基本的にはレジストリ内に保存されているMRUキーなどに保存されているファイル名やパスをまずは確認。ツールとしては定番のRegRipperを使う前提ですかね。
RegRipperはプラグインによりかなり色々な情報を収集できるので、この項目だけでマップを作成しておく方がよいかも？
USBメモリのような外付けデバイスが使われていて、そこにファイルが存在した可能性も考えられるので、そういったデバイスの接続有無についても確認した方がよさそう。