我在这里找到了这个文件的一些取证背景：
http://www.forensicswiki.org/wiki/Sticky_Notes

看起来SNT文件有3个数据流,1和3.流0以RTF格式存储信息,而Steam 3以Unicode格式存储实际文本.

存储流的根条目具有与之关联的时间戳,您可以使用MiTec Storage Viewer,Sticky7List等工具查看与文件关联的创建和修改时间.您可以创建便签并观察它何时创建数据流并修改便签并监视它如何修改文件.

一些有用的参考：
http://www.pcworld.com/article/191453/sticky_notes.html

https://superuser.com/questions/396698/how-to-retrieve-contents-of-stick-notes-directly-from-file-system

http://www.forensicswiki.org/wiki/Sticky_Notes

http://computer-forensics.sans.org/blog/2010/10/19/digital-forensics-stuck-stickies-2

http://windowsir.blogspot.com/2011/08/sticky-notes-analysis.html