LastActivityView

今天来认识这个看就知道是看这台电脑上一步做了啥动作的工具！
调查的时候很有用啊！

LastActivityView 是在 Windows 系统上的小工具，它会蒐集各方来源的资讯，然後显示出 User 所做的动作和此电脑上发生的 event log。
LastActivityView 会显示的 activity 包括：执行 .exe 档案、开启/保存对话框、从资源管理器或其他软件打开的档案/资料夹、软件安装、系统关闭/启动、应用程序或系统 crash 、网络连线/断线等。

还可此资讯导出到 csv/tab-delimited/xml/html 档案或复制到剪贴簿，然後贴到 Excel 或其他软件。

已知限制:

这工具从很多不同的来源收集资讯，有 Registry、Windows event log、Windows 的 Prefetch 资料夹 (C:\windows\Prefetch)、Windows 的 MiniDump 资料夹 (C:\Windows\Minidump) 等等。
LastActivityView 显示的资料的准确性和可用性可能因为系统不同有所不同。
例如，如果 user 或程序在 Registry 中编辑过，那 LastActivityView 显示的动作时间可能是错的，因为它是基於某些 Registry 项目的修改时间不是动作时间。
另外，对於每种类型的动作/事件，会根据资料在系统中的保存方式，有一些限制。
例如，“Select file in open/save dialog-box"动作仅限於每个档案的套件名称的一个动作，因此如果 user 使用打开/保存对话框打开了 2 个 .doc 文件，则只会有最後一个动作被显示出来。

如何使用这工具?
点两下 LastActivityView.exe 执行後，它会扫描电脑然後显示出系统上找到的动作和事件。
可以选择一或多个项目，然後将汇出成 xml/html/csv/tab-delimited 档案中（Ctrl+S）或可以复制贴上做资料整理。

这工具很简单，简单的介绍到这~
详细可以到官网看唷！