HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
En algunas claves, el nombre del software instalado nos aparecerá directamente como nombre de clave, y en otras, podremos acceder a ellos a través de la subclave "DisplayName":
Esta clave puede ser fácilmente accedida de manera automática desde la herramienta WRR, cargando el archivo "SOFTWARE" que encontraréis en la siguiente ruta de Windows:
C:\Windows\System32\config
Es importante destacar que si estáis haciendo un "forense en vivo" no os va a dejar acceder al archivo, porque se encontrará en uso, por lo que tenéis que recuperarlo desde otro sistema mapeando la unidad C (o la correspondiente) del disco duro (recordad que siempre en un forense es recomendable hacerlo en modo lectura para no contaminar las muestras).
Nos vemos en el próximo post.
Saludos!