當您臨時離開本本之后

郭建偉

當您在操作本本時，有時會因故離開本本。在此期間，您最擔心的就是有人會乘機接觸您的愛機，窺視您的機密信息。特別是在公共場合（例如辦公室等），這種情況尤為突出。如何才能準確判斷別人是否動過自己的本本，并尋找到與之相關的可靠證據呢？使用本文介紹的方法，幫助您追蹤非法使用者留下的蛛絲馬跡，讓其在您的眼前徹底“現形”。

開機疑云，誰動了我的本本

不管任何人開啟您的本本，必然會留下蛛絲馬跡。如果您使用的是Windows 7，問題就簡單多了。在開始運行中執行“gpedit.msc”命令，在組策略窗口左側選擇“計算機配置”→“管理模板”→“Windows組件”→“Windows登錄選項”分支，在右側窗口中雙擊“在用戶登錄期間顯示有關以前登錄的信息”項，在彈出的對話框中選擇“已啟用”項，這樣當您啟動Windows 7后，就會自動顯示上一次登錄信息，我們可以輕易發現是否有人非法啟動了您的愛機。

利用事件管理器，可以準確跟蹤本本的開關機情況。執行“eventvwr.msc”程序，在事件查看器窗口左側選擇“Windows日志”-“系統”項，在右側窗口中選擇“篩選當前日志”項，在打開窗口中的“事件類型”列表中選擇“eventlog”選項，在事件ID欄中輸入“6005”，點擊確定按鈕，可以過濾所有ID為6005的事件，該事件表示開機事件，在過濾列表中可以詳細了解每次開機的日期和時間信息。按照同樣的方法，查詢ID為6006的事件，就可以過濾所有的關機事件了。雙擊對應的事件項目，在打開窗口（如圖1）中可以深人了解其內容。

此外，您還可以使用《系統開機記錄》這款軟件，全面掌控開關機信息。……