Jump Lists

Aus IT-Forensik Wiki

Sprunglisten (engl. Jump Lists) erlauben einen schnellen Zugriff auf zuletzt bzw. häufig benutzte Programme und Dateien über die Taskleiste.

Die Jump Lists gibt es in 2 Ausprägungen:

  1. Automatic (Dateiendung: automaticDestinations-ms): Funktionalitäten des Programms
  2. Custom (Dateiendung: customDestinations-ms): zuletzt geöffnete Dateien



Die Einträge in AutomaticDestinations werden durch das Betriebssystem erstellt. Jeder Eintrag in AutomaticDestinations liegt in Form einer Datei vor. Ihr wird die AppID der assoziierten Anwendung vorangestellt und mit LNK-Dateien in jedem Stream eingebettet.
Sie enthalten die häufig genutzten Dateien (MFU = most frequent unit) und die zuletzt genutzten Dateien (MRU = most recent unit).

Speicherort (Windows 7 / 8 / 10):

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations



Die Einträge in CustomDestinations werden durch einzelne Anwendungen erstellt. Die Benennung der Dateien erfolgt analog zu den AutomaticDestinations.

Speicherort (Windows 7 / 8 / 10):

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations



Obwohl Sprunglisten eine Funktion des Betriebssystems sind, kann dieser Dienst selbst vom Benutzer konfiguriert werden. Die Erstellung von Sprunglisten und die Aufzeichnung der geöffneten Objekte ist standardmäßig eingeschaltet, kann aber deaktiviert werden.

Eingeführt wurden Jump Lists mit Microsofts Windows 7 und somit wurde auch ein neues Artefakt für die forensische Welt freigegeben. Sprunglisten sind potenziell eine wertvolle Beweisquelle, die direkt auf die Interaktionen eines Benutzers mit dem Computer verweisen können.

Beispiel einer Jump List beim Windows Explorer