Windows-Artefakte

^ Artefakt                                                                 ^ Befehl  ^ Beschreibung                                                                             ^
| Registry Hives (DEFAULT, SAM, SECURITY, SYSTEM, COMPONENTS)              |         | C:\Windows\System32\Config                                                               |
| SHIM-Cache (zeichnet auf, ob eine Applikation wirklich ausgeführt wurde  |         | C:\Windows\AppCompat\Programs\Amcache \\ C:\Windows\AppCompat\Programs\Amcache.hve.log*  |
| Eventlog-Dateien \\ (System.evtx, Application.evtx, Security.evtx)       |         | C:\Windows\System32\winevt\logs                                                          |
| MFT-Datei                                                                |         | C:\$MFT                                                                                  |
| Windows Prefetch-Dateien1                                                |         | C:\Windows\Prefetch                                                                      |