一、系统级记录查看方法
任务管理器(进程与性能) - 按 `Ctrl+Alt+Delete` 打开任务管理器,切换到「进程」标签页,可查看运行中的程序、CPU和内存占用情况。
- 通过「启动」标签页可查看开机启动程序列表。
事件查看器(系统日志)
- 按 `Win+R` 输入 `eventvwr.msc` 打开事件查看器,导航到「Windows日志」-「系统」,可筛选关键词(如「网络」、「文件操作」)查找操作记录。
- 通过时间筛选功能快速定位特定时间段内的事件。
系统文件与计划任务
- 在 `C:\Windows\System32\Tasks` 或 `C:\Windows\Tasks\END` 查找 `SchedLgU.txt` 文件,可查看计划任务记录。
- 通过任务管理器的「任务计划程序」查看用户级任务。
二、软件级记录查看方法
第三方监控软件
- Windows: 如域智盾、NetWitness等,支持本地审计(文件操作、网络活动)和网络审计(网站访问、屏幕录像)。 - Mac
- Linux:通过 `history` 命令查看命令历史,或 `last` 命令查看登录注销记录。
浏览器历史记录 - 在浏览器中按 `Ctrl+H` 打开历史记录页面,可查看访问过的网址及排序选项。
三、其他实用技巧
文件访问记录:
通过 `C:\Windows\Prefetch` 文件夹查看预读取文件信息,或运行 `recent` 命令获取最近打开文件列表。
剪贴板监控:部分工具可记录剪贴板历史内容,辅助敏感信息追踪。
隐私设置调整:通过控制面板的「隐私」选项,可管理浏览器历史记录和临时文件的保存时间。
注意事项
部分功能(如任务管理器进程查看)需管理员权限。
第三方工具需谨慎选择,避免隐私泄露风险。
系统日志中的记录可能被篡改,需结合其他方法综合分析。
