Экпертизы:Реестр

Где можно найти интересное с реестра

Следы Windows

Информация об установках:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Installations"

Когда стаят вопрос о следах работы программ я обычно открываю "NTUSER.DAT", и ищу в нем строки типа "MRU" - часто находятся списки файлов, открывавшихся какой либо программой. Например для офиса - списки последних открывавшихся файлов:

"HKEY_CURRENT_USER\Software\Microsoft\Office\1X.0\[Word]/[Excel]\File MRU" 

В случае смены MAC искать его можно тут:
1) В кусте "Windows Genuine Advantage" ветка реестра HKLM\SOFTWARE\Microsoft\Windows Genuine Advantage
2)В кусте HKLM\SYSTEM\ControlSet00x\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} - 000x в этих разделах параметром "NetworkAddress" задается MAC-адрес.

История сторонних программ

WinRAR:

HKEY_CURRENT_USER\Software\WinRAR