が続く事になります。
下記は ShellLinkHeader の後に続いている LinkTargetIDList を抜粋したものになります。
先頭 2バイト 36 00 が IDListSize ですので、IDlist が 54byte あることになります。36 00 以降に続く 54byte が IDList で中身としては ItemIDList と TerminalID です。TerminalID は 2バイトですがここはゼロになります。
36 00 14 00 1F 42 25 48 1E 03 94 7B C3 4D B1 31
E9 46 B4 4C 8D D5 20 00 00 00 1A 00 EE BB FE 23
00 00 10 00 7D B1 0D 7B D2 9C 93 4A 97 33 46 CC
89 02 2E 7C 00 00 00 00
上記の 36 00 に続く ItemID は、ItemIDSizeとDataになります。上記では 14 00 がサイズで 20byte のデータがあると分かります。次が 20 00 でデータが 32byte あるという事になります。結果的に上記の LinkTargetIDlist をパースすると、以下の二つの ItemID になります。
14 00 1F 42 25 48 1E 03 94 7B C3 4D B1 31 E9 46
B4 4C 8D D520 00 00 00 1A 00 EE BB FE 23 00 00 10 00 7D B1
0D 7B D2 9C 93 4A 97 33 46 CC 89 02 2E 7C 00 00