虽然我们有时极不情愿,但是自己的电脑还是被借出去一段时间。我们如何知道对方在我们的电脑上都做了什么呢?若你无意中发现有人趁你不在时使用了你的电脑,那你这时又该做些什么呢?
以Windows 7系统为例,从“收藏夹/最近访问的位置”菜单中可以看到对方最近使用过的文档列表。不过,只要对方不想让你知道,那么对方在归还电脑之前会清空这个列表,或将其中重要的项清除。其次,打开IE,从IE的“收藏夹”菜单中可以找到对方最近访问过,并且添加到收藏夹里的网址快捷方式。当然,这个也是对方在归还之前最容易想到并清空的。那这时,我们怎么知道对方在我们的电脑上做过什么呢?
首先,打开资源管理器,进入“C:\Documents and Settings\<用户名>\Cookies”(其中的“<用户名>”即用户当前实际的名称,后同)目录中,这时会看到很多纯文本文件,其格式为“<用户名>@网址[1].txt”,这种方式叫作Cookies,一般而言,Cookies用于保存你登录某网站时的记录。如果用记事本打开,虽然有些内容依稀可以看懂,但该文件的内容一般都是加密的,所以没有必要对其内容有过多的兴趣。而文件名中的“网址”则大有讲究,其通常是某网站的域名,而这个网址往往正是对方最近所访问网站的一部分或全部。更重要的是,这种Cookies在清除上网记录时通常不会被删除,因而可以作为访问网站的“记录”,例如某文件名为“lrm@match.sina.com[1].txt”,则很有可能借用电脑的人最近访问了以“sina.com”为域名的网址。
第二个保存较全文档访问记录的地址是IE浏览器中的“历史记录”,有趣的是,IE浏览器中的“历史记录”记录的不仅仅是该浏览器所打开过的文档列表,还包括一些不是由该浏览器打开,只不过这些文档的类型是该浏览器可以打开的那些文件,如图3.6所示。
图3.6 IE浏览器中的“历史记录”
刚进办公室,似乎突然看到一个影子从我的办公位置上闪过,难道有人用了我的电脑了吗?迅速走到自己的办公位置上,看到所有东西的摆放如自己离开时的一样,只不过电脑已被打开。或者操作电脑时因为有事而离开,但回来时发生了上述一幕,这时就连电脑的屏幕都跟走之前一模一样,那么真的没有人动过我的电脑吗?他在我的电脑上做过什么呢?
对于前者,我想知道他是什么时候来的,在我的电脑上操作了多长时间。这时,可以采用以下几种办法。
(1)通过系统文件的访问日期获得系统开机时间
在Windows系统中,只要开机,必然会有很多的服务和程序启动,这些服务和程序大多数都有自己的日志记录,以便在出现异常时进行排查。不过,这些服务和程序或者不能保证在开机时必然写一次日志,或者是在系统运行期间不停地写入新的日志,因此难以帮助我们了解电脑什么时候开机。不过,有一个文件具有比较奇特的作用,该文件会在系统安装时被“创建”一次;在每次启动时被“修改”一次,系统在运行期间并不会被修改;在每次进行“读取”时被访问一次。因此该文件的内容仅从其日期来说便有独特的作用,这个文件就是“C:\WINDOWS\system32\config\SECURITY”。注意,该文件没有扩展名,如图3.7所示。
图3.7 根据SECURITY文件,可以知道系统开机时间
在“SECURITY属性”对话框中可以看到系统安装时间(即创建时间)、最近一次的启动时间(即修改时间)和最后一次读取的时间(即访问时间)。先不要小看这种看上去很笨的方法,在远程通过资源共享的方式访问远端的一台主机时,这种方法反而有奇效。
(2)通过上网时间获得系统已运行时间
现在的很多电脑,几乎是一开机就连接互联网了,那么可以变相地通过上网时间来判断开机时间。判断上网时间的方法更简单,用鼠标右键单击系统屏幕右下角托盘区的无线网络图标,在弹出的菜单中选择“状态”菜单项,系统会弹出“无线网络连接 状态”对话框,该无线网络已使用的时间即“持续时间”,如图3.8所示。
图3.8 查看无线网络的使用时间(左为Windows XP系统,右为Windows 7系统)
(3)通过系统进程使用CPU的时间获得系统运行时间
还有一种办法,就是通过系统的运行时间间接知道系统开机时间。按组合键“Ctrl+Alt+Del”,系统会弹出“Windows任务管理器”,在任务管理器中包含了当前的所有进程,以及各进程的运行时间。由于系统中通常有90%以上的时间由“System Idle Process”进程使用,所以通过该进程所使用的CPU时间,就可以大概知道电脑系统运行的时间,如图3.9所示。
图3.9 通过任务管理器读取系统运行时间(左为Windows XP系统,右为Windows 7系统)
从图3.9中可以看到,在Windows XP系统中“System Idle Process”的“CPU时间”为22小时50分20秒,可知道该主机系统大约运行了23个小时。而在Windows 7系统中,在“性能”选项卡的“开机时间”中,直接显示了开机时间为4小时44分32秒。
(4)通过系统命令获得系统运行时间
在Windows 7及以后的版本中,直接提供了一个“systeminfo”命令,在“命令提示符”中输入该命令,系统会显示包括系统启动时间在内的很多信息。不过,这里显示的时间是开机绝对时间,不是已运行的相对时间,如图3.10所示。
图3.10 通过系统命令读取启动的绝对时间
上面的方式简单、实用,但缺点也很明显,一是内容多而杂,二是具体到某个内容时不是很全面。如果有专业的工具,那么上面的问题就会变得十分简单,“360安全卫士”就是这样一款专业工具。如果系统中安装有“360安全卫士”,则双击屏幕右下角该程序的图标,则会弹出“360安全卫士”的主界面,首先单击“360安全卫士”的“电脑清理”工具栏项,然后在工具栏下方单击选择“清理痕迹”选项卡,如图3.11所示。
图3.11“360安全卫士”的“清理痕迹”选项卡操作实例
所谓“痕迹”是指操作系统或某个软件系统,为了方便用户使用或故障排查,以日志、动态菜单、自动运行等多种方式记录的软件使用记录。由于其客观地记录了最近使用过哪些系统、哪些文件,甚至哪些操作,就像人在做了某件事后留下的痕迹一样,故而得名。例如,很多软件都提供了“最近使用的文件列表”功能,这是基于“一般情况下,如果用户近几天使用了某个文档,则很有可能会在未来几天内继续使用这个文档”这样一个生活普遍规律而设计的,通过这一功能,用户可以方便、快速地打开最近使用的文件。
“360安全卫士”将痕迹分为7个大类,各类及其意义如下。
□ 上网浏览痕迹:特指通过各种浏览器输入的网址,登录网站时让浏览器自动记忆的用户名和密码,在搜索栏中输入的搜索记录,在数量上占尽优势的是浏览器所下载的脱机网页和图片文件。
□ Windows使用痕迹:主要指Windows的“我最近的文档”中各个使用过的文档的快捷方式。
□ 常用软件的使用痕迹:这里的痕迹主要是指Windows中的各个应用程序“最近使用过的文档”等记录。
□ 最近看过的视频:即在视频播放器中最近看过的视频文件名列表。
□ USB设备使用痕迹:指USB设备上最近使用过的文件记录。
□ 办公软件使用痕迹:指Microsoft Office文件中一些最近打开过的文件名称列表。
□ 搜索引擎跟踪Cookies清理:各浏览器中记录的Cookie文件。
我们在使用别人的电脑时又该注意什么呢?角色互换之后,要注意的同样是自己的信息不泄露,只是要做的事变成了在归还别人电脑之前及时清理使用电脑的痕迹,避免因历史记录而泄露个人信息。总结一下主要有如下几项。
上网时,所有访问过的页面内容包括网页上的代码、页面中的图片,在本地都是有保存的,并统称为“脱机文件”或“离线文件”,可以通过合适的方式查看,所以这些信息需要删除,其删除方式是在IE浏览器中单击“工具/Internet选项”,弹出“Internet选项”界面,单击其中的“删除”按钮,可以清除所有的脱机文件,如图3.12所示。
图3.12 IE浏览器中的“Internet选项”界面(左为Windows XP系统,右为Windows 7系统)
上网时的痕迹,除了上述脱机文件,还有在网页上输入的信息,包括用户名、密码,甚至Cookie。要删除这些录入信息,可在“Internet选项”界面选择“内容”选项卡,如图3.13所示。
图3.13 在网页浏览中对录入的内容进行删除
单击“自动完成”分组中的“设置”按钮,系统会弹出“自动完成设置”界面,这时,只需要单击复选框,选中要删除的项,单击“确定”按钮即可将相应的项删除,如图3.14所示。
图3.14 删除录入内容的选项
回收站中记录了最近删除的文件。通过回收站的“还原”操作,可以使删除的文件得到还原。所以,对于重要的文件,还要采用文件粉碎的方式进行彻底删除,具体方式见3.3.8节。