LastActivityView

今天來認識這個看就知道是看這台電腦上一步做了啥動作的工具！
調查的時候很有用啊！

LastActivityView 是在 Windows 系統上的小工具，它會蒐集各方來源的資訊，然後顯示出 User 所做的動作和此電腦上發生的 event log。
LastActivityView 會顯示的 activity 包括：執行 .exe 檔案、開啟/保存對話框、從資源管理器或其他軟體打開的檔案/資料夾、軟體安裝、系統關閉/啟動、應用程式或系統 crash 、網絡連線/斷線等。

還可此資訊導出到 csv/tab-delimited/xml/html 檔案或複製到剪貼簿，然後貼到 Excel 或其他軟體。

已知限制:

這工具從很多不同的來源收集資訊，有 Registry、Windows event log、Windows 的 Prefetch 資料夾 (C:\windows\Prefetch)、Windows 的 MiniDump 資料夾 (C:\Windows\Minidump) 等等。
LastActivityView 顯示的資料的準確性和可用性可能因為系統不同有所不同。
例如，如果 user 或程式在 Registry 中編輯過，那 LastActivityView 顯示的動作時間可能是錯的，因為它是基於某些 Registry 項目的修改時間不是動作時間。
另外，對於每種類型的動作/事件，會根據資料在系統中的保存方式，有一些限制。
例如，“Select file in open/save dialog-box"動作僅限於每個檔案的套件名稱的一個動作，因此如果 user 使用打開/保存對話框打開了 2 個 .doc 文件，則只會有最後一個動作被顯示出來。

如何使用這工具?
點兩下 LastActivityView.exe 執行後，它會掃描電腦然後顯示出系統上找到的動作和事件。
可以選擇一或多個項目，然後將匯出成 xml/html/csv/tab-delimited 檔案中（Ctrl+S）或可以複製貼上做資料整理。

這工具很簡單，簡單的介紹到這~
詳細可以到官網看唷！