Обновлено 20.04.2020
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,
первое это событие с ID 1040 покажет вам начало установки программы:
Событие ID 1040: Начало транзакции установщика Windows: C:UsersАдминистратор.ROOTDesktopLogParser.msi. ИД клиентского процесса: 3076.
Далее идет сообщение с кодом ID 10000.
Запуск сеанса 0 — 2020-04-09T14:38:53.211497000Z.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Окончание транзакции установщика Windows: C:UsersАдминистратор.ROOTDesktopLogParser.msi. ИД клиентского процесса: 3076.
Завершается сеанс событием с кодом ID 10001
Завершение сеанса 0, запущенного 2020-04-09T14:38:53.211497000Z.
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Установщик Windows выполнил установку продукта. Продукт: Log Parser 2.2. Версия: 2.2.10. Язык: 1033. Изготовитель: Microsoft Corporation. Установка завершена с состоянием: 0.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.
Так, что в журнале «Приложение (Application)» советую искать ID 1033 и ID 11707
Причина, по которой мой пользователь показывает SYSTEM, заключается в том, что я являюсь единственным пользователем системы и не создал независимых учетных записей пользователей при установке Windows 10.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
- Адрес вашего SMTP сервера
- От кого будет письмо
- Кому отправлять письмо
- Пароль от ящика отправителя
$Subject = «Установлено новое ПО» # Тема сообщения
$Server = «smtp.pyatilistnik.org» # Тут пишем ваш SMTP Server
$From = “install@pyatilistnik.org” # От кого будет отослано письмо
$To = «ivan@pyatilistnik.org» # Кому отправляется письмо
$Pwd = ConvertTo-SecureString «123456» -AsPlainText -Force #Пароль учетной записи отправителя
# (Внимание! Используйте очень ограниченную учетную запись для отправителя, поскольку пароль, сохраненный в скрипте, не будет зашифрован)
$Cred = New-Object System.Management.Automation.PSCredential(«From@domain.com» , $Pwd) #Sender account credentials
$encoding = [System.Text.Encoding]::UTF8 #Установка кодировки в UTF8 для корректного отображения сообщения
#Команда Powershell для фильтрации журнала безопасности об установленном программном событии
$Body=Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1
#Отправка электронной почты.
Send-MailMessage -From $From -To $To -SmtpServer $Server -Body “$Body” -Subject $Subject -Credential $Cred -Encoding $encoding
В результате вы получите письмо вот такого содержания:
@{TimeCreated=04/10/2020 15:40:11; Message=Product: Log Parser 2.2 — Installation completed successfully.; UserId=S-1-5-21-4284852150-1823218374-53464103-500}
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Get-WinEvent -FilterHashtable @{LogName=»Application»;ID=11707;ProviderName=’MsiInstaller’} | Select TimeCreated, Message, UserID | select-object -first 1
Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
В системе установлена служба.
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Событие ID 7045: В системе установлена служба.
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Событие ID 7045: В системе установлена служба. Имя службы: Служба «Обновление Microsoft Edge» (edgeupdatem)
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeUpdateMicrosoftEdgeUpdate.exe» /medsvc
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Событие с кодом ID 11724: Product: Log Parser 2.2 — Removal completed successfully.
Событие с кодом ID 1033: Установщик Windows выполнил удаление продукта. Продукт: Log Parser 2.2. Версия: 2.2.10. Язык: 1033. Изготовитель: Microsoft Corporation. Удаление завершено с состоянием: 0.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
- https://social.technet.microsoft.com/wiki/contents/articles/32412.powershell-how-to-detect-who-installed-what-software-on-your-windows-server-in-real-time.aspx
- https://www.netwrix.com/how_to_detect_software_installations.html
На этом у меня все, мы с вами подробно все рассмотрели по данной задаче. Если у вас остались вопросы, то пишите их в комментариях, а с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
Windows регистрирует практически все события, которые происходят, когда кто-то ее использует. Журнал не представляет особого интереса для обычного пользователя, но для тех, кто устраняет неполадки в приложении или имеет проблемы с запуском процесса, он очень полезен. Если вам когда-нибудь понадобится узнать, какой пользователь установил или удалил приложение в Windows, вам следует обратиться к журналу событий e. Вот что вам нужно сделать.
Для просмотра журнала вам потребуются права администратора. Щелкните правой кнопкой мыши «Этот компьютер» («Мой компьютер» в Windows 7) и выберите «Управление» в контекстном меню. Если будет предложено, предоставьте административное разрешение. Разверните «Системные инструменты»> «Просмотр событий»> «Журналы Windows» и выберите «Приложение». Панель справа сначала будет пустой, поскольку Windows загружает зарегистрированные события. На секунду может показаться, что окно застыло, но подождите минутку. После загрузки вы увидите очень длинный список событий, который, очевидно, слишком много, чтобы просеивать его вручную.
Посмотрите на крайнюю правую панель и выберите опцию «Фильтровать текущий журнал» в разделе «Действия».
Откроется новое окно с названием «Фильтр текущего журнала». Прокрутите вниз до раскрывающегося списка «Источники событий» и откройте его. Отметьте опцию MsiInstaler и нажмите Применить.
MsiInstaller — это служба, отвечающая за установку и удаление приложений в Windows. Если пользователь установил или удалил приложение, эта служба зарегистрировала бы событие. Список событий, которые вы увидите после применения фильтра, будет касаться исключительно установки и удаления приложений. Это небольшой список, который нужно просмотреть вручную. Если у вас есть приблизительное представление о том, когда произошла установка или удаление определенного приложения, вы можете указать диапазон дат в раскрывающемся списке «Зарегистрировано» в фильтре журнала.
Выберите запись в журнале и посмотрите на панель под ней, которая содержит подробную информацию о событии. Вы можете увидеть, какое приложение было удалено, дату и время, когда оно было удалено, а также пользователя, который его удалил.
У этого процесса есть недостаток; не все приложения устанавливаются через службу MsiInstaller, поэтому не все действия по установке / удалению будут регистрироваться здесь. Это работает в Windows 7 и выше.
Содержание
- Как проверить, кто установил программу на вашем компьютере
- Кто удалил / установил программное обеспечение в Windows
- Как узнать кто установил программу на компьютер
- Как узнать кто установил программу и когда
- Автоматизация оповещения по событиям 11707
- Как найти события установки программ не методом MsiInstaller
- Как узнать кто удалил программу с сервера или компьютера
- Дополнительно
- Как узнать кто установил программу на компьютер
- Методы получения даты установки программ
- Программы и компоненты
- Через утилиту Ccleaner
- Через просмотр событий
- Популярные Похожие записи:
- 5 Responses to Дата установки программы в Windows
- 4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
- Как узнать, когда включали и выключали компьютер
- Как узнать, какие программы и файлы открывались
- Проверить историю браузера
- Удаленные файлы и корзина
- Содержание
- Содержание
- Базовая безопасность
- Надежные файрволы
- Полезные утилиты
- Заключение
Как проверить, кто установил программу на вашем компьютере
Используется ли более одного человека на вашем компьютере? С помощью этого простого руководства вы узнаете, как быстро узнать, кто удалил или установил новую программу в Windows. Чтобы проверить это, вам нужно всего несколько простых кликов. Сделай это 🙂
Многие люди не знают, сколько из нашей деятельности с уровня электрооборудования сохраняется и сохраняется. Не говоря уже о его использовании такими компаниями, как Microsoft или Google;) Тем не менее, информация о выполненных действиях также может быть полезна нам, если мы хотим что-то проверить на компьютере.
Сегодня мы хотели бы показать вам, как эффективно проверять, кто установил программу или удалил ее с вашего компьютера. Для целей этой консультации мы использовали Windows 10, но наше руководство также будет работать в Windows 7 (и более ранних версиях системы Microsoft) или Windows 8.
Кто удалил / установил программное обеспечение в Windows
Сначала нам нужно запустить программу под названием «Управление компьютером». Мы можем найти их простым способом — просто введите имя этого инструмента в поисковой системе Windows. Управление компьютером — это программа, которая позволяет вам проверять информацию о работе вашего компьютера, а также вводить интересующие нас изменения. Также следует добавить, что инструмент включен в режиме администратора.
После запуска управления компьютером в левой панели меню выберите «Служебные программы», а затем перейдите на вкладку «Просмотр событий», где мы открываем журнал Windows, и там файл данных — «Приложения». Таким образом, путь к файлу будет выглядеть так:
Системные инструменты> Просмотр событий> Журнал Windows> Приложение
В правой части окна мы найдем раздел «Действия», в котором вы должны нажать ссылку «Фильтровать текущий журнал». Эта функция позволяет отображать только список установленных или недавно удаленных программ.
Откроется окно настроек фильтра. Здесь, в поле «Источники событий», введите следующую команду: MsiInstaller. Затем нажмите кнопку OK, чтобы подтвердить введенную команду. MsiInstaller — это инструмент, отвечающий за установку и удаление программного обеспечения на нашем компьютере. С его уровня мы можем проверить сделанные изменения и кто их создал.
После ввода указанного фильтра результаты поиска в главном окне управления компьютером применимы только к установленным и удаленным программам. Теперь вам нужно только щелкнуть по любому элементу в списке. В нижней части экрана, в центральном окне с информацией, мы находим поле «Пользователь», а затем проверяем, кто внес изменения в компьютер. Конечно, список внесенных изменений может оказаться довольно существенным, и может потребоваться некоторое время, чтобы найти интересующую нас программу.
Однако, если у вас возникнут проблемы с введением вышеупомянутого руководства, прокомментируйте этот текст. Мы постараемся предложить лучшее решение. Напишите также, если вы ищете другие решения и руководства, и вы не можете найти их на нашем веб-сайте.
Источник
Как узнать кто установил программу на компьютер
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
первое это событие с ID 1040 покажет вам начало установки программы:
Далее идет сообщение с кодом ID 10000.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Завершается сеанс событием с кодом ID 10001
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
В результате вы получите письмо вот такого содержания:
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
Источник
Как узнать кто установил программу на компьютер
Добрый день уважаемые читатели и гости блога, в прошлый раз я вам рассказал, как определяется дата установки системы, сегодня же хочу показать, каким образом вы можете определить дату установки программ в Windows. Иногда бывают случаи, когда требуется узнать, кто именно инсталлировал, тот или иной софт, особенно если он не согласован по вашим стандартам на работе, так как чаще всего все отвечают не знаю или не я, а после фактов и логов уже не отмажешься или же вы заразили ваш компьютер, вирусом, который накачал вам левых программ, захламившим вашу операционную систему.
Методы получения даты установки программ
Программы и компоненты
Все ниже описанные действия, будут актуальны в любой версии Windows. Откройте «Панель управления > Программы и компоненты»
В открывшемся окне найдите нужную вам программу, в столбце «Установлено» вы увидите нужную вам дату, если щелкнуть по столбцу сверху, то у вас будет все отфильтровано по дате.
Через утилиту Ccleaner
Через просмотр событий
Все события происходящие в Windows, записываются в логи просмотра событий. Нажмите WIN+R и введите eventvwr.msc
В открывшемся окне «Просмотр событий» перейдите в пункт «Приложение»
В правой части, найдите пункт «Фильтр текущего журнала». В окне «Фильтровать текущий журнал», выберите источник событий Msinstaller.
В итоге вы получите список событий, по которому можете узнать кто и когда устанавливал программное обеспечение. В моем примере вы видите событие с кодом 11707, рассказывающее о установке Microsoft Visual C++ и видно, что его устанавливал пользователь sem.
Уверен, что данные методы по узнаванию даты установки программ и утилит вам пригодятся и вы сами сможете применить их на своей практике.
Популярные Похожие записи:
5 Responses to Дата установки программы в Windows
интересно,а как можно изменить дату установки программы? а то очень надо
Реестр Windows, все берется из него.
А где именно и как подскажи
Для каждой программы он свой, например у вас есть программа teamviwer, то заходите в реестр и ищите по нему данное слово.
1\AppData\Local\Temp\VCRedist\VCRedist_2012_x86_False\11.0.60610.1\Minimum\» ;Источник установки
«ModifyPath»=hex(2):4d,00,73,00,69,00,45,00,78,00,65,00,63,00,2e,00,65,00,78,
00,65,00,20,00,2f,00,58,00,7b,00,45,00,37,00,44,00,34,00,45,00,38,00,33,00,
34,00,2d,00,39,00,33,00,45,00,42,00,2d,00,33,00,35,00,31,00,46,00,2d,00,42,
00,38,00,46,00,42,00,2d,00,38,00,32,00,43,00,44,00,41,00,45,00,36,00,32,00,
33,00,30,00,30,00,33,00,7d,00,00,00
«NoModify»=dword:00000001
«Publisher»=»Microsoft Corporation»
«Readme»=»»
«Size»=»»
Источник
4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Еще как вариант можно проверить поисковые запросы, которые хранятся в аккаунте Google. Как это сделать, мы подробно рассказали в материале «Как удалить историю поисковых запросов в Google».
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Источник
Содержание
Содержание
О кибербезопасности сегодня задумываются не только мощные корпорации или государственные структуры. Даже самые обычные пользователи хотят, чтобы их персональные компьютеры были защищены от сторонних проникновений, а платежные данные и личные архивы не попали в руки злоумышленников.
Базовая безопасность
Уберечь систему от внешних и внутренних атак поможет функционал ОС Windows. Узнать о сторонних подключениях в рамках локальной домашней или офисной сети можно через панель управления компьютером.
Откроется отдельная консоль, где в разделе «Общие папки» и «Сеансы» будет виден список активных подключений.
О том, к каким данным обращались гости, расскажет раздел «Открытые папки».
Избавиться от назойливого внимания посетителей поможет Центр управления сетями и общим доступом в Windows. Отрегулировать права на вход или полностью закрыть свой ПК от посторонних позволят подробные настройки.
На это уйдет пара минут, а компьютер получит оптимальный уровень защиты без установки лишнего программного обеспечения.
Надежные файрволы
Файрволы оберегают ПК от всех видов удаленного проникновения. Помимо этих опций имеют развернутый дополнительный функционал:
• позволяют юзерам через гибкие настройки конфигурировать систему четко «под себя»; • защищают личную информацию, архивы и платежные реквизиты, хранящиеся на жестких дисках.
Comodo Firewall
Comodo Firewall – полноценный файрвол с хорошим набором разноплановых опций. Обеспечивает максимальную безопасность и предохраняет ПК от виртуальных атак.
Оснащен защитными системами:
• Defens+, распознающей внешнее вторжение; • HIPS, предотвращающей несанкционированный доступ.
Совместим с Windows всех версий, как 32bit, так и 64bit. На официальном сайте доступен абсолютно бесплатно. Удобный язык интерфейса выбирается во время установки.
Файрвол корректно работает в качестве самостоятельного элемента или как составная часть Comodo Internet Security. Имеет понятный интерфейс, не сложный в освоении. При активации режима Stealth Mode компьютер становится невидимым для ПО, сканирующего открытые порты с целью несанкционированного подключения.
Через систему Viruscope осуществляет динамический анализ всех процессов на ПК и сохраняет параметры их активности. В случае необычных изменений или фиксации подозрительной внешней/внутренней деятельности выдает оповещение.
GlassWire
GlassWire – популярный и регулярно обновляемый файрвол для 32bit и 64bit Windows старых и последних версий. В бесплатном варианте отслеживает сетевую активность, находит и блокирует нехарактерные соединения. Подает информацию в виде простого графика. При фиксации нарушении приватности на ПК или ноутбуке выдает предупреждение о том, что нужно срочно принять меры по защите системы и конфиденциальных сведений, хранящихся в папках и файловых архивах на компьютере.
В платном пакете содержатся дополнительные возможности и бонус-опции:
• запрос на разрешение/запрет любого нового соединения; • сообщение о подозрительной активности веб-камеры/микрофона с возможностью узнать, какое приложение запустило процесс; • предупреждение о попытках подключения к Wi-Fi или Network-сети; • пролонгированный срок хранения истории.
Платный софт предлагается в трех вариантах и разных ценовых категориях. Установить программу можно на любой ПК, оснащенный процессором Intel Celeron 2GHz и выше. Для корректной работы файрволу нужны свободные 100 MB на жестком диске.
ZoneAlarm FREE Firewall
Бесплатный ZoneAlarm FREE Firewall обеспечивает ПК глобальную защиту от любых атак. Эффективно блокирует действия хакеров, желающих похитить личные или платежные данные.
В real-time режиме держит под контролем все работающие через интернет приложения. Внимательно отслеживает любую активность в системе и фиксирует подозрительные события. Выявляет нехарактерные действия, на которые не реагирует установленный антивирус.
Пресекает удаленное сканирование портов и автоматом переводит их в режим скрытого функционирования, не оставляя злоумышленникам ни одного шанса для проникновения и похищения конфиденциальных данных.
Продвинутая версия PRO имеет более широкий функционал:
• блокировка персональных сведений от утечки в сеть; • мониторинг платежно/кредитных данных и оповещение о попытках мошеннических действий; • опция OSFirewall для выявления нежелательную активность программ и пресечения входящих угроз.
В отличии от бесплатной FREE, протестировать вариант PRO без оплаты можно в течение 30 дней, а потом, если все понравится, придется приобрести официальную лицензию.
Полезные утилиты
Если хочется всегда держать под контролем компьютер и личную информацию, но не перегружать систему лишним ПО, стоит обратить внимание на утилиты. Они мало весят, элементарно устанавливаются и не предъявляют никаких претензий к рабочим параметрам «железа». Простой функционал осваивается моментально даже теми, кто пользуется ПК только для интернет-серфинга и посещения соцсетей.
Connection Monitor от 10-Strike Software
Русскоязычная 10-Strike Connection Monitor корректно работает на компьютерах любой конфигурации, где стоит ОС Windows (независимо от версии). Сразу после запуска мониторит сетевые ресурсы, папки и файлы компьютера на предмет подключения извне. Ведет подробный лог-журнал и вносит туда сведения обо всех обращениях к системе.
Обнаруживает стороннее подключение и регистрирует попытки «гостей» посмотреть личную информацию на компьютере. Оповещает о проникновении следующими способами:
• звуковой сигнал; • всплывающая в трее подсказка с данными подключившегося юзера; • сигнальное окно; • SMS-сообщение; • письмо на e-mail.
Может отреагировать на нехарактерную активность запуском приложения или скрипта. Умеет блокировать внешние подключения и ограничивать/отключать сетевой доступ на какое-то время для определенных пользователей или всех посетителей.
Самые интересные фишки программы:
• индивидуальный «Черный список», куда заносятся слишком любопытные и назойливые «гости»; • закрытие от внешних пользователей определенных ресурсов компьютера; • ручной и автоматический способы включения/отключения доступа к ПК со стороны; • контроль приватности, показывающий, кто и когда просматривает ваши личные файлы через скрытые админресурсы.
Безвозмездно потестить утилиту можно в течение 30 дней. Потом придется купить лицензию с подпиской на бесплатные обновления и годовой техподдержкой. Продление соглашения на следующий год обойдется всего в 20% от изначальной стоимости пакета.
Для продвинутых пользователей разработана версия Pro. От обычной она отличается только тем, что функционирует как служба и не требует входить в систему для проведения проверки санкционированного/несанкционированного доступа.
Мощный универсал от разработчиков ПО Algorius Software
Algorius Net Watcher – эффективный и практичный инструмент для контроля и выявления санкционированных/несанкционированных подключений через проводную сеть или Wi-Fi. Дает возможность отслеживать проникновение на файловые серверы, домашние, офисные и корпоративные ПК. Приятный глазу интерфейс позволяет детально изучить поведение «гостя» и увидеть, к каким файлам он обращался.
Программа совместима не только с Windows XP, Vista, 7, 8, но и с прогрессивной Win10. К общим параметрам компьютера абсолютно не требовательна и занимает минимум места. О проникновении сообщают визуальный или звуковой сигнал.
Среди главных особенностей утилиты:
• поиск и сбор информации о постороннем вмешательстве в фоновом режиме еще до активации системы; • сохранение данных о всех действиях в истории; • возможность разъединять пользователей.
Чтобы просматривать отчеты права администратора не нужны.
Algorius Net Watcher представлен в бесплатном и платном вариантах. Бесплатная версия всегда доступна для скачивания на официальном сайте. Срок ее использования не ограничен.
Стоимость платного пакета варьируется в зависимости от количества компьютеров, которые нужно оснастить ПО. Дороже всего обходится лицензия на 1 ПК, а дешевле – программа, рассчитанная на 5 и более машин. В перечень бонус-опций входят:
• бесплатные мажорные обновления в течение года; • бесплатные минорные обновления без ограничения по срокам; • 50% скидки на мажорные обновления со второго года использования; • индивидуальный режим техподдержки.
Friendly Net Watcher – одно из самых старых, но до сих пор востребованных бесплатных мини-приложений. Весит всего 1,3 Mb, имеет упрощенный интерфейс и эффективно работает на слабых компьютерах с операционками типа Windows 2000/XP/Vista/7. Язык выбирается в процессе установки.
Дает возможность оперативно выяснить, кто через сеть проникает в ваш ПК, скачивает файлы и приобретает доступ к личной информации.
Дополнительно в программе доступны такие полезные опции, как:
• ведение истории отслеживающих мероприятий; • звуковое оповещение несанкционированного проникновения; • сбрасывание незваных «гостей» автоматически или вручную.
Friendly Net Watcher может работать как самостоятельно, так и в продвинутой оболочке Friendly Pinger, предназначенной для многоуровневого администрирования.
Заключение
Безопасность личных данных – залог спокойствия и благополучия. На какую-то одну программу полагаться не стоит. Лучше задать Windows соответствующие настройки, защитить ПК мощным файрволом, а параллельно использовать одну из выше описанных утилит. Через такой кордон пробиться будет практически невозможно.
Источник
Просмотреть все программы в Windows
- Нажмите клавишу Windows, введите Все приложения и нажмите клавишу ВВОД.
- В открывшемся окне представлен полный список программ, установленных на компьютере.
Как узнать, кто удалил программное обеспечение?
В средстве просмотра событий разверните Журналы Windows и выберите Приложение. Щелкните правой кнопкой мыши «Приложение» и выберите «Фильтровать текущий журнал». В новом диалоговом окне для раскрывающегося списка Источники событий выберите MsiInstaller. Одно из событий должно выявить пользователя, который удалил приложение.
Как вы проверяете, установлено ли программное обеспечение для всех пользователей?
Правильно щелкните Все программы и щелкните Все пользователии посмотрите, есть ли значки в папке «Программы». Быстрое приближение было бы проверить, помещает ли он ярлыки в (каталог профиля пользователя) All UsersStart Menu или (каталог профиля пользователя) All UsersDesktop.
Как я могу получить список всего программного обеспечения, установленного на моем компьютере?
Нажмите клавишу Windows + I, чтобы открыть Настройки, и щелкните Приложения.. При этом будут перечислены все программы, установленные на вашем компьютере, а также приложения Магазина Windows, которые были предустановлены. Используйте клавишу Print Screen, чтобы захватить список и вставить снимок экрана в другую программу, например Paint.
Как узнать, где установлена программа?
Вот шаги:
- Откройте меню «Пуск».
- Теперь щелкните программу правой кнопкой мыши, выберите «Еще» и выберите «Открыть расположение файла».
- Папка программы откроется, и будет выбран ярлык программы.
- Щелкните этот ярлык правой кнопкой мыши.
- Выберите опцию Открыть расположение файла.
Какой ярлык для проверки версии Windows?
Чтобы узнать, какая версия Windows установлена на вашем устройстве, нажмите кнопку Клавиша с логотипом Windows + R, введите winver в поле Открыть, а затем нажмите кнопку ОК.
Где хранятся удаленные приложения?
Просмотр и восстановление удаленных приложений с помощью Google Play
- Откройте приложение Google Play на своем устройстве.
- Коснитесь значка гамбургера (☰) слева от строки поиска — вы также можете провести вправо в любом месте экрана, чтобы получить доступ к меню.
- В меню нажмите «Мои приложения и игры», на некоторых устройствах Android вместо этого можно указать «Управление приложениями и устройствами».
Как найти удаленные программы в Windows 10?
Метод 2. Используйте восстановление системы для восстановления удаленных программ
- Нажмите кнопку «Пуск» и нажмите «Настройка» (значок шестеренки).
- Найдите Recovery в настройках Windows.
- Выберите Восстановление> Восстановление системы> Далее.
- Выберите точку восстановления, созданную до удаления программы. Затем нажмите «Далее».
Где находится папка Все пользователи в Windows 10?
Windows хранит все ваши пользовательские файлы и папки в C: Пользователи, за которыми следует ваше имя пользователя. Там вы увидите такие папки, как Рабочий стол, Загрузки, Документы, Музыка и Изображения. В Windows 10 эти папки также отображаются в проводнике в разделах «Этот компьютер» и «Быстрый доступ».
Где все пользователи запускаются в Windows 10?
Чтобы получить доступ к папке автозагрузки «Все пользователи» в Windows 10, откройте диалоговое окно Выполнить (Windows Key + R), введите shell: common startup и нажмите OK.. Для папки запуска «Текущий пользователь» откройте диалоговое окно «Выполнить» и введите shell: startup.
Что значит установить для всех пользователей?
Установка для всех пользователей дает все ваши профили имеют доступ к любым новым полям или объектам, которые были введены с пакетом. Обратитесь к соответствующим руководствам по обновлению TargetX для получения информации о любых новых полях или объектах и при необходимости измените разрешения.
Узнаем кто удалил или установил программу в Windows
Узнаем кто удалил или установил программу в Windows
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз я вас научил определять кто именно перезагрузил сервер, это полезный навык при расследовании инцидентов. Бывают ситуации, что на сервер используют большое количество пользователей с одинаковыми правами, и вдруг куда-то пропадает одна из программ, вы видите что ее нет, логично, что нужно выяснить кто именно удалил программу. Вот этим мы и займемся, я вас научу получать информацию, кто установил или удалил программу в Windows.
Как узнать кто установил программу и когда
И так у меня есть тестовый сервер с операционной системой Windows Server 2019 и я на него в качестве демонстрации буду устанавливать Microdoft Edge Chromium, FireFox Mozilla, а так же LogParser. Все события, что генерируются в операционной системе Windows появляются в просмотре событий, это лог файлы разбитые по журналам.
Открываем логи Windows, журнал «Приложение (Application)» или «Система (System)«, все зависит от инсталлятора которым собран пакет, так как есть те, что используют метод MsiInstaller , но есть и другие. Теперь запускаем инсталлятор LogParser. После установки я открываю журнал «Приложение», где я вижу ряд событий,
первое это событие с ID 1040 покажет вам начало установки программы:
Далее идет сообщение с кодом ID 10000.
Далее вы увидите событие, где заканчивается установка программы ID 1042
Завершается сеанс событием с кодом ID 10001
И заканчивается установка программы событием с кодом ID 11707
Иногда вы можете увидеть событие с ID 1033.
Если вы внимательны, то можете обратить внимание, что источником событий тут выступает MsiInstaller. Зная это вы легко можете произвести фильтрацию. Для этого в правой части найдите пункт «Фильтр текущего журнала»
В источниках событий выберите из выпадающего списка пункт MsiInstaller.
В итоге у меня получилось вот так.
Теперь когда события отфильтрованы по источнику MsiInstaller, вам будет еще легче найти кто установил, что установил и когда. В моем примере это сделал ROOTАдминистратор.
Так же событие ID 11707 с пользователем «SYSTEM (СИСТЕМА)» вы можете обнаружить, когда люди используют «Software Store» в SCCM
Если вы любите веб интерфейс, то должны уже использовать Windows Admin Center, в котором вы легко можете с любого устройства подключиться к просмотру событий нужного сервера и посмотреть необходимые события.
Автоматизация оповещения по событиям 11707
Теперь когда вы знаете, как находить события по установке программ в системах семейства Windows, вам нужно автоматизировать данный процесс. Например, получать по почте, кто установил, где и что. В этом нам поможет конечно же PowerSell. Смысл автоматизации состоит в том, что вы на нужном сервере создаете задание в планировщике Windows, где будет запускаться скрипт PowerShell. Я вам приведу два скрипта, первый тот, что гуляет на просторах интернета.
Тут главное заполнить:
- Адрес вашего SMTP сервера
- От кого будет письмо
- Кому отправлять письмо
- Пароль от ящика отправителя
В результате вы получите письмо вот такого содержания:
Тут два недостатка, во первых вы не видите, где был установлен новый софт, понятно, что можно на каждом сервере, где выполняется скрипт писать свою тему, но это не так удобно. Во вторых у вас в место имени пользователя идет SID, который потом нужно конвертировать в понятное имя.
Так же вам никто не запрещает просто открыть PowerShell и ввести не сложный код:
Напоминаю, что select-object -first 1 выводит первое событие, можете увеличить на нужное вам.
Как найти события установки программ не методом MsiInstaller
Как я и писал выше не все инсталляторы программ используют метод MsiInstaller, например при установке Edge Chrome или Mozilla Firefox, вы в журнале «Приложение» не обнаружите события с кодом ID 11707. В таком случае вам нужно перейти в журнал «СИСТЕМА (SYSTEM)» и сразу отфильтровать события по номеру ID 7045.
Выглядит событие ID 7045 вот так:
Имя службы: Mozilla Maintenance Service
Имя файла службы: «C:Program Files (x86)Mozilla Maintenance Servicemaintenanceservice.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Имя службы: Microsoft Edge Elevation Service
Имя файла службы: «C:Program Files (x86)MicrosoftEdgeApplication80.0.361.111elevation_service.exe»
Тип службы: служба режима пользователя
Тип запуска службы: Вручную
Учетная запись службы: LocalSystem
Как узнать кто удалил программу с сервера или компьютера
По аналогии с установкой, процесс деинсталляции или как его еще называют удаление, генерирует свои события в журналах Windows. Если мы говорим, про источник MsiInstaller из журнала «Приложение (Application)», то нам нужно фильтровать события по ID 11724 и ID 1034.
Так же вы можете спокойно использовать описанный выше скрипт и команду PowerShell, для автоматизации оповещения, о удалении программы.
Дополнительно
Хочу отметить, что существует ряд платных программ которые специализируются на аудите событий в Windows системах, например netwrix и им подобные, где вы так же легко сможете получать всю информацию, о том кто и когда установил программу, или кто и когда ее удалил.
Источник
Заметаем следы: быстрая очистка всех журналов событий в Windows
В некоторых случаях требуется удалить на компьютере или сервере все записи в журнале событий Windows. Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.
Очистка журналов событий с помощью PowerShell
В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog .
Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.
Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:
Clear-EventLog –LogName System
В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом « The System log file was cleared ».
Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:
Get-EventLog -LogName * | ForEach
Таким образом, будут очищены все классические журналы EventLogs.
Очистка журналов с помощью консольной утилиты WevtUtil.exe
Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe . Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:
Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:
WevtUtil enum-logs
или более короткий вариант:
На экране отобразится довольно внушительный список имеющихся журналов.
Примечание . Посчитать их количество можно с помощью команды WevtUtil el |Measure-Object. В моем случае, в Windows 10 насчитывается 1053 различных журналов).
Можно получить более подробную информацию по конкретному журналу:
Очистка событий в конкретном журнале выполняется так:
Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:
WevtUtil cl Setup /bu:SetupLog_Bak.evtx
Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:
Get-WinEvent -ListLog * -Force | %
Wevtutil el | ForEach
Примечание . В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.
Очистка журналов может быть выполнена и из классической командной строки:
Источник
Логи удаления файлов на компьютере?
Kamandre
Resu Deretsiger
Ответ: Логи удаления файлов на компьютере?
qsedftghk
Ответ: Логи удаления файлов на компьютере?
Паранойя процветает. Поставь на комп кейлогер какой-нибудь. А ещё можно на флеху нужную работу скидывать.
Это как это? В четыре руки что ли работаете? =)) То есть вторую учетку создать не судьба?
А самое действенное — стереть полработы второму туловищу, дабы он тоже мучался. В такой ситуации я бы сделал так. Зато потом никаких проблем.
Зы. А вообще, один комп на двоих в век нанотехнологий — это грустно.
Resu Deretsiger
Ответ: Логи удаления файлов на компьютере?
Тут доказательсьтва рукоблудства второга пользователя нужны, как я понял
ch_alex
Погулять вышел.
Ответ: Логи удаления файлов на компьютере?
suntory
Administrator
Ответ: Логи удаления файлов на компьютере?
или просто Filemon в автозапуск
suntory
Administrator
Ответ: Логи удаления файлов на компьютере?
lunatik
Забанен
Ответ: Логи удаления файлов на компьютере?
magneto
Ответ: Логи удаления файлов на компьютере?
Вообще-то на экстренный случай R-Studio имеется — найдётся всё ©
Kamandre
Ответ: Логи удаления файлов на компьютере?
Вторую учетку сделал, да толку то файлы общие и доступ тоже общий. Один комп на двоих — везет мне на такие работы, эх. Админы обещали кейлогер поставить, вот жду пока. У нас это эпидемия в конторе, то у одного сотрут полбазы, то у другого картинки пропадут.
Kamandre
Ответ: Логи удаления файлов на компьютере?
jASS, что-то вроде, не первый случай уже.
Ответ: Логи удаления файлов на компьютере?
Kamandre
Ответ: Логи удаления файлов на компьютере?
В одну смену, в одну. И грустно, да.
suntory, никак не могу назначить аудит на папку с работой.
После включения аудита доступа к объектам Вы можете указать, для каких файлов, папок и принтеров необходимо проводить отслеживание доступа. Для этого выполните следующие действия:
1. В Проводнике выберите файл или папку, которую необходимо отслеживать.
2. Щелкните правой кнопкой мыши по выбранному объекту и запустите команду «Свойства».
3. Перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
Источник
Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.
На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.
1. Проверяем историю браузеров
Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.
Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.
2. Проверяем, что искали в Google
Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.
Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.
Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.
Найти и изучить всю эту информацию вы можете в специальном разделе «Отслеживание действий».
3. Заглянем в Корзину
Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.
Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).
Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.
4. Недавно измененные файлы
В меню под кнопкой «Пуск» Windows (кроме Windows есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.
Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!
Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.
5. Папка «Загрузки»
Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.
Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».
6. Ищем программы, которые запускались в ваше отсутствие
В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.
Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:Program Files», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.
В списке начнут появляться исполняемые файлы, которые находятся в этой папке.
Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».
В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.
Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.
Если вы используете 64-разрядную версию Windows, то у вас будет еще одна папка — «C:Program Files (x86)». С ней нужно проделать то же самое.
Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.
Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.
7. Анализируем файлы журналов
Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.
Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).
Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.
Журнал безопасности
Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.
Журнал приложений
Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.
Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.
[Бонус] Ставим ловушку для неизвестного
Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.
При создании задачи укажите событие (триггер) «Вход в Windows».
Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.
Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!
Содержание
- 4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
- Как узнать, когда включали и выключали компьютер
- Как узнать, какие программы и файлы открывались
- Проверить историю браузера
- Удаленные файлы и корзина
- Как посмотреть последние действия пользователя на Windows ПК
- Содержание:
- История браузера
- Просмотр измененных файлов
- Поиск удаленных данных в корзине
- Просмотр папки «Загрузки»
- Просмотр последних установленных программ
- Поиск последних запущенных программ
- Дополнительные методы выявления последних действий
- Что делать если в ходе несанкционированного доступа были удалены важные данные?
- Часто задаваемые вопросы
- Как посмотреть историю компьютера, что делали и куда заходили
- Как посмотреть историю компьютера, чего делали, куда заходили – 6 способов
- 1. Какие программы и приложения запускались
- 2. Недавно измененные файлы на компьютере
- 3. История посещения сайтов в браузере
- 4. Папка загрузки на компьютере
- 5. Заглянем в Корзину
- 6. Смотрим файл журнала
- Журнал безопасности
- Журнал приложений
4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Еще как вариант можно проверить поисковые запросы, которые хранятся в аккаунте Google. Как это сделать, мы подробно рассказали в материале «Как удалить историю поисковых запросов в Google».
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Источник
Как посмотреть последние действия пользователя на Windows ПК
Ниже мы разберем основные методы просмотра последних событий на компьютере, а также расскажем про следы, которые оставляет после себя каждый пользователь Windows.
Содержание:
Операционная система Windows и многие программы, работающие в ней, оставляют после себя множество следов, при помощи которых можно определить, что происходило с компьютером во время отсутствия пользователя. Данное руководство поможет выявить куда заходили, что смотрели, какие программы запускались и какие файлы изменялись при несанкционированном доступе к Вашей системе.
Просмотр последних действий является комплексной мерой, требующей поочередной проверки отдельных элементов системы и программного обеспечения, где могли остаться следы после доступа к ПК третьих лиц.
История браузера
Первым делом следует проверить историю Вашего интернет-обозревателя, где всегда сохраняются адреса сайтов, на которые был совершен переход с браузера.
История браузера должна проверяться первым делом, поскольку с его помощью можно получить данные для входа в социальные сети, банковские аккаунты, учетные записи онлайн-сервисов цифровой дистрибуции (к примеру, Steam, Origin, Epic Games Store и т.д.) и другие сервисы, откуда злоумышленники могут получить данные платежных карт и другую материальную выгоду.
Чтобы просмотреть историю браузера Google Chrome, достаточно открыть интернет-обозреватель и нажать комбинацию клавиш Ctrl+H, либо ввести в поисковую строку путь «chrome://history/» или нажать по иконке трех точек в правом верхнем углу и в открывшемся меню выбрать пункт «История».
В открывшемся окне можно просмотреть дату, время и посещенные ресурсы, по которым можно определить, что искали третьи лица при несанкционированном доступе к ПК.
Если Вы обнаружили, что история браузера была очищена, хотя Вы этого не делали, это означает, что во время несанкционированного доступа кто-то пытался скрыть следы работы за компьютером.
В таком случае следует воспользоваться нашим руководством «Как восстановить историю браузера после очистки», где можно узнать про восстановление и просмотр истории во всех популярных браузерах.
Помимо истории, браузер Google сохраняет многие действия, совершенные в сети с компьютера, в специальном разделе «Мои действия», где можно более детально просмотреть вводившиеся поисковые запросы, просмотренные видеоролики на YouTube и другую информацию.
Для перехода в меню «Мои действия», достаточно скопировать и вставить в адресную строку ссылку https://myaccount.google.com/activitycontrols, после чего выбрать требуемый пункт (к примеру, выберем пункт «История приложений и веб-поиска», но также здесь можно просмотреть историю местоположений, история просмотров и поисков YouTube, данные с синхронизированных устройств и т.д.) и нажать по кнопке «Управление историей».
В открывшемся окне можно детально ознакомиться со всеми действиями, просмотрами и введенными поисковыми запросами, которые были совершены в ближайшее время.
Просмотр измененных файлов
Ознакомившись с историей в браузере следует приступить к выявлению действий, которые были совершены непосредственно с компьютером и личной информацией.
Чтобы просмотреть файлы, документы и другие данные, подвергнувшиеся изменению при несанкционированном доступе следует воспользоваться функцией просмотра именных файлов.
Чтобы сделать это необходимо:
Шаг 1. Нажимаем правой кнопкой мыши по «Пуск» и в открывшемся меню выбираем пункт «Выполнить». В строке открывшегося окна вводим команду «recent» и подтверждаем действие «Ок».
Шаг 2. В открывшемся окне можно обнаружить последние файлы, фотографии, документы и другие данные с которыми выполнялись какие-либо действия, а также точную дату их изменения.
Стоит отметить, что «подкованные» злоумышленники могут удалить все данные из этой папки, но это станет явным следом деятельности третьих лиц с системой и информацией.
Поиск удаленных данных в корзине
Если во время несанкционированного доступа к Вашему компьютеру были удалены какие-либо данные, они могли попасть в корзину, где можно посмотреть время удаления, а также быстро восстановить удаленные файлы.
При стандартных настройках интерфейса Windows, корзина всегда располагается на рабочем столе.
Если есть подозрения, что файлы были удалены при несанкционированном доступе, а корзина была очищена, рекомендуем срочно ознакомиться с темой «Как восстановить файлы после удаления в «Корзину» и ее очистки», поскольку если не восстановить данные сразу, в скором времени они могут быть уничтожены из-за перезаписи!
Просмотр папки «Загрузки»
Помимо корзины, обязательно следует посетить папку «Загрузки», поскольку в ней могут содержаться последние данные, скачанные на компьютер из интернета.
Это могут быть и вредоносные программы, и специальные утилиты для слежки, а также другое вредоносное и опасное ПО, способное навредить системе и конфиденциальности пользователя. Проще всего перейти в папку из каталога «Мой компьютер» или «Этот компьютер» в Windows 10.
В открывшемся окне следует внимательно проверить скачанные установочные данные и другие подозрительные файлы. В случае обнаружения таких, следует немедленно их удалить, поскольку запуск исполняемых файлов может привести к заражению.
Просмотр последних установленных программ
Во время несанкционированного доступа к Вашему компьютеру, в систему могли быть установлены сторонние программы, майнеры, рекламные приложения и другое нежелательное ПО, поэтому следует проверить список последних установленных программ.
Чтобы сделать это, следует:
Шаг 1. Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления», после чего переходим в непосредственно сам пункт «Панель управления».
Шаг 2. Находясь в панели управления, включаем режим отображения «Категория» и нажимаем по пункту «Удаление программы».
Шаг 3. В открывшемся списке нажимаем по графе «Установлено», чтобы выровнять перечень программ по дате установки, после чего внимательно просматриваем все недавно установленные программы на наличие подозрительных.
При обнаружении неизвестных утилит, лучшим решением будет их удаление. Это можно сделать при двойном нажатии левой кнопкой мыши в списке. Важно! В данном окне могут отображаться системные программы и утилиты, поэтому следует знать, что нужно удалить, а что лучше оставить.
Поиск последних запущенных программ
Система Windows также позволяет узнать в какое время и какие программы были запущенны, что поможет лучше понять, что происходило во время несанкционированного доступа.
Чтобы воспользоваться поиском последних запущенных программ необходимо:
Шаг 1. Переходим в каталог «Этот компьютер» и в правом верхнем углу вводим в поиск «.exe» — ключ, который позволит найти все исполняемые файлы на компьютере.
Шаг 2. Нажимаем правой кнопкой мыши по любому из колонок списка и в открывшемся меню выбираем «Сортировка», после чего «Подробнее».
Шаг 3. В открывшемся меню ставим галочку напротив пункта «Дата доступа», что позволит выровнять список по последним запущенным исполнительным файлам программ.
Дополнительные методы выявления последних действий
Помимо вышеописанных способов, опытные пользователи смогут воспользоваться просмотром журналов Windows, которые позволяют найти, когда были запущены различные приложения или, когда выполнялся вход и выход из системы.
Стоит отметить, что журнал событий является средством, предназначенным для системных администраторов, поэтому пользователи, не знающие коды конкретных событий, не смогут найти нужную информацию в журналах.
Помимо вышеописанных способов, можно на постоянной основе пользоваться специальными программами для слежения за компьютером (к примеру: NeoSpy, Snitch, Actual Spy и другие). В данном случае, утилиты будут показывать все действия, произведенные с компьютером в удобном меню и в понятной для любого пользователя форме.
Что делать если в ходе несанкционированного доступа были удалены важные данные?
Если Вы обнаружили, что кто-то намеренно удалил важные данные, фотографии, документы или любую другую информацию с компьютера, рекомендуем немедленно воспользоваться специальной утилитой для восстановления информации RS Partition Recovery.
С её помощью можно быстро вернуть данные, которые были удалены комбинацией клавиш Shift+Delete, отформатированы с носителя, удалены вирусным ПО, или уничтожены в ходе изменения логической структуры носителя.
RS Partition Recovery обладает крайне низкими системными требованиями, что позволяет использовать программу даже на ноутбуках и офисных машинах. Помимо этого, утилита для восстановления данных имеет интуитивно-понятный интерфейс, в котором сможет разобраться абсолютно любой пользователь.
Чтобы вернуть утерянные файлы, достаточно провести быстрое или полное сканирование накопителя. Это поможет выявить недавно удаленные файлы или все данные, возможные для восстановления. Чтобы ознакомиться с другими возможностями и преимуществами работы с RS Partition Recovery, рекомендуем посетить официальную страницу программы.
Часто задаваемые вопросы
Это сильно зависит от емкости вашего жесткого диска и производительности вашего компьютера. В основном, большинство операций восстановления жесткого диска можно выполнить примерно за 3-12 часов для жесткого диска объемом 1 ТБ в обычных условиях.
Если файл не открывается, это означает, что файл был поврежден или испорчен до восстановления.
Используйте функцию «Предварительного просмотра» для оценки качества восстанавливаемого файла.
Когда вы пытаетесь получить доступ к диску, то получаете сообщение диск «X: не доступен». или «Вам нужно отформатировать раздел на диске X:», структура каталога вашего диска может быть повреждена. В большинстве случаев данные, вероятно, все еще остаются доступными. Просто запустите программу для восстановления данных и отсканируйте нужный раздел, чтобы вернуть их.
Пожалуйста, используйте бесплатные версии программ, с которыми вы можете проанализировать носитель и просмотреть файлы, доступные для восстановления.
Сохранить их можно после регистрации программы – повторное сканирование для этого не потребуется.
Источник
Как посмотреть историю компьютера, что делали и куда заходили
В наше время информационная безопасность очень важна. Особенно, она важна на работе. Поэтому следить за тем, что происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности Вашего персонального компьютера просто необходимо.
Если Вы думаете, что в Ваше отсутствие посторонний человек копается в Вашей информации, то Вам стоит изучить как просматривать историю изменений. Кстати, если у Вас дети, то полученную информацию возможно применить и к ним. Ведь отслеживать чем занимается Ваше дитя за компьютером пока Вы его не контролируете иногда бывает весьма полезно.
Как посмотреть историю компьютера, чего делали, куда заходили – 6 способов
На данный момент существует два варианта проверки того, что было с ПК. Для одного варианта достаточно лишь компьютера, а для второго необходим еще и интернет.
Все поисковые системы сохраняют историю действия пользователя в сети. Для того, чтобы просмотреть историю похождений необходимо нажать кнопки CTRL и H. Благодаря этой комбинации клавиш Вы увидите, где происходили путешествия по сети. Если переживаете, что посторонний увидит историю посещений, то знайте, что Вы всегда сможете ее очистить одной кнопкой.
Чтобы просмотреть историю Вам следует зайти в меню «Пуск» и ввести в окошке специальный набор символов msinfo32 и кликом компьютерной мыши запустите программу. Постарайтесь не делать никаких пробелов и написать символы верно, иначе ничего не запустится.
Если Вам хочется посмотреть, что ранее происходило на Вашей рабочей машине, выберите рубрику выполняемые задачи. И вот на экране Вам представлен событийный журнал.
1. Какие программы и приложения запускались
Чтобы это узнать нужно будет зайти в «Журналы Windows», а затем зайти в подкатегорию «Приложения». В журналах можно ознакомиться с историей того, что открывалось, когда запускалось и что произошло в связи с этим запуском.
Если Вам необходимо посмотреть, что за приложения открывали с Вашего компа, можете зайти в пункт «Установка». Здесь находятся установки посторонних и системных программ.
Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.
Во всех файлах существует определенный признак – дата их открывания. Время определяет когда пользователь запустил приложение либо файл.
Найти программы, которые были использованы можно! Пройдите в папку «C:Program Files». В строке поиска напишите следующую комбинацию «*.exe» и нажмите клавишу «Enter». Теперь в перечне будут отображаться файлы, содержащиеся в папке.
Далее в пункте «Вид» следует выбрать форму таблицы и надавить по заголовку столбца (безразлично какого) правой кнопкой мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», затем вкладку «Дата доступа» и нажимаете кнопочку «ОК».
После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать необходимый Вам период времени. Если Ваша система шестидесяти четырех разрядная, то такие манипуляции Вам необходимо будет произвести также с папочкой «C:Program Files (x86)». Вспомните, что если Ваши программы установлены в других местах, то проверить необходимо и те места тоже.
При поиске не забывайте об одной важной детали: когда Вы начинаете открывать приложения, данные об их предыдущем запуске автоматически затираются Вашими сведениями о вхождении и теперь выяснить время предшествующего вхождения невозможно.
2. Недавно измененные файлы на компьютере
Обнаружить файлы с изменениями довольно легко: нажимайте на «Пуск» и выбирайте вкладку «Недавние файлы». Если такой опции нет, то попробуйте надавить совместно клавиши Win+R, а в возникшем окошке напишите «recent», запустив процедуру клавишей Enter. Теперь Вы увидите папку в которой содержится перечень измененных файлов. Кроме этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы открывались последними на этом ПК. Конечно, если человек, который проникает на Ваш компьютер знаком хоть немного с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько. Поэтому, если папка окажется пустой, ищите на Ваших жестких дисках файлы со свежим временем изменений.
3. История посещения сайтов в браузере
Проверка истории посещения сайтов зависит от того каким браузером Вы пользуетесь. Самые распространенные браузеры Google Chrome и Firefox. Итак, рассмотрим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):
Если Вы предпочитаете использовать браузер Firefox, то выполняемые действия будут немного отличаться. Потребуется следующее:
После этих манипуляций откроется окошко с историей Ваших посещений за какой-либо период времени (его можно выбрать). Теперь Вы сможете изучить информацию о посещении страничек. Конечно, историю посещений легко подчистить и удалить, с целью заметания следов. Особенно, этим славятся подростки, историю посещений которых изучают бдительные родители. В таком случае Вам необходимо будет установить дополнительное приложение, которое будет складывать информацию о жизнедеятельности в сети. Приложений таких очень много и как говорится интернет Вам в помощь!
4. Папка загрузки на компьютере
Путь к «Загрузкам» лежит через кнопку «Пуск», которую нужно нажать. В колонке справа находится название «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.
Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте соответствующие выводы. Для своего удобства Вы можете выбрать вид отображения «Таблица».
5. Заглянем в Корзину
Для понимания того какие файлы удалены можно открыть корзину и отсортировать сохраненную в ней информацию по времени удаления, посмотреть интересующий Вас отрезок времени и проанализировать, что было уничтожено.
Конечно, если аккуратный нехороший человек копался в Вашей машине, он наверняка подчистил корзину, но вдруг ему кто-то помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю информацию.
6. Смотрим файл журнала
Для проверки журнала Вашей ОС нужно открыть «Панель управления» и найти функцию «Администрирование». После этого кликнуть на «Управление компьютером» и в навигационной панели найти вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».
Журналы эти имеют массу нужной информации о жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.
Журнал безопасности
В этом месте производится фиксация всех событий, чтобы просмотреть этот журнал попробуйте открыть окно просмотра событий и в журнале «Windows» выберите вкладку «Безопасность». Теперь Вы увидите события безопасности. Для того, чтобы узнать дополнительные сведения о каком-либо событии достаточно будет нажать на него и изучить полученную информацию.
Отметим, что этот журнал в обязательном порядке включает информацию о входе в систему. Если Вы знаете о своих входах в систему, то Вы всегда сможете идентифицировать время входа постороннего человека.
Журнал приложений
Включает в себя информацию о том, что за приложения открывались с Вашей машины. Когда Вы пытаетесь понять, какие приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию по дате в событиях.
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.
Источник
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Фото: Depositphotos
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
Здесь отображается активность всех пользователей. То есть если на компьютере несколько учетных записей, то в списке они будут указаны вперемешку.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Первая колонка показывает время включения, вторая — выключения.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Работа с программами предельно проста. Откройте архив и запустите исполняемый файл (с расширением .exe).
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Благодаря иконкам сразу можно понять, что недавно открывался архиватор.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Еще как вариант можно проверить поисковые запросы, которые хранятся в аккаунте Google. Как это сделать, мы подробно рассказали в материале «Как удалить историю поисковых запросов в Google».
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Это тоже интересно:
Во время загрузки произошла ошибка.
Хотите получать новости по теме?