[greg zakharov]

alpap, в реестре по указанному пути может ничего и не быть (или информация там может быть модифицирована). Кто бы что ни говорил, а идеологически верным на запущенной системе было бы смотреть на соответствующие поля структуры KUSER_SHARED_DATA (формируется ядром), причем той, что находится по адресу 0x7FFE0000 (доступна для чтения из пользовательского режима, в pwsh это делается через IntPtr). А вот с оффлайн винта считать нужную информацию можно не только посредством "живых" дисков. Есть еще и hex редакторы.