Il database centrale di Windows. Contiene configurazioni, password salvate, cronologia.
Obiettivo
Estrarre informazioni sui dispositivi USB.
USBSTOR
Ogni volta che colleghi una chiavetta USB, Windows salva marca, modello e numero di serie nel registro (coordinata: HKLM/SYSTEM/CurrentControlSet/Enum/USBSTOR).
Caso d'Uso: Puoi provare che ESATTAMENTE quella chiavetta specifica (trovata in tasca all'indagato) è stata collegata a QUEL computer il giorno del furto dei dati.