若发现文件位置变动、浏览器历史异常或系统时间不符,很可能设备被他人操作;可通过查看“最近使用项目”、Prefetch缓存、事件查看器登录日志、开关机记录及浏览器历史五种方法验证痕迹。
如果您发现电脑的文件位置变动、浏览器历史异常或系统时间与记忆不符,很可能有人在您不知情的情况下操作过该设备。以下是多种可验证他人使用痕迹的具体方法:
一、查看最近访问的文件记录
Windows 系统会自动维护一个“最近使用项目”列表,该列表按修改时间排序,能直观反映近期被打开过的文档、图片、表格等本地文件。
1、同时按下 Win + R 键,打开“运行”对话框。
2、在输入框中键入 recent,然后按回车键。
3、在打开的窗口中,点击“修改日期”列标题,使文件按时间倒序排列。
4、浏览顶部条目,即可看到最近被访问的文件名称、类型及确切时间戳。
二、检查软件运行痕迹(Prefetch 文件夹)
Prefetch 是 Windows 为加速程序启动而生成的缓存目录,其中每个 .pf 文件均以程序名开头,并附带最后一次执行的时间属性,是判断哪些软件被运行过的重要依据。
1、打开“此电脑”,进入系统盘(通常为 C:)。
2、依次进入路径:Windows → Prefetch。
3、在文件夹空白处右键,选择“排序方式” → “修改日期”,勾选“降序”。
4、观察顶部文件名,如 WINWORD.EXE-XXXXXX.pf 表示 Word 被运行过;文件末尾的十六进制字符串不影响识别。
三、分析 Windows 事件查看器中的登录日志
事件查看器是系统级审计工具,其“安全”日志完整记录所有用户登录行为,包括成功与失败尝试、登录类型、来源设备及精确时间,是确认他人是否登录的核心证据源。
1、按 Win + R 打开运行框,输入 eventvwr.msc 并回车。
2、在左侧树形菜单中,依次展开 Windows 日志 → 安全。
3、右键“安全”,选择“筛选当前日志…”。
4、在“事件 ID”栏中输入 4624, 4625, 4648, 4672(英文逗号分隔),点击确定。
5、在结果列表中,双击任一事件,在“详细信息”选项卡下重点查看:登录类型(如 2=本地登录、3=网络共享、10=远程桌面)、帐户名、工作站名、登录时间。
四、核查系统开关机时间记录
计算机每次开机或关机都会在“系统”日志中留下不可篡改的时间标记,通过比对日常使用时段,可快速识别非本人操作的开机/关机行为。
1、在已打开的事件查看器中,切换至左侧的 Windows 日志 → 系统。
2、右键“系统”,选择“筛选当前日志…”。
3、在“事件 ID”栏中输入 12, 13, 6005, 6006(涵盖服务启动/停止关键事件),点击确定。
4、查找描述中含 “事件服务已启动” 的条目——即为开机时刻;含 “事件服务已停止” 的条目——即为关机时刻。
五、检查浏览器历史记录与下载内容
若他人曾使用您的浏览器上网,其访问网址、搜索关键词、视频观看记录及下载文件均会保留在本地数据库中,无需额外权限即可直接查看。
1、打开 Chrome 或 Edge 浏览器,点击右上角三个点图标。
2、在下拉菜单中选择 历史记录 → 历史记录(或直接按 Ctrl + H)。
3、在历史页面左侧面板中,点击“今天”、“昨天”或具体日期,逐条核对访问时间与 URL。
4、点击右上角三个点 → “下载内容”,查看所有已保存文件的名称、来源网站及保存时间。
