LastActivityView : Visualisez votre activité sur Windows !
Sommaire
I. Présentation
LastActivityView est un outil pour Windows qui collecte des informations depuis des sources variées sur le système d'exploitation sur lequel il est exécuté. Suite à cela, il affiche un journal des actions effectuées par l'utilisateur et des événements qui se sont passés sur l'ordinateur en question.
L'activité remontée est très diversifiée et remonte à très loin. Pour ma part, en l'exécutant sur une machine, j'ai réussi à visualiser les actions effectuées depuis le début de l'installation de Windows c'est-à-dire il y a environ 1 an en arrière.
L'application est compatible de Windows 2000 à Windows 8.1, aussi bien 32 bits que 64 bits.
II. Les événements affichés
Commençons par faire le tour des types d’événements qui sont affichés lors de l'exécution de l'application LastActivityView :
- Exécution de fichier .EXE : Aussi bien les programmes exécutés par l'utilisateur que ceux exécutés par un autre programme ou service qui tourne en arrière-plan.
- Sélection d'un fichier dans une boite de dialogue d'ouverture/de sauvegarde
- Ouverture de fichiers et de dossiers par l'Explorateur Windows ou un autre logiciel
- Visualiser un dossier dans l'Explorateur Windows
- Installation ou mise à jour d'un logiciel
- Système : Démarrage, extinction ou sortie de veille
- Extinction du système
- Réseau : Connexion ou déconnexion à un réseau
- Crash d'un logiciel ou logiciel sur l'état "Ne répond pas"
- Écran bleu sur la machine (BSOD)
- Session : Utilisateur qui se connecte ou déconnecte sur le système
- Création d'un point de restauration
- Action via Windows Installer
III. L'application
Ouvrez l'application que vous pouvez télécharger avec le lien indiqué précédemment, puis patientez un instant le temps que les données soient récoltées.
Vous obtiendrez un résultat comme ceci avec des informations propres à votre machine :
L'application en elle-même est très simple, inutile de s'attarder sur les informations fournies. Mais, une question se pose : peut-on supprimer ces informations ? Ou plutôt, peut-on effacer ses traces ? La réponse est "oui" ! Faisons le point.
IV. Effacer les traces
Il est possible d'effacer les traces, mais cela ne se fera pas en deux clics... Les informations fournies par LastActivityView proviennent de nombreuses sources présentent sur le système.
D'autant plus que l'application n'intègre pas d'option permettant de supprimer ces informations automatiquement. D'après les informations fournies par les développeurs de l'application, la suppression de certaines données collectées par LastActivityView peut nuire au bon fonctionnement de Windows.
A. L'observateur d’événements
L'application récolte dans l'observateur d’événements les éléments suivants : connexion/déconnexion d'un utilisateur, action avec Windows Installer, démarrage/veille/extinction du système, création d'un point de restauration, état du réseau, ou encore un bug d'un logiciel.
Pour accéder à l'Observateur d'événements : Panneau de configuration > Outils d'administration > Observateur d'événements. Sous "Journaux Windows", effectuez un clic droit puis "Effacer journal" sur le type de journal que vous souhaitez effacer.
B. Le répertoire "Prefetch" de Windows :
Ce dossier situé sous C:\Windows\Prefetch est utilisé par Windows pour optimiser les performances lorsqu'il s'agit d'exécuter une application.
À chaque fois qu'un exécutable est lancé sur votre machine, un fichier .pf est créé dans ce répertoire. Ce sont ces fichiers qui sont utilisés par LastActivityView, pour supprimer les traces il faut donc supprimer l'ensemble des fichiers .pf présent dans le dossier Prefetch.
C. La liste "Most Recently Used" (MRU) du registre
À chaque fois que vous choisissez un fichier dans une boite de dialogue d'ouverture ou de sauvegarde standard de Windows, une entrée est ajoutée dans le Registre de la machine dans la clé suivante (Windows 7 et Windows 8) :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
Avec regedit.exe, si vous supprimez les entrées présentent sous cette clé cela empêchera la lecture des informations par LastActivityView (ou toute autre application).
D. Les documents récents
À chaque fois que vous ouvrez un fichier, un nouveau raccourci est ajouté au dossier des éléments récents de Windows. Ce dossier se situe à l'emplacement suivant :
C:\Users\Recent
Ou pour les anciennes versions de Windows : C:\Documents and Settings\Recent
Pour supprimer les traces, rendez-vous dans le répertoire et supprimez l'ensemble des raccourcis qui s'y trouvent. Cela ne supprimera pas les données initiales.
E. Les dossiers ouverts
Windows mémorise dans le registre les dossiers ouverts ainsi que de nombreuses variantes (position, position des colonnes, etc.) et stocke ces informations sous les clés de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell
Les éléments de type "View Folder in Explorer" collectés dans LastActivityView sont obtenus via ces clés de registre. Supprimez les sous-clés et valeurs de ces clés "racines" pour effacer vos traces.
F. La désinstallation/installation des logiciels
Les événements liés à l'installation et à la désinstallation de logiciels dans LastActivityView sont récupérés dans le registre via la lecture des clés suivantes :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall
Note : Supprimer une entrée dans le registre, empêchera la réinstallation du logiciel concerné par la suite.
Enfin, je conclurais par préciser qu'il est possible d'enregistrer la liste des événements sous différents formats (pensez à sélectionner les éléments au préalable - Ctrl+A pour tout sélectionner).
Sympa l’article ! Par contre le lien vers le logiciel redirige vers le fichier de langue en FR, pas le soft en lui même ! 😉
C’est corrigé, merci 🙂
Merci pour la découverte de ce logiciel.
Cependant le lien de téléchargement fournis ne contient que le fichier de traduction, il faut d’abord télécharger le logiciel en Anglais puis mettre le fichier de traduction dans le répertoire.
http://www.nirsoft.net/utils/lastactivityview.zip
:O Impressionnant !
Bonjour,
Je n’ai pas bien compris la manipulation suivante
C. La liste « Most Recently Used » (MRU) du registre
À chaque fois que vous choisissez un fichier dans une boite de dialogue d’ouverture ou de sauvegarde standard de Windows, une entrée est ajoutée dans le Registre de la machine dans la clé suivante (Windows 7 et Windows 8) :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
Avec regedit.exe, si vous supprimez les entrées présentent sous cette clé cela empêchera la lecture des informations par LastActivityView (ou toute autre application).
Qu’est ce qui doit être supprimer ? Toute cette clé ??
Et je n’ai pas compris également pour la partie : E
E. Les dossiers ouverts
Windows mémorise dans le registre les dossiers ouverts ainsi que de nombreuses variantes (position, position des colonnes, etc.) et stocke ces informations sous les clés de registre suivantes :
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell
Les éléments de type « View Folder in Explorer » collectés dans LastActivityView sont obtenus via ces clés de registre. Supprimez les sous-clés et valeurs de ces clés « racines » pour effacer vos traces.
Merci d’avance de votre soutien !!