一、系统日志查询
Windows系统 打开 事件查看器
(Win+X或Win+R输入`eventvwr.msc`)
导航到 Windows 日志下的 安全和 应用程序日志
通过事件ID(如4624:成功登录,4634:注销)追踪用户活动
右键事件查看详细信息,获取用户名、时间、登录类型等
macOS系统
打开 控制台应用(Terminal)
输入`log show --predicate 'process == "进程名"'`查询特定进程
通过`last login`命令查看最近登录用户
二、进程与文件监控
实时进程查看
按`Ctrl+Shift+Esc`打开任务管理器,切换到 进程选项卡
结合 资源使用率和 运行状态判断异常进程
在macOS中,通过活动监视器(Activity Monitor)查看进程信息
历史记录分析
在任务管理器的 应用历史记录(仅限Windows 10)中,分析资源占用趋势
使用PowerShell命令`Get-Process -Activity`获取历史进程数据
文件与目录监控
通过文件属性(修改时间、大小)筛选异常文件
使用磁盘清理工具(如Windows的`cleanmgr`)查找临时文件(如`.tmp`、`.dbi`)的修改断档
三、系统配置与账户管理
密码与账户检查
在 运行窗口输入`netplwiz.exe`,通过用户账户设置查看密码(需管理员权限)
检查注册表项`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon`中的`Defaultpasswd`值(需谨慎操作)
软件安装与运行记录
通过事件查看器的 系统日志,搜索特定软件的安装或运行记录
使用`wmic product get name,version`命令查询最近安装的软件
四、其他注意事项
隐私保护: 上述方法需在合法合规的前提下使用,避免侵犯他人隐私 专业工具
系统还原:若发现异常,建议通过系统还原点恢复系统状态
通过以上方法,可系统化地排查电脑中的异常活动或敏感信息。若涉及法律问题,请务必遵守相关规范。
