一、通过事件查看器检查开关机记录

1. 按 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 回车，打开事件查看器；

2. 在左侧导航栏选择 Windows 日志→ 系统；

3. 查看最近的开机（ID 6005）和关机（ID 6006）记录，若发现异常时间戳（如非本人操作时段的记录），则可能存在他人操作。

二、查看最近打开的文件记录

1. 按 `Win + R` 输入 `recent` 回车，或通过文件资源管理器查看 最近使用的项目（需在个性化设置中开启）；

2. 根据文件修改时间排序，检查是否有陌生文件被访问或修改，尤其关注敏感文件如文档、图片等。

三、监控软件使用情况

1. 打开 运行窗口（Win + R），输入 `prefetch` 回车，查看 Prefetch文件夹中的程序执行记录；

2. 通过时间排序可发现异常程序运行记录，但需注意此方法仅能检测主动运行程序，无法检测后台活动。

四、浏览器历史记录检查

1. 在浏览器中打开 历史记录，查看是否出现陌生网站或异常访问记录；

2. 注意：浏览器历史记录可被轻易清除，需定期备份。

五、系统登录信息审查

1. 按 `Win + L` 锁屏，输入 `gpedit.msc` 打开本地组策略编辑器；

2. 进入 用户登录选项，勾选 在用户登录时间显示有关以前的登录信息；

3. 重启电脑后查看登录记录，确认是否有未授权访问。

六、其他辅助方法

文件时间戳对比：对比文件修改时间与系统时间，判断是否在合理范围内被修改；

第三方工具：使用如 360安全卫士等软件实时监控文件访问记录（需注意隐私风险）。

注意事项

1. 以上方法需以管理员权限运行部分功能；

2. 日常操作可能产生误判，建议结合多维度证据综合判断；

3. 敏感信息（如文件内容）应定期备份，避免因误删导致数据丢失。

通过以上方法，可有效监控电脑使用情况，发现异常行为及时采取措施。