점프리스트
응용 프로그램 별로 그룹화하고, 최근에 실행한 파일에 대한 Link를 관리하는 파일이다. Windows 7부터 추가된 Artifact이며, 유사한 Artifact로는 UserAssist, Recent등이 존재한다. 다만 이것들보다 더 지역성의 원리를 활용한 기능이다.
응용프로그램 실행 시, 작업 표시줄에 표시되는 아이콘을 우클릭했을 때 최근 항목, 작업 항목, 자주 사용하는 항목, 사용자 고정 목록이 바로 점프리스트이다.
사용자가 의도하고 삭제하지 않는 한, 계속 관련한 정보들을 기록하기 때문에 다음과 같은 정보들을 얻을 수 있다.
1. File 실행 여부
2. 자주 사용하는 File
3. 최근 사용한 File
- .lnk
점프리스트 경로
File에 대한 링크
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
최근 사용 목록(Recent), 사용자가 고정시킨 목록
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
자주 사용된 목록(Frequent), 작업(Task) 목록
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
AutomaticDestinations
OS가 자동으로 남기는 항목
최근 사용 목록(Recent), 사용자가 고정한 항목(Pinned)
CustomDestinations
자주 사용된 목록(Frequent), 작업목록(Tasks)
- Automatic Destinations 폴더
파일 이름이 뭔가 이상하지만, 응용프로그램 별로 고유의 값들을 가지고 있다. 무작위 값은 아니다. 다음의 사이트에서 각 응용프로그램 별 점프 파일을 확인할 수 있다.
https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt
- Custom Destinations 폴더
보는 것 처럼, 확장자 명이 다른 것 말고는 제목이 이상한 건 똑같다.
Automatic Destinations는 Compound Document 형식을 사용하는 반면, Custom Destinations는 자체 포맷을 사용하고 있다. 즉 표준 파일 구조가 없다는 뜻이다. 표준 파일 구조가 없으니까 도구로도 분석이 용이하지가 않다.
두 Destinations는 모두 공통으로, 내부에 .lnk 파일을 포함하고 있다.
- Automatic Destinations : 각 파일은 SHLLINK 스트림과 1 개의 DestList 스트림으로 구성되어 있다.
작성중
- Jumplister 등의 Tool 이 존재한다.
Jumlister로 Automatic Destinations를 분석한 모습.
출처 : https://bonggang.tistory.com/120
https://whitesnake1004.tistory.com/597
