JumpList AppID计算

神秘嘉宾Wittenfeld，对12题涉及的一个知识点进行了扩展，当然，最终的答案应当以官方公布的为准，如有出入，纯属正常。

---

来源：信息时代的犯罪侦查，作者：嘟嘟的爸爸

〇、先附上昨天的参考文献

（1）hexacorn. JumpLists file names and AppID calculator

外链地址：

https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/

（2）Blackbag team. Windows 10 Jump List Forensics

外链地址：

https://www.blackbagtech.com/blog/windows-10-jump-list-forensics/

（3）Bhupendra Singh, Upasna Singh. A forensic insight into Windows 10 Jump Lists

外链地址:

https://cyberforensicator.com/wp-content/uploads/2017/01/1-s2.0-S1742287616300202-main.2-14.pdf

一、题目

检材中是否打开过epub电子书文件？如有，给出使用的程序名及打开的文件名。

二、工具

1、取证大师 V6.1.75290

2、X-Ways Forensics 19.9 SR-7

3、AppID calculator form hexacorn v0.2

下载地址:

https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/

4、JumpListsView v1.16

下载地址:

https://www.nirsoft.net/utils/jump_lists_view.html

三、提取到的数据

1.文件情况

C盘Recent文件夹内有“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。

2.最近访问的epub文件

其中：

1来自4d991baf44c72af0.automaticDestinations-ms；

2来自5f7b5f1e01b83767.automaticDestinations-ms；

3来自C盘Recent文件夹内“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。

3.lnk文件解析

lnk文件指向“peterDownloadsSandalwood Death_ A Novel (Chinese Literature Today Book Series).epub”。

4.".epub"搜索命中

其中关键命中为

“UserspeterAppDataRoaming360safeSoftMgrreaderdatareadercorereadercore-settings.dat”文件。

5.readercore-settings.dat文件内容

6.仿真查看.epub文件的默认应用

7.360阅读的应用程序路径为

“C:UserspeterAppDataRoaming360safeSoftMgrreaderReader.exe”

四、JumpList分析

JumpList保存在

“Users<username>AppDataRoamingMicrosoftWindowsRecent”文件夹下。其分为automatic和custom两种类型，分别对应“AutomaticDestinations-ms”和“CustomDestinations-ms”。

JumpList使用AppID作为文件名，保存对应应用程序的最近访问记录。其中AppID“5f7b5f1e01b83767”为系统应用Quick Access（快速访问）。

使用“360阅读”打开任意epub文件，使用jumplistview查看相关信息，确认“360阅读”的AppID为“4d991baf44c72af0”。

五、AppID的计算

1.AppID的分类

根据微软的文档，Application User Model IDs (AppUserModelIDs)分为应用程序定义（Application-Defined）和操作系统定义（System-Defined）两种。应用程序可以为自己定义一个固定的AppID。如果没有定义，则操作系统会按照一定的算法计算AppID。

2.AppID的算法

根据hexacorn的JumpLists file names and AppID calculator一文，AppID可以通过CRC64进行计算，但需要遵守下列规则：

• 将应用程序的路径转换为Unicode

• 如果应用程序的路径为特定路径，则将路径转换为KNOWNFOLDERID

• 计算只对没有定义AppID的程序适用

• CRC64算法使用非标准多项式，多项式为0x92C64265D32139A4

  同时hexacorn在文章中附上了一个计算脚本。

3.实际计算

%USERPROFILE%AppDataRoaming目录的KNOWNFOLDERID为{3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}

所以的实际计算是

CRC64({3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}360SAFESOFTMGRREADERReader.exe)。

本来以为是脚本问题或是Windows10改变了算法，但今天再次测试时想到了一种可能性，如果不计算KNOWNFOLDERID，会得到怎样的结果。简单对脚本进行了修改，再次进行计算。

所以计算某些应用程序的AppID时，KNOWNFOLDERID不进行转换。

六、更多测试

Winrar

需要进行KNOWNFOLDERID转换。

WPS

WPS的路径为

“C:Program Files (x86)KingsoftWPS Office11.3.0.8775office6wps.exe”，

其中包含版本号。经测试，将WPS升级后，路径发生变化，但AppID仍为579438f135536aec，可以确定WPS为应用程序定义的AppID。

七、AppID的确认

1.实际安装测试

2.通过网络查询

List of Jump List IDs

外链地址：

https://forensicswiki.xyz/wiki/index.php?title=List_of_Jump_List_IDs

JumpList

外链地址：

https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt

3.使用脚本计算

八、其他

Winrar

1.双击打开zip文件，JumpList记录*

2.Winrar直接右键解压zip文件，JumpList不记录

3.Winrar界面中打开zip文件，JumpList记录

WPS

1.双击打开docx文件，JumpList记录

2.WPS中打开docx文件，JumpList记录

3.WPS中拖入docx文件，JumpList不记录

4.在WPS中拖入docx文件后中另存文件，WPS的JumpList不记录，Quick Access记录

【编者注1】上述JumpList记录是指应用程序和Quick Access的JumpList都进行记录。

【编者注2】由于订阅号内无法直接外链，本号把外链地址放在对应的锚点后面，特此声明。

法部电子数据能力验证（2020年）第15题涉及的细节与陷阱

一个“字”反映“图像处理及分析”的基本功