Pillole di Analisi Forense: Taskbar Jumplist
- Andrea Covino
- Visite: 4190
#Analisforense
#TaskbarJumplist
Una delle fasi dell’analisi forense è quella di identificare le interazioni di un utente con il computer.
Cosa è stato fatto al pc?
Quali file sono stati usati?
Un artefatto utile a tale scopo sono le #Jumplist.
Le #Jumplist tengono traccia dei file a cui accede un utente, quindi saranno utili nella maggior parte degli esami in cui le azioni di un utente sul computer sono al centro dell'analisi.
I file della #JumpList vengono creati per utente e individuati nella directory #AppData in uno specifico path, vengono organizzati in due cartelle #AutomaticDestinations-ms e #CustomDestinationsCustomDestinations-ms, queste contengono un file distinto per ogni applicazione.
In questi file sono contenuti i metadati come #timestamp e, tutte le informazioni utili ad una indagine.
#TaskbarJumplist
Una delle fasi dell’analisi forense è quella di identificare le interazioni di un utente con il computer.
Cosa è stato fatto al pc?
Quali file sono stati usati?
Un artefatto utile a tale scopo sono le #Jumplist.
Le #Jumplist tengono traccia dei file a cui accede un utente, quindi saranno utili nella maggior parte degli esami in cui le azioni di un utente sul computer sono al centro dell'analisi.
I file della #JumpList vengono creati per utente e individuati nella directory #AppData in uno specifico path, vengono organizzati in due cartelle #AutomaticDestinations-ms e #CustomDestinationsCustomDestinations-ms, queste contengono un file distinto per ogni applicazione.
In questi file sono contenuti i metadati come #timestamp e, tutte le informazioni utili ad una indagine.