DFIR - JumpList Forensics

jumpList nedir : kullanıcının daha önce eriştiği uygulamaları ve dosyaları listeler. Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” iki farklı JumpList oluşturur.

AutomaticDestınatıons : Kullanıcının en son eriştiği dosyalar, klasörler, ve diğer öğeler hakkında bilgileri içerir. Bu dosyalar, Windows tarafından otomatik olarak oluşturulur ve yönetilir.

CustomDestınatıons : Kullanıcının manuel olarak eklediği öğeleri içerir. Kullanıcı, sık kullanılan öğeleri doğrudan Jumplist'e ekleyebilir ve bu dosyalar aracılığıyla özelleştirebilir.

Genel olarak JumpList, Windows işletim sisteminde, kullanıcıların en son eriştiği dosyalar, klasörler veya web siteleri gibi uygulamaya özgü hızlı erişim listeleridir.

JumpList hakkında bilgi edindiğimize göre bunu parse etme aşamasına geçebiliriz ilk olarak FTK Imager den aldığımız imajı FTK Imager da açıyoruz şekilde gösterilen yere tıklayıp imajımızı açıyoruz.

imajımızı açtıktan sonra sanalmakineyedek.001 > Basic Data Partition > Root > Users > Mehmet > AppData > Roaming > Microsoft > Windows > Recent > AutomaticDestınatıons, CustomDestınatıons yoluna gidiyoruz.

AutomaticDestınatıons ve CustomDestınatıons klosörlerine geldiğimiz zaman içerisine girip ikisindede -ms uzantılı tüm dosyaları masaüstüne expoort ediyoruz

Görüldüğü üzere masaüstüne Automatic ve Custom olarak klosör içlerine -ms uzantılı dosyalar export edilmiştir.

Parse etme işlemimiz için JumpListExplorer bize yardımcı olacak toolumuzu yönetici olarak çalıştırıyoruz.

Automatic ve Custom klosörlerindeki dosyaları sırasıyla toolumuzda açıyoruz. çıktımızda (JumpList type, App ID Description, File Size, Source File Name) gibi bilgileri elde edebiliriz.