當(dāng)您臨時(shí)離開本本之后

郭建偉

當(dāng)您在操作本本時(shí)，有時(shí)會(huì)因故離開本本。在此期間，您最擔(dān)心的就是有人會(huì)乘機(jī)接觸您的愛機(jī)，窺視您的機(jī)密信息。特別是在公共場(chǎng)合（例如辦公室等），這種情況尤為突出。如何才能準(zhǔn)確判斷別人是否動(dòng)過自己的本本，并尋找到與之相關(guān)的可靠證據(jù)呢？使用本文介紹的方法，幫助您追蹤非法使用者留下的蛛絲馬跡，讓其在您的眼前徹底“現(xiàn)形”。

開機(jī)疑云，誰動(dòng)了我的本本

不管任何人開啟您的本本，必然會(huì)留下蛛絲馬跡。如果您使用的是Windows 7，問題就簡(jiǎn)單多了。在開始運(yùn)行中執(zhí)行“gpedit.msc”命令，在組策略窗口左側(cè)選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Windows登錄選項(xiàng)”分支，在右側(cè)窗口中雙擊“在用戶登錄期間顯示有關(guān)以前登錄的信息”項(xiàng)，在彈出的對(duì)話框中選擇“已啟用”項(xiàng)，這樣當(dāng)您啟動(dòng)Windows 7后，就會(huì)自動(dòng)顯示上一次登錄信息，我們可以輕易發(fā)現(xiàn)是否有人非法啟動(dòng)了您的愛機(jī)。

利用事件管理器，可以準(zhǔn)確跟蹤本本的開關(guān)機(jī)情況。執(zhí)行“eventvwr.msc”程序，在事件查看器窗口左側(cè)選擇“Windows日志”-“系統(tǒng)”項(xiàng)，在右側(cè)窗口中選擇“篩選當(dāng)前日志”項(xiàng)，在打開窗口中的“事件類型”列表中選擇“eventlog”選項(xiàng)，在事件ID欄中輸入“6005”，點(diǎn)擊確定按鈕，可以過濾所有ID為6005的事件，該事件表示開機(jī)事件，在過濾列表中可以詳細(xì)了解每次開機(jī)的日期和時(shí)間信息。按照同樣的方法，查詢ID為6006的事件，就可以過濾所有的關(guān)機(jī)事件了。雙擊對(duì)應(yīng)的事件項(xiàng)目，在打開窗口（如圖1）中可以深人了解其內(nèi)容。

此外，您還可以使用《系統(tǒng)開機(jī)記錄》這款軟件，全面掌控開關(guān)機(jī)信息。……