谁动了我的电脑?他都干了啥?
前几天有一位朋友咨询这么一种情况,就是如果有人使用了你的电脑,copy了你的机密文件,是否能查询到记录,经过一番研究,有了一定的结论,今天跟大家分享一下,同时追加一些关于电脑访问记录的内容。
假如想copy你文件的人对你的文件非常了解,直达目的地执行拷贝粘贴的话,会产生两个动作,一个是需要插入U盘,另一个是对文件执行拷贝操作。如果不是通过U盘拷贝,而是通过网络发送的话,那就从网络使用记录方面去查找,这个在后面要说。
先说插入U盘这个动作,实际上我们在电脑上插入U盘的时候,电脑都会在注册表中记录插入U盘的情况,查看注册表的方法是:开始,运行(或者Win+R键一起按),输入regedit就会打开注册表编辑器。
与U盘使用记录相关的信息在下面这些位置:
貌似还有其他的位置,可以下载一个软件,叫做USBView,方便的用比较容易识别的方式提取出来USB的使用记录。
这样可以查询一下怀疑的时间点,看有没有U盘插入记录,就可以大概知道有没有被拷贝文件了。
另一条线索,关于文件的操作记录,查看文件的属性,文件有三个时间记录,一个是创建时间,一个是修改时间,一个是访问时间。
创建时间和修改时间比较明确,主要是访问时间,我们看看有没有可以突破的点,经过我的查询了解,很遗憾的告诉大家,一部分系统中,为了性能,默认把LastAccessTime(最后访问时间)给禁用了。
可以使用命令查询当前系统是否关闭了LastAccessTime的更新:
1 表示关闭,0表示开启
关闭LastAccessTime的更新的命令:
打开LastAccessTime的更新的命令:
如果最后访问时间是打开的,你再去拷贝一个较大的文件的时候,最后访问时间会跟着改变,如果是较小文件的时候,我测试的结果是貌似没有发生改变,准确说是没有摸清楚改变的规律。
所以第二天线索的结论是,要打开最后访问的这个设置,如果是打开的,那么你去查查怀疑被拷贝的文件的最后访问时间,或许也能看到变化。
通过上面的方法,我们能大概知道到底文件有没有被拷贝,希望上次咨询的朋友能看到这篇文章。下面我要说的是如果对文件位置不熟,有可能产生更多的记录,一般都会有哪些记录呢?
一 最近使用的文档:
一般打开过文档的这里会有记录,如果没有这个,你可以检查一下:右键点击开始菜单→属性→开始菜单→自定义→高级→列出我最近打开的文档 这里是否勾选了。
二 浏览网页记录:
查看浏览器的缓存文件,关注相应的时间节点,也能看到近期打开过的网页等讯息。
查看路径如下:开始→控制面板→Internet 选项 ,Internet 属性→常规→浏览历史记录→设置,Internet 临时文件和历史记录设置→查看文件
三 缓存记录:
Windows操作系统有一个优先读取文件缓存的习惯,所以关注Prefetch文件夹,也会看到近期使用哪些程序的讯息。路径在:C:WINDOWS\Prefetch文件夹内。
这里显示的缓存文件的扩展名都是.pf 。但是,它的前缀会和某一个程序名称近似,以此能够判断近期使用过哪些程序。
四 查看SchedLgU.txt文件
SchedLgU.txt文件记录了Windows系统自安装在计算机起的每一次的开机情况,位于C:\Windows\Tasks下。
五 windows时间查看器:
打开控制面板-系统和安全-管理工具-事件查看器,或者开始→运行→输入:eventvwr.msc 点击确定(或按回车键)打开事件查看器。
六 查看最近删除了什么:
这个就要借助那些误删工具了,在误删了手机里的照片如何恢复?这篇文章里面提到过一些工具,人家动你电脑有可能会创建文件,删除文件的,所以这也是记录。
上面这些东西是把双刃剑,你可以通过上面这些查询人家使用记录,人家也可以根据这些删除他做过的记录,就看是魔高还是道高了。