Clefs de registres

• Version de l'OS: SOFTWARE\Microsoft\Windows NT\CurrentVersion
• Control Set: SYSTEM\ControlSet001 (ControlSet avec lequel la machine est démarrée) - SYSTEM\ControlSet002 ("last known good" ControlSet) - HKLM\SYSTEM\CurrentControlSet (ControlSet "volatile" crée quand la machine est en cours d'utilisation)
• Nom de la machine: SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
• TimeZone: SYSTEM\CurrentControlSet\Control\TimeZoneInformation
• Configuration réseau: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
• Autoruns: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run - NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce - SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run - SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Services: SYSTEM\CurrentControlSet\Services
• Informations sur les utilisateurs: SAM\Domains\Account\Users
• Documents récents: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
• Documents récents liés à Office: NTUSER.DAT\Software\Microsoft\Office\VERSION - NTUSER.DAT\Software\Microsoft\Office\15.0\Word - NTUSER.DAT\Software\Microsoft\Office\VERSION\UserMRU\LiveID_####\FileMRU
• Recherches effectuées dans l'explorer/path accédé dans l'explorer: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths - NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery