一、通过任务管理器查看进程记录

1. 按下 Ctrl+Alt+Delete打开任务管理器；

2. 切换到 进程标签页，查看正在运行的程序名称、CPU和内存占用情况。

二、通过事件查看器分析系统日志

1. 按下 Win+X打开快速访问菜单，选择 事件查看器；

2. 在 Windows日志下展开 安全，筛选 事件来源为 eventlog，输入事件ID 6005（开机）和 6006（关机）进行过滤；

3. 通过时间范围筛选，查看用户登录、程序启动等详细记录。

三、检查文件访问历史

1. 在文件或文件夹属性中，切换到 安全选项卡，启用 审核功能；

2. 查看最近修改记录，判断是否有他人访问敏感文件。

四、浏览器历史记录

1. 使用浏览器快捷键 Ctrl+H或右键菜单查看历史记录，可追溯网页访问路径。

五、查看最近打开的文件和文件夹

1. 在资源管理器中，通过 查看菜单启用 最近使用文件功能，或访问 C:\Users\用户名\Recent（Windows XP）或 Documents and Settings\Administrator\Recent（Windows XP以上）目录；

2. 对可疑文件属性进行检查，确认修改时间是否与使用时段匹配。

六、使用系统配置工具

1. 按下 Win+R输入 gpedit.msc，导航到 计算机配置> Windows 设置> 安全设置> 高级审核策略；

2. 配置文件、注册表等审核策略，记录敏感操作。

注意事项：

部分功能需管理员权限；

通过文件属性审核需先在本地安全策略中启用相关选项；

第三方监控工具可提供更全面的记录，但需注意隐私合规性。