13、Windows系统文件分析：Jump Lists、休眠文件与应用文件解析

Windows系统文件分析：Jump Lists、休眠文件与应用文件解析

计划任务日志文件

计划任务日志文件名为 “SchedLgU.txt”，默认大小为32KB。在Windows 2003及更高版本中，它位于 “\Windows\Tasks” 目录；在Windows XP中，它位于 “\Windows” 目录。该文件通常包含任务调度程序服务启动或退出的记录，这有助于确定系统的运行时间。此外，它还可能记录已执行的各种任务及其退出代码。在某些入侵事件中，即使任务完成后被删除，相关记录仍会保留在该文件中，可用于关联其他事件。

Jump Lists

Jump Lists是Windows 7引入的新功能，它是用户最近打开文件的列表，按打开文件的应用程序进行组织，类似于RecentDocs注册表项。用户可以通过右键单击任务栏上的程序图标来查看最近访问的文档和文件。不同程序的Jump Lists显示内容不同，如IE显示URL，MS Word显示文档。用户还可以通过“固定”操作将特定项目保留在Jump Lists中。

从分析人员的角度来看，用户的Jump Lists保存在用户配置文件中的 “AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations” 文件夹中。Jump Lists文件以16个十六进制字符开头，后跟 “.automaticDestinations - ms”，前16个字符是“应用程序标识符”（AppID），用于标识特定应用程序。例如：
- “b3f13480c2785ae” 对应 “Paint.exe”
- “adecfb853d77462a” 对应 MS Word 2007