Jumplist(점프리스트)
■ Jump List 주요 내용
- Windows7 부터 Jumplist 기능이 추가
- 사용자의 편의성을 위한 기능
- 최근 응용프로그램 실행 시 작업표시줄에 응용프로그램이 나타남. 작업표시줄에 마우스 우클릭하면 해당 응용 프로그 램 파일 확인 가능
- Recent(최근항목): 응용프로그램을 통해 최근 열람한 파일
- Frequent(자주 사용하는 항목): 응용프로그램을 통해 자주 열람하는 파일
- Tasks(작업항목): 상황별 미디어재생, 새 문서 작성 등의 기능을 빠르게 이용하기 위한 파일
- Pinned(사용자 고정): 응용프로그램의 사용이 종료시 작업 표시줄에 응용프로그램의 아이콘을 남겨두기 위한 기능(사용 자가 자주 사용하는 응용프로램인 경우가 많다)
■ Forensic Interpretation
- 문서, 프로그램 실행 유무 판단
- 자주 사용하는 문서, 프로그램 정보 확인
- 최근에 사용한 문서, 프로그램 정보 확인
- 사용자의 행위 파악
- 정보 유출 사건 분석
■ File Path
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination
* AutomaticDestinations: 운영체제가 자동으로 남기며 최근 사용목록 및 자주 사용되는 항목을 알 수 있음.
* CustomDestination: 응용프로그램이 자체적으로 남기며 작업목록 항목을 알 수 있음.
- 파일 이름(App ID)은 16자리의 16진수 값이며 확장자는 automaticDestination-ms 이다.
■ Jumplist Artifact Analysis Using Jumplist Explorer
- Eric Zimmerman이 개발한 포렌식 툴(https://ericzimmerman.github.io/#!index.md)
- JumpList Explorer(1.4.0.0)을 다운로드(별다른 설치 없이 압축해제 후 사용하면 된다.)
- 해당 아티팩트로 얻을 수 있는 정보는 다음과 같다.
* 해당 소스 파일에 대한 경로
* 점프 리스트 타입(AutomaticDestinations & CustomDestinations)
* 해당 앱 ID & 상세 이름 (설명)
* 링크 파일 클릭 수
* 파일 크기
- New applications with their AppIDs in Windows 10.
| AppID | Application Name |
| 5f7b5f1e01b3767 | Quick Access |
| 4cb9c5750d51c07f | Movies & TV(Windows Store App) |
| a52b0784bd667468 | Photos(Windows Store App) |
| ae6df75df512bd06 | Groove Music(Windows Store App) |
| d01b4d95cf55d32a | File Explorer Windows8.1/10 |
| 9d1f905ce5044aee | Microsoft Edge Browser |
| 1a89d1befe8e90e3 | Adobe Acrobat Distiller Pro XI 32-bit 11.0.0779 |