LastActivityView : Visualisez votre activité sur Windows !

I. Présentation

LastActivityView est un outil pour Windows qui collecte des informations depuis des sources variées sur le système d'exploitation sur lequel il est exécuté. Suite à cela, il affiche un journal des actions effectuées par l'utilisateur et des événements qui se sont passés sur l'ordinateur en question.

L'activité remontée est très diversifiée et remonte à très loin. Pour ma part, en l'exécutant sur une machine, j'ai réussi à visualiser les actions effectuées depuis le début de l'installation de Windows c'est-à-dire il y a environ 1 an en arrière.

L'application est compatible de Windows 2000 à Windows 8.1, aussi bien 32 bits que 64 bits.

Télécharger l'application

II. Les événements affichés

Commençons par faire le tour des types d’événements qui sont affichés lors de l'exécution de l'application LastActivityView :

- Exécution de fichier .EXE : Aussi bien les programmes exécutés par l'utilisateur que ceux exécutés par un autre programme ou service qui tourne en arrière-plan.

- Sélection d'un fichier dans une boite de dialogue d'ouverture/de sauvegarde

- Ouverture de fichiers et de dossiers par l'Explorateur Windows ou un autre logiciel

- Visualiser un dossier dans l'Explorateur Windows

- Installation ou mise à jour d'un logiciel

- Système : Démarrage, extinction ou sortie de veille

- Extinction du système

- Réseau : Connexion ou déconnexion à un réseau

- Crash d'un logiciel ou logiciel sur l'état "Ne répond pas"

- Écran bleu sur la machine (BSOD)

- Session : Utilisateur qui se connecte ou déconnecte sur le système

- Création d'un point de restauration

- Action via Windows Installer

III. L'application

Ouvrez l'application que vous pouvez télécharger avec le lien indiqué précédemment, puis patientez un instant le temps que les données soient récoltées.

Vous obtiendrez un résultat comme ceci avec des informations propres à votre machine :

lav1
Interface LastActivity View

L'application en elle-même est très simple, inutile de s'attarder sur les informations fournies. Mais, une question se pose : peut-on supprimer ces informations ? Ou plutôt, peut-on effacer ses traces ? La réponse est "oui" ! Faisons le point.

IV. Effacer les traces

Il est possible d'effacer les traces, mais cela ne se fera pas en deux clics... Les informations fournies par LastActivityView proviennent de nombreuses sources présentent sur le système.

D'autant plus que l'application n'intègre pas d'option permettant de supprimer ces informations automatiquement. D'après les informations fournies par les développeurs de l'application, la suppression de certaines données collectées par LastActivityView peut nuire au bon fonctionnement de Windows.

A. L'observateur d’événements

L'application récolte dans l'observateur d’événements les éléments suivants : connexion/déconnexion d'un utilisateur, action avec Windows Installer, démarrage/veille/extinction du système, création d'un point de restauration, état du réseau, ou encore un bug d'un logiciel.

Pour accéder à l'Observateur d'événements : Panneau de configuration > Outils d'administration > Observateur d'événements. Sous "Journaux Windows", effectuez un clic droit puis "Effacer journal" sur le type de journal que vous souhaitez effacer.

lav2
Effacer le journal d'événements

B. Le répertoire "Prefetch" de Windows :

Ce dossier situé sous C:\Windows\Prefetch est utilisé par Windows pour optimiser les performances lorsqu'il s'agit d'exécuter une application.

À chaque fois qu'un exécutable est lancé sur votre machine, un fichier .pf est créé dans ce répertoire. Ce sont ces fichiers qui sont utilisés par LastActivityView, pour supprimer les traces il faut donc supprimer l'ensemble des fichiers .pf présent dans le dossier Prefetch.

lav3

C. La liste "Most Recently Used" (MRU) du registre

À chaque fois que vous choisissez un fichier dans une boite de dialogue d'ouverture ou de sauvegarde standard de Windows, une entrée est ajoutée dans le Registre de la machine dans la clé suivante (Windows 7 et Windows 8) :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

Avec regedit.exe, si vous supprimez les entrées présentent sous cette clé cela empêchera la lecture des informations par LastActivityView (ou toute autre application).

D. Les documents récents

À chaque fois que vous ouvrez un fichier, un nouveau raccourci est ajouté au dossier des éléments récents de Windows. Ce dossier se situe à l'emplacement suivant :

C:\Users\Recent

Ou pour les anciennes versions de Windows : C:\Documents and Settings\Recent

Pour supprimer les traces, rendez-vous dans le répertoire et supprimez l'ensemble des raccourcis qui s'y trouvent. Cela ne supprimera pas les données initiales.

E. Les dossiers ouverts

Windows mémorise dans le registre les dossiers ouverts ainsi que de nombreuses variantes (position, position des colonnes, etc.) et stocke ces informations sous les clés de registre suivantes :

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell

Les éléments de type "View Folder in Explorer" collectés dans LastActivityView sont obtenus via ces clés de registre. Supprimez les sous-clés et valeurs de ces clés "racines" pour effacer vos traces.

F. La désinstallation/installation des logiciels

Les événements liés à l'installation et à la désinstallation de logiciels dans LastActivityView sont récupérés dans le registre via la lecture des clés suivantes :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall

Note : Supprimer une entrée dans le registre, empêchera la réinstallation du logiciel concerné par la suite.

Enfin, je conclurais par préciser qu'il est possible d'enregistrer la liste des événements sous différents formats (pensez à sélectionner les éléments au préalable - Ctrl+A pour tout sélectionner).

lav4

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d’IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno’ est importante je partage aussi des actus.

florian a publié 1614 articles sur IT-Connect.See all posts by florian

5 réactions sur “LastActivityView : Visualisez votre activité sur Windows !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *