Estou realizando uma investigação forense em uma imagem de disco rígido do sistema Windows 7. Até agora eu passei pelo Registro do Windows e encontrei essas chaves:
F:\[root]\Windows\System32\config\SOFTWARE:
Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
(Contains some of the installed programs but nothing about installation
dates)
F:\[root]\Windows\System32\config\SOFTWARE:
Microsoft\Windows\CurrentVersion\App Paths
(Like the previous key, does not contain installation dates but it does list
some of the installed programs)
Observe que as chaves UserAssist e comdlg32 não estão presentes no sistema.
Onde mais posso procurar informações sobre o programa instalado (e a data de instalação)?