JumpList AppID计算

  • A+
所属分类:安全工具

神秘嘉宾Wittenfeld,对12题涉及的一个知识点进行了扩展,当然,最终的答案应当以官方公布的为准,如有出入,纯属正常。


来源:信息时代的犯罪侦查,作者:嘟嘟的爸爸


〇、先附上昨天的参考文献
(1)hexacorn. JumpLists file names and AppID calculator
外链地址:
https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/
(2)Blackbag team. Windows 10 Jump List Forensics
外链地址:
https://www.blackbagtech.com/blog/windows-10-jump-list-forensics/
(3)Bhupendra Singh, Upasna Singh. A forensic insight into Windows 10 Jump Lists
外链地址:
https://cyberforensicator.com/wp-content/uploads/2017/01/1-s2.0-S1742287616300202-main.2-14.pdf
一、题目
检材中是否打开过epub电子书文件?如有,给出使用的程序名及打开的文件名。
二、工具
1、取证大师 V6.1.75290
2、X-Ways Forensics 19.9 SR-7
3、AppID calculator form hexacorn v0.2
下载地址:
https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/
4、JumpListsView v1.16
下载地址:
https://www.nirsoft.net/utils/jump_lists_view.html
三、提取到的数据
1.文件情况
C盘Recent文件夹内有“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。

JumpList AppID计算

2.最近访问的epub文件

JumpList AppID计算

其中:
1来自4d991baf44c72af0.automaticDestinations-ms;
2来自5f7b5f1e01b83767.automaticDestinations-ms;
3来自C盘Recent文件夹内“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。
3.lnk文件解析
lnk文件指向“peterDownloadsSandalwood Death_ A Novel (Chinese Literature Today Book Series).epub”。

JumpList AppID计算

4.".epub"搜索命中

JumpList AppID计算

其中关键命中为
“UserspeterAppDataRoaming360safeSoftMgrreaderdatareadercorereadercore-settings.dat”文件。
5.readercore-settings.dat文件内容

JumpList AppID计算

6.仿真查看.epub文件的默认应用
JumpList AppID计算
7.360阅读的应用程序路径为
“C:UserspeterAppDataRoaming360safeSoftMgrreaderReader.exe”

JumpList AppID计算


四、JumpList分析
JumpList保存在
“Users<username>AppDataRoamingMicrosoftWindowsRecent”文件夹下。其分为automatic和custom两种类型,分别对应“AutomaticDestinations-ms”和“CustomDestinations-ms”。
JumpList使用AppID作为文件名,保存对应应用程序的最近访问记录。其中AppID“5f7b5f1e01b83767”为系统应用Quick Access(快速访问)。
使用“360阅读”打开任意epub文件,使用jumplistview查看相关信息,确认“360阅读”的AppID为“4d991baf44c72af0”。

JumpList AppID计算

五、AppID的计算
1.AppID的分类
根据微软的文档,Application User Model IDs (AppUserModelIDs)分为应用程序定义(Application-Defined)和操作系统定义(System-Defined)两种。应用程序可以为自己定义一个固定的AppID。如果没有定义,则操作系统会按照一定的算法计算AppID。
2.AppID的算法
根据hexacorn的JumpLists file names and AppID calculator一文,AppID可以通过CRC64进行计算,但需要遵守下列规则:
  • 将应用程序的路径转换为Unicode

  • 如果应用程序的路径为特定路径,则将路径转换为KNOWNFOLDERID

  • 计算只对没有定义AppID的程序适用

  • CRC64算法使用非标准多项式,多项式为0x92C64265D32139A4

    同时hexacorn在文章中附上了一个计算脚本。

3.实际计算

JumpList AppID计算

%USERPROFILE%AppDataRoaming目录的KNOWNFOLDERID为{3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}
所以的实际计算是
CRC64({3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}360SAFESOFTMGRREADERReader.exe)。
本来以为是脚本问题或是Windows10改变了算法,但今天再次测试时想到了一种可能性,如果不计算KNOWNFOLDERID,会得到怎样的结果。简单对脚本进行了修改,再次进行计算。

JumpList AppID计算

所以计算某些应用程序的AppID时,KNOWNFOLDERID不进行转换。
六、更多测试

JumpList AppID计算

Winrar

JumpList AppID计算

需要进行KNOWNFOLDERID转换。
WPS
WPS的路径为
“C:Program Files (x86)KingsoftWPS Office11.3.0.8775office6wps.exe”,
其中包含版本号。经测试,将WPS升级后,路径发生变化,但AppID仍为579438f135536aec,可以确定WPS为应用程序定义的AppID。
七、AppID的确认
1.实际安装测试
2.通过网络查询
List of Jump List IDs
外链地址:
https://forensicswiki.xyz/wiki/index.php?title=List_of_Jump_List_IDs
JumpList
外链地址:
https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt
3.使用脚本计算
八、其他
Winrar
1.双击打开zip文件,JumpList记录*
2.Winrar直接右键解压zip文件,JumpList不记录
3.Winrar界面中打开zip文件,JumpList记录
WPS
1.双击打开docx文件,JumpList记录
2.WPS中打开docx文件,JumpList记录
3.WPS中拖入docx文件,JumpList不记录
4.在WPS中拖入docx文件后中另存文件,WPS的JumpList不记录,Quick Access记录


编者注1上述JumpList记录是指应用程序和Quick Access的JumpList都进行记录。
编者注2由于订阅号内无法直接外链,本号把外链地址放在对应的锚点后面,特此声明。


JumpList AppID计算

法部电子数据能力验证(2020年)第15题涉及的细节与陷阱

一个“字”反映“图像处理及分析”的基本功

JumpList AppID计算

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: