Как узнать кто создал файл windows

siluet devushka zakat 121852 1280x720 Windows
Содержание
  1. Как определить кто открыл файлы в сетевой папке и сбросить сессии пользователя в Windows Server
  2. 1 способ. Получаем список открытых файлов с помощью оснастки «Управление компьютером».
  3. 2 способ. Просмотр открытых файлов через командную строку утилитой Openfiles.
  4. Определяем кто открыл сетевой файл.
  5. Закрываем заблокированный сетевой файл.
  6. Как узнать кто создал файл windows
  7. Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell
  8. Начнем.
  9. А теперь очень интересный скрипт.
  10. Рекомендации
  11. Как посмотреть историю компьютера, что делали и куда заходили
  12. Как посмотреть историю компьютера, чего делали, куда заходили – 6 способов
  13. 1. Какие программы и приложения запускались
  14. 2. Недавно измененные файлы на компьютере
  15. 3. История посещения сайтов в браузере
  16. 4. Папка загрузки на компьютере
  17. 5. Заглянем в Корзину
  18. 6. Смотрим файл журнала
  19. Журнал безопасности
  20. Журнал приложений
  21. 7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)
  22. 1. Проверяем историю браузеров
  23. 2. Проверяем, что искали в Google
  24. 3. Заглянем в Корзину
  25. 4. Недавно измененные файлы
  26. 5. Папка «Загрузки»
  27. 6. Ищем программы, которые запускались в ваше отсутствие
  28. 7. Анализируем файлы журналов
  29. Журнал безопасности
  30. Журнал приложений
  31. [Бонус] Ставим ловушку для неизвестного

Как определить кто открыл файлы в сетевой папке и сбросить сессии пользователя в Windows Server

На общедоступном сетевом ресурсе могут возникать ошибки доступа к файлам. Причиной этому является некорректно завершенная сессия пользователя, ошибки в работе ПО или просто кто-то открыл файл и не закрывает его. В такой ситуации файл оказывается заблокированным и не доступен для работы другим пользователям.

Решить проблему доступа к файлу можно путем закрытия сеансов использующих этот файл. В этой статье я расскажу как определить кто открыл файл в сетевой папке и как закрыть это подключение.

Рассмотрим два способа:

1 способ. Получаем список открытых файлов с помощью оснастки «Управление компьютером».

Для получения списка открытых файлов на файловом сервере воспользуемся оснасткой консоли «Управление компьютером». Для запуска оснастки нажимаем сочетание клавиш «Win + R» и набираем название оснастки «compmgmt.msc».

image 21

В иерархии оснастки переходим /Управление компьютером/Служебные программы/Общие папки/Открытые файлы.

В правой части оснастки появится список открытых файлов. Здесь можно увидеть имя пользователя открывшего файл, количество блокировок и режим доступа к файлу.

image 22

Закрываем файл. Чтобы закрыть сетевой файл открытый другим пользователем находим его в списке и в контекстном меню выбираем пункт «Закрыть открытый файл».

image 23

2 способ. Просмотр открытых файлов через командную строку утилитой Openfiles.

Утилита Openfiles дает нам более широкие возможности по поиску и закрытию заблокированных файлов.

C помощью openfiles можно просмотреть список открытых файлов на сервере удаленно. Для этого открываем командную и запускаем утилиту с параметрами.

По-умолчанию список файлов показан в формате таблицы, но есть параметры позволяющие изменить формат вывода:

Если необходимо увидеть информацию о количестве блокировок файлов (#Locks) и в каком режиме открыт файл (чтение или запись), то можно воспользоваться параметром /v.

Определяем кто открыл сетевой файл.

Чтобы найти пользователя, который открыл и заблокировал нужный нам файл запускаем Openfiles с командой find.

в команде find указан параметр /i, чтобы поиск был регистронезависимым.

После того когда мы узнали имя пользо

Закрываем заблокированный сетевой файл.

Закрыть открытый файл можно по id сессии таким способом:

Закрыть все сетевые подключения к файлам и папкам, которые открыл пользователь BadUser:

Закрыть все файлы и директории открытые в режиме чтение/запись:

Закрыть все подключения к директории с именем «c:\myshare»:

Чтобы сбросить все сессии на удаленном сервере FileServer, которые открыл пользователь domain\baduser, независимо от id сессии:

Источник

Как узнать кто создал файл windows

Написал программку, которая мониторит файловую систему и отслеживает создающиеся файлы. Только кроме файлов, которые создаю я сам, или какой-то другой пользователь также перехватывается куча другого мусора: постоянно создаются какие-то файлы в директориях Temporary Internet Files, Local Settings\Temp и в других местах. Видимо эти фалы создаются самой виндой и другими программами. Вопрос такой, как мне отфильтровать эти левые файлы, а записывать путь только к тем, которые создаются именно пользователем.

topdown
panov © ( 2004-09-30 21:36 ) [1]

Чем же тебе помочь, если ты даже не сказал, каким образом ты решил поставленную задачу.

topdown
Grigoryan ( 2004-09-30 22:18 ) [2]

topdown
panov © ( 2004-09-30 22:37 ) [3]

topdown
Grigoryan ( 2004-10-01 20:01 ) [4]

Это не совсем мне подходит, мне надо отличить файл, созданный пользователем ручками в проводнике допустим, от файла, созданного какой-либо программой.

topdown
Gero © ( 2004-10-02 00:17 ) [7]

topdown
Defunct © ( 2004-10-02 02:28 ) [9]

Grigoryan (30.09.04 20:49)

Игнорировать папки с мусором (internet temporary files, windows\temp и т.п.), и игнорировать файлы с заведомо тупыми именами «$$$342#sd.doc» и т.п., а также игнорировать файлы с атрибутом Hidden (пользователь никогда не создавает hidden и system файлы).

1. Проверяй имя и атрибуты файла: если временный \temp\имя или атрибут in[faSystem,faHidden], e.t.c
2. Перехватывай функцию CreateFile и подобные по результату
3. При перехвате, если знаешь asm, можешь пройти по адресам вызывавших функций и узнать всю цепь вызовов, а по месту вызова handle & e.t.c

topdown
Gero © ( 2004-10-02 07:49 ) [11]


DrPass © (02.10.04 00:35)
> Не умничай 🙂

Что, мне уже и поумничать нельзя? 🙂

Источник

Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell

Начнем.

Для начала включим к групповых политиках возможность аудита доступа к файлам и папкам.
Локальные политики безопасности->Конфигурация расширенной политики безопасности->Доступ к объектам
Включим «Аудит файловой системы» на успех и отказ.
После этого на необходимые нам папки необходимо настроить аудит.
Проходим в свойства папки общего доступа на файловом сервере, переходим в закладку «Безопасность», жмем «Дополнительно», переходим в закладку «Аудит», жмем «Изменить» и «Добавить». Выбираем пользователей для которых вести аудит. Рекомендую выбрать «Все», иначе бессмысленно. Уровень применения «Для этой папки и ее подпапок и файлов».
Выбираем действия над которыми мы хотим вести аудит. Я выбрал «Создание файлов/дозапись данных» Успех/Отказ, «Создание папок/дозапись данных» Успех/отказ, Удаление подпапок и файлов и просто удаление, так же на Успех/Отказ.
Жмем ОК. Ждем применения политик аудита на все файлы. После этого в журнале событий безопасности, будет появляться очень много событий доступа к файлам и папкам. Количество событий прямопропорционально зависит от количества работающих пользователей с общим ресурсом, и, конечно же, от активности использования.

Читайте также:  Если прервать установку обновления виндовс

Итак, данные мы уже имеем в логах, остается только их оттуда вытащить, и только те, которые нас интересуют, без лишней «воды». После этого акурратно построчно занесем наши данные в текстовый файл разделяя данные симовлами табуляции, чтобы в дальнейшем, к примеру, открыть их табличным редактором.

А теперь очень интересный скрипт.

Скрипт пишет лог об удаленных файлах.

Как оказалось при удалении файлов и удалении дескрипторов создается одно и тоже событие в логе, под При этом в теле сообщения могут быть разные значения «Операции доступа»: Запись данных (или добавление файла), DELETE и т.д.
Конечно же нас интересует операция DELETE. Но и это еще не все. Самое интересное, то что, при обычном переименовании файла создается 2 события с ID 4663, первое с Операцией доступа: DELETE, а второе с операцией: Запись данных (или добавление файла). Значит если просто отбирать 4663 то мы будем иметь очень много недостоверной информации: куда попадут файлы и удаленные и просто переименованные.
Однако мной было замечено, что при явном удалении файла создается еще одно событие с ID 4660, в котором, если внимательно изучить тело сообщения, содержится имя пользователя и еще много всякой служебной информации, но нет имени файла. Зато есть код дескриптора.
13ffeb99415571ed236600473885e7e4
Однако предшествующим данному событию было событие с ID 4663. Где как раз таки и указывается и имя файла, и имя пользователя и время, и операция как не странно там DELETE. И самое главное там имеется номер дескриптора, который соответствует номеру дескриптора из события выше (4660, помните? которое создается при явном удалении файла). Значит теперь, чтобы точно знать какие файлы удалены, необходимо просто найти все события с ID 4660, а так же предшествующие каждому этому событию, событие с кодом 4663, в котором будет содержаться номер нужного дескриптора.
1e9ef6ef3da6da6312f06f4abb6909bc
Эти 2 события генерируются одновременно при удалении файла, но записываются последовательно, сначала 4663, потом 4660. При этом их порядковые номера различаются на один. У 4660 порядковый номер на единицу больше чем у 4663.
Именно по этому свойству и ищется нужное событие.
f0c424354c8ff6c597f526a16c36ddce

Т.е. не записываем информацию об удаленных временных файлах (.*tmp), файлах блокировок документов MS Office (.*lock), и временных файлах MS Office (.*

Для лога удаленных файлов я использую схему: один файл на один месяц с именем содержащим номер месяца и год). Т.к. удаленных файлов в разы меньше чем файлов к которым был доступ.

В итоге вместо бесконечного «рытья» логов в поисках правды, можно открыть лог-файл любым табличным редактором и просмотреть нужные нам данные по пользователю или файлу.

Рекомендации

Вам придется самим определить время в течении которого вы будете искать нужные события. Чем больше период, тем дольше ищет. Все зависит от производительности сервера. Если слабенький — то начните с 10 минут. Посмотрите, как быстро отработает. Если дольше 10 минут, то либо увеличьте еще, вдруг поможет, либо наоборот уменьшите период до 5 минут.

Источник

Как посмотреть историю компьютера, что делали и куда заходили

history komp

В наше время информационная безопасность очень важна. Особенно, она важна на работе. Поэтому следить за тем, что происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности Вашего персонального компьютера просто необходимо.

Если Вы думаете, что в Ваше отсутствие посторонний человек копается в Вашей информации, то Вам стоит изучить как просматривать историю изменений. Кстати, если у Вас дети, то полученную информацию возможно применить и к ним. Ведь отслеживать чем занимается Ваше дитя за компьютером пока Вы его не контролируете иногда бывает весьма полезно.

Как посмотреть историю компьютера, чего делали, куда заходили – 6 способов

На данный момент существует два варианта проверки того, что было с ПК. Для одного варианта достаточно лишь компьютера, а для второго необходим еще и интернет.

Все поисковые системы сохраняют историю действия пользователя в сети. Для того, чтобы просмотреть историю похождений необходимо нажать кнопки CTRL и H. Благодаря этой комбинации клавиш Вы увидите, где происходили путешествия по сети. Если переживаете, что посторонний увидит историю посещений, то знайте, что Вы всегда сможете ее очистить одной кнопкой.

Чтобы просмотреть историю Вам следует зайти в меню «Пуск» и ввести в окошке специальный набор символов msinfo32 и кликом компьютерной мыши запустите программу. Постарайтесь не делать никаких пробелов и написать символы верно, иначе ничего не запустится.

Если Вам хочется посмотреть, что ранее происходило на Вашей рабочей машине, выберите рубрику выполняемые задачи. И вот на экране Вам представлен событийный журнал.

1. Какие программы и приложения запускались

Чтобы это узнать нужно будет зайти в «Журналы Windows», а затем зайти в подкатегорию «Приложения». В журналах можно ознакомиться с историей того, что открывалось, когда запускалось и что произошло в связи с этим запуском.

Если Вам необходимо посмотреть, что за приложения открывали с Вашего компа, можете зайти в пункт «Установка». Здесь находятся установки посторонних и системных программ.

Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.

Во всех файлах существует определенный признак – дата их открывания. Время определяет когда пользователь запустил приложение либо файл.

Найти программы, которые были использованы можно! Пройдите в папку «C:\Program Files\». В строке поиска напишите следующую комбинацию «*.exe» и нажмите клавишу «Enter». Теперь в перечне будут отображаться файлы, содержащиеся в папке.

Читайте также:  Виндовс 10 просмотр скрытых файлов

Далее в пункте «Вид» следует выбрать форму таблицы и надавить по заголовку столбца (безразлично какого) правой кнопкой мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», затем вкладку «Дата доступа» и нажимаете кнопочку «ОК».

После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать необходимый Вам период времени. Если Ваша система шестидесяти четырех разрядная, то такие манипуляции Вам необходимо будет произвести также с папочкой «C:\Program Files (x86)\». Вспомните, что если Ваши программы установлены в других местах, то проверить необходимо и те места тоже.

При поиске не забывайте об одной важной детали: когда Вы начинаете открывать приложения, данные об их предыдущем запуске автоматически затираются Вашими сведениями о вхождении и теперь выяснить время предшествующего вхождения невозможно.

2. Недавно измененные файлы на компьютере

Обнаружить файлы с изменениями довольно легко: нажимайте на «Пуск» и выбирайте вкладку «Недавние файлы». Если такой опции нет, то попробуйте надавить совместно клавиши Win+R, а в возникшем окошке напишите «recent», запустив процедуру клавишей Enter. Теперь Вы увидите папку в которой содержится перечень измененных файлов. Кроме этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы открывались последними на этом ПК. Конечно, если человек, который проникает на Ваш компьютер знаком хоть немного с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько. Поэтому, если папка окажется пустой, ищите на Ваших жестких дисках файлы со свежим временем изменений.

3. История посещения сайтов в браузере

Проверка истории посещения сайтов зависит от того каким браузером Вы пользуетесь. Самые распространенные браузеры Google Chrome и Firefox. Итак, рассмотрим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):

Если Вы предпочитаете использовать браузер Firefox, то выполняемые действия будут немного отличаться. Потребуется следующее:

После этих манипуляций откроется окошко с историей Ваших посещений за какой-либо период времени (его можно выбрать). Теперь Вы сможете изучить информацию о посещении страничек. Конечно, историю посещений легко подчистить и удалить, с целью заметания следов. Особенно, этим славятся подростки, историю посещений которых изучают бдительные родители. В таком случае Вам необходимо будет установить дополнительное приложение, которое будет складывать информацию о жизнедеятельности в сети. Приложений таких очень много и как говорится интернет Вам в помощь!

4. Папка загрузки на компьютере

Путь к «Загрузкам» лежит через кнопку «Пуск», которую нужно нажать. В колонке справа находится название «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.

Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте соответствующие выводы. Для своего удобства Вы можете выбрать вид отображения «Таблица».

5. Заглянем в Корзину

Для понимания того какие файлы удалены можно открыть корзину и отсортировать сохраненную в ней информацию по времени удаления, посмотреть интересующий Вас отрезок времени и проанализировать, что было уничтожено.

Конечно, если аккуратный нехороший человек копался в Вашей машине, он наверняка подчистил корзину, но вдруг ему кто-то помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю информацию.

6. Смотрим файл журнала

Для проверки журнала Вашей ОС нужно открыть «Панель управления» и найти функцию «Администрирование». После этого кликнуть на «Управление компьютером» и в навигационной панели найти вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».

Журналы эти имеют массу нужной информации о жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.

Журнал безопасности

В этом месте производится фиксация всех событий, чтобы просмотреть этот журнал попробуйте открыть окно просмотра событий и в журнале «Windows» выберите вкладку «Безопасность». Теперь Вы увидите события безопасности. Для того, чтобы узнать дополнительные сведения о каком-либо событии достаточно будет нажать на него и изучить полученную информацию.

Отметим, что этот журнал в обязательном порядке включает информацию о входе в систему. Если Вы знаете о своих входах в систему, то Вы всегда сможете идентифицировать время входа постороннего человека.

Журнал приложений

Включает в себя информацию о том, что за приложения открывались с Вашей машины. Когда Вы пытаетесь понять, какие приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию по дате в событиях.

Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах.

Источник

7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

detective 1424831 640

На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.

1. Проверяем историю браузеров

Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.

Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.

logs06

2. Проверяем, что искали в Google

Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.

Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.

Читайте также:  Виндовс сам удаляет файлы как отключить

SNAG 0001

Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.

Найти и изучить всю эту информацию вы можете в специальном разделе «Отслеживание действий».

3. Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

recycle bin screenshot

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

4. Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

logs04

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.

logs05

5. Папка «Загрузки»

Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.

downloads folder screenshot

Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».

6. Ищем программы, которые запускались в ваше отсутствие

В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.

dllhost 2017 06 09 02 07 55

Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.

explorer screenshot 1

В списке начнут появляться исполняемые файлы, которые находятся в этой папке.

explorer 2017 06 09 02 45 27

Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».

explorer 2017 06 09 02 27 39

В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.

explorer last access filelist

Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.

Если вы используете 64-разрядную версию Windows, то у вас будет еще одна папка — «C:\Program Files (x86)\». С ней нужно проделать то же самое.

Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.

Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.

7. Анализируем файлы журналов

Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).

cm01

Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.

logs02

Журнал безопасности

Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.

logs032

Журнал приложений

Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.

log04

Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.

[Бонус] Ставим ловушку для неизвестного

Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.

logs07

При создании задачи укажите событие (триггер) «Вход в Windows».

logs08

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

logs09

Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!

Источник

Оцените статью
Как сделать в домашних условиях
Adblock
detector