Форензика списков переходов Jump Lists в Windows 7
https://t.me/Torchik_RuJump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.
Последние открытые:
Часто посещаемые:
Создание задачи:
Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно или какие сайты часто посещаются.
Файлы списков переходов находятся в каталогах:
C:\Users\User_NAME \AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations И C:\Users\User_NAME\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
В AutomaticDestinations хранятся списки для файлов с автоматическим определением, т.е. те которые создает и поддерживает ОС.
А в CustomDestinations файлы которые поддерживаются конкретным приложением.
Итак что же мы можем извлечь из этих файлов ?
А извлечь мы можем очень даже интересную информацию:
Время записи, создания, изменения, доступа, размер, id приложения, mac и то что вы видите на скриншотах)
P.S. На скриншотах две программы для просмотра: 1 скрин это JumpLister, на 2 срине jump_lists_view, можно еще с помощью WinHex из файлов Destinations вытащить файлы LNK, но я не стал рассматривать данный метод(так как статья станет огромной и будет мало понятно простому обывателю
[Источник]