一、通过事件查看器排查

系统日志分析

- 按 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 进入事件查看器。 - 在“系统”日志中查找事件号为6009的记录，时间戳可显示上次开机时间。 - 检查“登录”事件类型为2的记录，确认是否有异常登录行为。

安全日志监控

- 在事件查看器的“安全性”日志中，搜索关键词如“User logged on”或“Failed login”，可追踪登录活动。

二、检查文件使用痕迹

最近打开的文件

- 输入 `recent` 命令后，按修改日期排序，查看近期访问的文档、图片等文件。 - 注意系统临时文件（如 `Temp` 文件夹）的修改时间断档情况，判断系统是否正常运行。

软件运行记录

- 打开 `C:\Windows\Prefetch` 文件夹，查看按时间排序的程序执行记录，识别异常程序。

三、系统设置与行为分析

登录信息查看

- 通过组策略编辑器（`gpedit.msc`）启用“显示以前登录信息”功能，登录时可见上次登录时间。 - 注意查看“登录失败次数”记录，异常登录可能触发警报。

计划任务与服务

- 检查计划任务（`SchedLgU.txt`）和系统服务日志，确认是否有未知任务或服务异常启动。

四、其他辅助方法

硬盘使用情况：

通过资源管理器或第三方工具查看硬盘空间变化，判断是否有未保存的修改。- 屏幕保护与锁屏设置：临时设置锁屏密码并缩短恢复密码输入时间，监控未授权访问。- 第三方监控工具：使用如Process Monitor、NetLimiter等工具实时监控文件访问和进程行为。

注意事项

权限问题：部分功能需管理员权限，操作前建议备份重要数据。- 隐私保护：排查过程中避免误删系统或个人文件，谨慎分析日志内容。- 系统差异：Mac和Linux系统需使用对应工具（如 `Activity Monitor`、`last` 命令）进行类似分析。

通过以上方法综合判断，可有效识别电脑是否被他人使用及潜在风险。