Если вам нужно сделать forensik анализа исполняемого файла (DLL или EXE), первым начать с строк дампа длл или исполняемый файл. Я использую Sysinternals строки, чтобы сделать это.
Далее следует посмотреть на импорт и экспорт исполняемого файла, я использую DUMPBIN или FileAlayzer для этого.
Там также является монитором реестра, доступным для w поддерживает мобильные устройства Armv4. 
Log file created by RegLogger 1.0 at 07.12.2013
0 QueryVal HKLM Signal Strength \Windows\shell32.exe Success
1 QueryVal HKLM Status \Windows\shell32.exe Success
2 QueryVal HKLM Extended Status \Windows\shell32.exe Success
3 QueryVal HKLM Active Call Count \Windows\shell32.exe Success
4 QueryVal HKCU HasKeyboard \Windows\shell32.exe Success
5 QueryVal HKLM PROTOTYPE \Windows\shell32.exe NotFound
6 QueryVal HKCU HasKeyboard \Windows\shell32.exe Success
7 QueryVal HKCU HasKeyboard \Windows\shell32.exe Success
8 QueryVal HKCU Source \Windows\shell32.exe NotFound
9 QueryVal 040B3A20 39 \Windows\shell32.exe NotFound
10 QueryVal 040B3A20 39 \Windows\shell32.exe NotFound
11 QueryVal 040B3A20 39 \Windows\shell32.exe NotFound
12 QueryVal 040B3A20 39 \Windows\shell32.exe NotFound
изменения монитора Reg: http://geekswithblogs.net/BruceEitman/archive/2009/08/17/windows-ce-monitor-for-registry-changes.aspx
Использование "RegLogger", чтобы найти двоичный (в xda-developers.com?):
Еще один отличный инструмент для forensik анализа является SK- инструменты ssnap. Вы можете делать снимки реестра устройств и системы файлов и баз данных, а затем сравнивать эти снимки.