Jump Lists: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
(Anpassung von Formatierungen)
 
Zeile 1: Zeile 1:
Sprunglisten (engl. Jump Lists) erlauben einen schnellen Zugriff auf zuletzt bzw. häufig benutzte Programme und Dateien über die Taskleiste.
Sprunglisten (''engl. Jump Lists'') erlauben einen schnellen Zugriff auf zuletzt bzw. häufig benutzte Programme und Dateien über die Taskleiste.<br><br>


Die Jump Lists gibt es in 2 Ausprägungen:
Die Jump Lists gibt es in 2 Ausprägungen:


Automatic (Dateiendung: automaticDestinations-ms): Funktionalitäten des Programms
# Automatic (Dateiendung: automaticDestinations-ms): Funktionalitäten des Programms
 
# Custom (Dateiendung: customDestinations-ms): zuletzt geöffnete Dateien
Custom (Dateiendung: customDestinations-ms): zuletzt geöffnete Dateien
<br><br>
 
Die Einträge in '''AutomaticDestinations''' werden durch das Betriebssystem erstellt. Jeder Eintrag in AutomaticDestinations liegt in Form einer Datei vor. Ihr wird die AppID der assoziierten Anwendung vorangestellt und mit LNK-Dateien in jedem Stream eingebettet.<br>
Die Einträge in AutomaticDestinations werden durch das Betriebssystem erstellt. Jeder Eintrag in AutomaticDestinations liegt in Form einer Datei vor. Ihr wird die AppID der assoziierten Anwendung vorangestellt und mit LNK-Dateien in jedem Stream eingebettet.
 
Sie enthalten die häufig genutzten Dateien (MFU = most frequent unit) und die zuletzt genutzten Dateien (MRU = most recent unit).
Sie enthalten die häufig genutzten Dateien (MFU = most frequent unit) und die zuletzt genutzten Dateien (MRU = most recent unit).


Speicherort:
Speicherort (Windows 7 / 8 / 10):
<pre>C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations</pre>
<br><br>
Die Einträge in '''CustomDestinations''' werden durch einzelne Anwendungen erstellt. Die Benennung der Dateien erfolgt analog zu den AutomaticDestinations.


Win7 / 8 / 10
Speicherort (Windows 7 / 8 / 10):
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
<pre>C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations</pre>
 
Die Einträge in CustomDestinations werden durch einzelne Anwendungen erstellt. Die Benennung der Dateien erfolgt analog zu den AutomaticDestinations.
 
Speicherort:
 
Win 7 / 8 / 10
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations


<br><br>
Obwohl Sprunglisten eine Funktion des Betriebssystems sind, kann dieser Dienst selbst vom Benutzer konfiguriert werden. Die Erstellung von Sprunglisten und die Aufzeichnung der geöffneten Objekte ist standardmäßig eingeschaltet, kann aber deaktiviert werden.
Obwohl Sprunglisten eine Funktion des Betriebssystems sind, kann dieser Dienst selbst vom Benutzer konfiguriert werden. Die Erstellung von Sprunglisten und die Aufzeichnung der geöffneten Objekte ist standardmäßig eingeschaltet, kann aber deaktiviert werden.


Eingeführt wurden Jump Lists mit Microsofts Windows 7 und somit wurde auch ein neues Artefakt für die forensische Welt freigegeben. Sprunglisten sind potenziell eine wertvolle Beweisquelle, die direkt auf die Interaktionen eines Benutzers mit dem Computer verweisen können.
Eingeführt wurden Jump Lists mit Microsofts Windows 7 und somit wurde auch ein neues Artefakt für die forensische Welt freigegeben. Sprunglisten sind potenziell eine wertvolle Beweisquelle, die direkt auf die Interaktionen eines Benutzers mit dem Computer verweisen können.
[[Datei:Jump Lists.png|center|upright=0.75|mini|Beispiel einer Jump List beim Windows Explorer]]

Aktuelle Version vom 2. August 2020, 21:23 Uhr

Sprunglisten (engl. Jump Lists) erlauben einen schnellen Zugriff auf zuletzt bzw. häufig benutzte Programme und Dateien über die Taskleiste.

Die Jump Lists gibt es in 2 Ausprägungen:

  1. Automatic (Dateiendung: automaticDestinations-ms): Funktionalitäten des Programms
  2. Custom (Dateiendung: customDestinations-ms): zuletzt geöffnete Dateien



Die Einträge in AutomaticDestinations werden durch das Betriebssystem erstellt. Jeder Eintrag in AutomaticDestinations liegt in Form einer Datei vor. Ihr wird die AppID der assoziierten Anwendung vorangestellt und mit LNK-Dateien in jedem Stream eingebettet.
Sie enthalten die häufig genutzten Dateien (MFU = most frequent unit) und die zuletzt genutzten Dateien (MRU = most recent unit).

Speicherort (Windows 7 / 8 / 10):

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations



Die Einträge in CustomDestinations werden durch einzelne Anwendungen erstellt. Die Benennung der Dateien erfolgt analog zu den AutomaticDestinations.

Speicherort (Windows 7 / 8 / 10):

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations



Obwohl Sprunglisten eine Funktion des Betriebssystems sind, kann dieser Dienst selbst vom Benutzer konfiguriert werden. Die Erstellung von Sprunglisten und die Aufzeichnung der geöffneten Objekte ist standardmäßig eingeschaltet, kann aber deaktiviert werden.

Eingeführt wurden Jump Lists mit Microsofts Windows 7 und somit wurde auch ein neues Artefakt für die forensische Welt freigegeben. Sprunglisten sind potenziell eine wertvolle Beweisquelle, die direkt auf die Interaktionen eines Benutzers mit dem Computer verweisen können.

Beispiel einer Jump List beim Windows Explorer