Windows 7のフォレンジック調査におけるポイントを解説した資料として、Harlan Carvey氏とTroy Larson氏のDigital Crimes Consortium 2009における発表資料？が下記URLで公開されています。
全体では107ページと大作PDFファイルですが、なかなか興味深い資料になっています。解説がないので図だけで推測しないといけないページも多いのですが、押さえるべきポイントの参考になるのではないかと思います。

Forensic Review of Windows 7 - Part III
http://www.forensickb.com/2010/01/forensic-review-of-windows-7-part-iii.html

個人的には VSS 関連として、P82のスクリーンショットでレジストリキーをマウントしている様子が出ているのですが、これは恐らく System Volume Informationフォルダ配下にある Syscache.hve だと思うのですが、この内容についての説明だとすればぜひ聞いてみたい箇所です。このレジストリファイル内には Index Table とかあるのですが、これが VSS とどの様な関連性があるのか...単純にシステム以外のボリューム上には存在していないので、OS関連だろうと推測していますが、検索してもほとんど情報ないですね。「システム設定とファイルの以前のバージョンを復元する」ではなく、「ファイルの以前のバージョンのみを復元する」が選択されている状態でもSyscache.hveファイルは作成されているのと、システムの保護を「無効」に構成してもそのままみたいですね。
Windows 7 に Sticky Notes の機能があるということを、初めて知ったんですが、日本語版では「付箋」というメニューなんですね。

Sticky Notes
http://windows.microsoft.com/en-us/windows7/products/features/sticky-notes
http://windows.microsoft.com/ja-JP/windows7/products/features/sticky-notes

P74のテキスト部分はUTF-16LEで（日本語も）可読可能みたいですが、64bit Windows タイムスタンプのフィールドが二つ関連して存在するようで、これは作成日時と更新日時とか？と思ったんですが、よくよく見るとRoot Entryとかが存在しているので、Officeの複合ファイルですね＞StickyNotes.snt
OffVisにてOLESSFormatを試してみましたけど、パースできないみたいですね。とはいえ、二つのタイムスタンプは、ディレクトリエントリのCreateとModifyのタイムスタンプな気がしますね。
いずれ FNG でこのファイル構造を調べるのをやってみることにしよう。（次回 1/16 の FNG09 はすでにテーマ決まっているのでしばらく先かな？）<追記>
Structured Storage Extractor を使うと Windows 7 の StickyNotes.snt ファイルがパース可能みたいですね。

http://www.simplecarver.com/tool.php?toolname=Structured Storage Extractor