一、通过系统日志排查

事件查看器

按 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 回车。

在“系统日志”中查看“Windows 日志”，通过时间戳判断是否有异常登录、程序运行或服务启动记录。

系统启动/关机记录

在事件查看器中切换到“系统”日志，查看第一条和最后一条记录，确认是否与当前用户登录时间匹配。

二、监控软件与文件活动

最近运行程序

按 `Win + R` 输入 `recent` 回车，查看最近执行过的程序列表，包括文件访问记录。

通过 `C:\Windows\Prefetch` 文件夹查看程序执行历史（需管理员权限）。

文件访问痕迹

使用 `recent` 命令或任务管理器“进程”选项卡，检查是否有未知程序访问敏感文件（如文档、图片等）。

三、物理与行为监控

硬件状态

开机前触摸显示器后部，若发热异常，可能有人近期使用过。

通过设备管理器查看设备状态，检测是否安装了未知硬件。

异常行为观察

使用任务管理器监控进程，异常进程（如 `svchost.exe` 异常占用资源）可能表明后门或恶意软件。

查看网络流量记录，检测异常数据传输。

四、用户账户与权限管理

账户活动

在“事件查看器”的“安全”日志中，查看是否有其他账户登录记录。

修改用户账户密码复杂度，并定期检查账户权限设置。

计划任务与服务

检查计划任务（`SchedLgU.txt`）和系统服务，确认无未知任务或服务异常运行。

建议：

综合使用以上方法，优先通过事件查看器和文件历史记录排查，再结合行为监控和权限管理加固防护。若发现异常，建议及时隔离设备并联系专业安全人员处理。