一、通过事件查看器检查系统日志

打开事件查看器

按下 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 回车，或通过控制面板进入。

查看系统日志

- 在左侧导航栏选择 Windows 日志→ 安全，记录所有登录和用户活动。

- 关注事件代码：

- `6005`：正常开机

- `6006`：正常关机

- `6009`：非正常关机（可能涉及未授权操作）

- `6011`：NetBIOS名称更改。

分析异常记录

若发现未知登录或非正常关机记录，可通过事件描述中的用户名、时间等信息追踪操作人员。

二、检查文件访问痕迹

使用“最近文件”功能

- 按 `Win + R` 输入 `recent`，按 `Modify Date` 排序，查看近期打开的文件、图片、文档等。

- 注意隐藏文件或系统文件可能被篡改。

通过Prefetch文件夹分析

- 打开 `C:\Windows\Prefetch`，查看按时间排序的程序执行记录，识别未知程序。

三、监控后台进程

使用任务管理器

- 按 `Ctrl + Shift + Esc` 打开任务管理器，切换到 性能标签页，查看 进程中的异常运行程序。

- 结合资源使用情况（如CPU、内存占用）判断可疑进程。

使用资源监视器

- 在任务管理器中打开 资源监视器，实时监控后台进程活动，检测未知程序或异常行为。

四、管理用户登录信息

配置登录历史显示

- 通过 `gpedit.msc`（本地组策略编辑器）启用 用户登录期间显示有关以前登录的信息，下次登录时可见历史记录。

- 适用于Windows Vista及以上系统。

五、其他实用工具

文件历史记录：

部分第三方工具可提供更详细的文件访问追踪功能。

系统还原：若发现异常，可通过系统还原点恢复到安全状态。

注意事项

日志文件可能被篡改，建议定期备份重要数据。

高级用户可通过注册表或组策略进一步限制访问权限。

若发现不明操作，建议及时更改密码并检查系统更新。

通过以上方法，可有效判断电脑是否被他人使用，并采取相应安全措施。