Форензика списков переходов Jump Lists в Windows 7

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.

Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.

В отличии от ярлыков они несут в себе больше информации.

Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.

Последние открытые:

Часто посещаемые:

Создание задачи:

Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.

Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.

Файлы списков переходов находятся в каталогах:

C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
И
C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.

А в CustomDestinations файлы которые поддерживаются конкретным приложением.

Итак что же мы можем извлечь из этих файлов ?

А извлечь мы можем очень даже интересную информацию:

Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)

P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю

[Источник]