- 설치된 프로그램 목록 확인
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

- 하위 키는 설치된 응용 프로그램의 SID
- 하위 키를 통해 설치된 프로그램의 이름, 버전, 게시자. 설치 시각, 설치 위치, 소스 경로 등 확인 가능

- 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 확인
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

- 하위 키에 GUID 기반의 여러 가지 키 존재

- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count - 값의 이름이 ROT13 방식으로 인코딩되어 있어 디코딩 필요.

Ex) {6Q809377-6NS0-444O-8957-N3773S02200R}\Zntarg Sberafvpf\Zntarg NKVBZ\NKVBZ Rknzvar\NKVBZRknzvar.rkr
{6D809377-6AF0-444B-8957-A3773F02200E}\Magnet Forensics\Magnet AXIOM\AXIOM Examine\AXIOMExamine.exe

- 실제 레지스트리 경로를 찾아가 설치된 프로그램 목록 확인

- 하위 키는 설치된 응용 프로그램의 SID
- 하위 키를 통해 설치된 프로그램의 이름, 버전, 게시자. 설치 시각, 설치 위치, 소스 경로 등 확인 가능

- 실제 레지스트리 경로를 찾아가지 않고 설치된 프로그램의 이름, 버전, 게시자. 설치 시각, 설치 위치, 소스 경로 등 확인 가능

- 실제 레지스트리 경로를 찾아가 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 확인 (디코딩 필요)

- 실제 레지스트리 경로를 찾아가지 않고 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 확인 (디코딩 필요X)