如果你察觉到电脑上文件位置发生变动、浏览器历史记录异常,或者系统时钟与你记忆中不符,这往往意味着设备可能被他人操作过。想要确认这些未经许可的使用痕迹,你可以通过检查“最近使用的项目”、Prefetch缓存、事件查看器登录日志、开关机记录以及浏览器历史记录这五种方法来获取线索。

当电脑中的文件位置无故变动、浏览器出现了陌生浏览记录,或是系统时间与你设定的不一致时,确实需要警惕可能有人在你不注意时操作过这台设备。下面我们将介绍几种具体方法,帮你核查这些他人使用留下的蛛丝马迹。
一、查看最近访问的文件记录
Windows系统会自动维护一份“最近使用的项目”列表,它会按照文件的修改时间排序。这份列表直观地反映出近期被打开过的文档、图片、表格等本地文件,是发现异常操作的快捷入口。
1、同时按下 Win + R 键,打开“运行”对话框。
2、在输入框中键入 recent,然后按下回车键。
3、在打开的窗口中,点击“修改日期”列标题,使文件按时间倒序排列。
4、浏览顶部的条目,即可看到最近被访问的文件名称、类型及确切的时间戳。
二、检查软件运行痕迹(Prefetch 文件夹)
Prefetch 是 Windows 为加速程序启动而生成的缓存目录,其中每个 .pf 文件均以程序名开头,并附带最后一次执行的时间属性,是判断哪些软件被运行过的重要依据。
1、打开“此电脑”,进入系统盘(通常为 C:)。
2、依次进入路径:Windows → Prefetch。
3、在文件夹空白处右键,选择“排序方式” → “修改日期”,勾选“降序”。
4、观察顶部文件名,如 WINWORD.EXE-XXXXXX.pf 表示 Word 被运行过;文件末尾的十六进制字符串不影响识别。
三、分析 Windows 事件查看器中的登录日志
事件查看器是系统级审计工具,其“安全”日志完整记录所有用户登录行为,包括成功与失败尝试、登录类型、来源设备及精确时间,是确认他人是否登录过的核心证据源。
1、按 Win + R 打开运行框,输入 eventvwr.msc 并回车。
2、在左侧树形菜单中,依次展开 Windows 日志 → 安全。
3、右键“安全”,选择“筛选当前日志…”。
4、在“事件 ID”栏中输入 4624, 4625, 4648, 4672(英文逗号分隔),点击确定。
5、在结果列表中,双击任一事件,在“详细信息”选项卡下重点查看:登录类型(如2=本地登录、3=网络共享、10=远程桌面)、账户名、工作站名、登录时间。
四、核查系统开关机时间记录
计算机每次开机或关机都会在“系统”日志中留下不可篡改的时间标记,通过比对日常使用时段,可快速识别非本人操作的开机/关机行为。
1、在已打开的事件查看器中,切换至左侧的 Windows 日志 → 系统。
2、右键“系统”,选择“筛选当前日志…”。
3、在“事件 ID”栏中输入 12, 13, 6005, 6006(涵盖服务启动/停止关键事件),点击确定。
4、查找描述中含 “事件服务已启动” 的条目——即为开机时刻;含 “事件服务已停止” 的条目——即为关机时刻。
五、检查浏览器历史记录与下载内容
若他人曾使用你的浏览器上网,其访问网址、搜索关键词、视频观看记录及下载文件均会保留在本地数据库中,无需额外权限即可直接查看。
1、打开 Chrome 或 Edge 浏览器,点击右上角三个点图标。
2、在下拉菜单中选择 历史记录 → 历史记录(或直接按 Ctrl + H)。
3、在历史页面左侧面板中,点击“今天”、“昨天”或具体日期,逐条核对访问时间与 URL。
4、点击右上角三个点 → “下载内容”,查看所有已保存文件的名称、来源及保存时间。
