automatic-destinations-file

Windows Automatic Destinations（自動配置先）ファイルから LNK（ショートカット）エントリを解析して、最近使用したファイルの記録を取得します。Automatic Destinations ファイルは、Windows 7 以降でジャンプリストの自動エントリを OLE 複合ファイル形式で保存しており、%APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations ディレクトリに存在します。

コマンドプロパティ

項目	説明
コマンドタイプ	ドライバークエリ
必要な権限	なし
ライセンス使用量	集計あり
並列実行	非対応
分散実行	非対応

構文

automatic-destinations-file [zippath=STR] [zipcharset=STR] [codepage=STR] FILE_PATH

オプション

zippath=STR: ZIP ファイルのパス。分析対象ファイルが ZIP アーカイブ内にある場合、ZIP ファイルのパスを指定します。
zipcharset=STR: ZIP エントリ名の文字セット（デフォルト: utf-8）。
codepage=STR: Windows デフォルトコードページ。LNK ファイル内部の ANSI 文字列をデコードする際に使用します（デフォルト: euc-kr）。

対象

FILE_PATH: Automatic Destinations ファイルのパス。ワイルドカード（*）を使用して複数のファイルを一度に取得できます。zippathオプションと併用する場合は ZIP ファイル内部のパスを指定します。

出力フィールド

フィールド	タイプ	説明
`_file`	string	元の Automatic Destinations ファイル名
`app_id`	string	アプリケーション名。ファイル名の App ID に基づいて参照した値
`file_ctime`	timestamp	元のファイルの作成日時
`file_mtime`	timestamp	元のファイルの更新日時
`file_atime`	timestamp	元のファイルのアクセス日時
`target_file_size`	long	対象ファイルサイズ（バイト）
`target_file_attrs`	array	対象ファイル属性のリスト。`READONLY`、`HIDDEN`、`SYSTEM`、`DIRECTORY`、`ARCHIVE`、`DEVICE`、`NORMAL`、`TEMPORARY`、`SPARSE_FILE`、`REPARSE_POINT`、`COMPRESSED`、`OFFLINE`、`NOT_CONTENT_INDEXED`、`ENCRYPTED`、`VIRTUAL` のうち該当する値
`target_file_ctime`	timestamp	対象ファイルの作成日時
`target_file_mtime`	timestamp	対象ファイルの更新日時
`target_file_atime`	timestamp	対象ファイルのアクセス日時
`drive_serial`	long	ボリュームシリアル番号
`drive_type`	string	ドライブタイプ。`DRIVE_UNKNOWN`、`DRIVE_NO_ROOT_DIR`、`DRIVE_REMOVABLE`、`DRIVE_FIXED`、`DRIVE_REMOTE`、`DRIVE_CDROM`、`DRIVE_RAMDISK` のいずれか
`volume_label`	string	ボリュームラベル
`local_path`	string	対象ファイルのローカルパス（ANSI）
`local_path_unicode`	string	対象ファイルのローカルパス（Unicode）
`net_name`	string	ネットワーク共有名
`common_path_suffix`	string	共通パスサフィックス
`show_window`	string	ウィンドウ表示方式。`SHOW_NORMAL`、`SHOW_MAXIMIZED`、`SHOW_MINIMIZED` など
`shortcut_name`	string	ショートカット名
`working_dir`	string	作業ディレクトリのパス
`relative_path`	string	相対パス
`cmd_args`	string	コマンドライン引数
`icon_location`	string	アイコンの場所
`hot_key`	string	ショートカットキーの組み合わせ

エラーコード

パースエラー

該当なし

ランタイムエラー

エラーコード	メッセージ	説明	後処理動作
-	cannot read automatic destinations file [FILE_PATH]	ファイルの読み取りまたは解析中にエラーが発生した場合	クエリを中断

説明

automatic-destinations-fileコマンドは、Windows の Automatic Destinations ファイルを OLE 複合ファイルとして解析し、内部に含まれる LNK（ショートカット）エントリを取得します。1つの Automatic Destinations ファイルには複数の LNK エントリが含まれる場合があり、各エントリが1レコードとして出力されます。

ファイル名から App ID を抽出し、内蔵の App ID マッピングテーブルと照合します。マッピングに成功するとapp_idフィールドにアプリケーション名を割り当てます。

使用例

単一の Automatic Destinations ファイルを取得

automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\f01b4d95cf55d32a.automaticDestinations-ms

指定した Automatic Destinations ファイルから LNK エントリを取得します。

ワイルドカードで複数のファイルを取得
```
automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms
```
AutomaticDestinationsディレクトリ内のすべての Automatic Destinations ファイルを取得します。
ZIP アーカイブ内のファイルを取得
```
automatic-destinations-file zippath=D:\evidence\artifacts.zip AutomaticDestinations\*.automaticDestinations-ms
```
ZIP アーカイブ内の Automatic Destinations ファイルを取得します。

コードページを指定して取得

automatic-destinations-file codepage=utf-8 C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms

コードページをutf-8に指定して ANSI 文字列をデコードします。

特定アプリケーションの最近使用したファイルを取得
```
automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms
| search app_id == "Microsoft Word"
```
アプリケーション名がMicrosoft Wordのエントリのみフィルタリングします。