一、通过系统事件查看器分析
开关机记录 按 `Win + R` 打开运行窗口,输入 `eventvwr.msc` 回车,展开“Windows 日志”→“系统”,查看最近的开机(ID 6005)和关机记录。
安全中心登录记录
在“事件查看器”的“应用程序”或“安全性”日志中,查找与 `SecurityCenter` 相关的登录事件(事件ID 4624),可确认是否有人通过系统登录。
用户登录信息
通过组策略编辑器(`gpedit.msc`)设置“显示以前登录信息”为“已启动”,下次登录时可见最近登录用户的日期和时间。
二、检查文件操作痕迹
最近打开的文件
按 `Win + R` 输入 `recent`,按日期排序可查看近期访问的文档、图片等文件,包括文件名和访问时间。
临时文件与系统日志
- 打开 `C:\Windows\Temp`,检查临时文件(.tmp)的修改时间,断档可能表明系统未正常运行。
- 在事件查看器中搜索与 `Temp` 相关的写入事件,确认是否有异常文件操作。
三、硬件状态与行为异常
显示器温度
开机前触摸显示器背面,若温热则可能有人近期使用过。
屏幕保护程序
设置屏幕保护程序为“无”并缩短恢复密码输入时间,临时离开时若有人操作,屏幕保护会触发。
键盘与鼠标移动
下班后观察鼠标是否停留在标记位置,或通过硬件监控工具检测外接设备变化。
四、其他辅助方法
浏览器历史记录: 通过 `IE工具栏历史记录` 查看是否访问过陌生网站。 文件属性
系统进程监控:使用任务管理器或第三方工具(如 Process Hacker)检测异常进程。
注意事项
日志记录可能被清除,建议定期备份重要数据。
部分方法需管理员权限。
硬件检测方法需结合专业工具,普通用户可优先使用软件类方法。
通过以上方法综合判断,可有效识别电脑是否被他人使用过。若发现异常行为,建议及时检查账户安全并恢复数据。
