Résumé exécutif : les listes MRU (Most Recently Used) sont un ensemble de clés du registre Windows qui agissent comme la “mémoire à court terme” de l’utilisateur. Conçues pour améliorer l’expérience utilisateur en pré-remplissant les listes déroulantes, la boîte de dialogue “Exécuter” et les menus “Fichiers récents”, les listes MRU sont inestimables pour les analystes DFIR. Parce qu’elles résident dans la ruche NTUSER.DAT de l’utilisateur, elles fournissent des preuves chronologiques et hautement fiables d’actions humaines intentionnelles, reliant directement des commandes spécifiques et des interactions de fichiers à un compte compromis.