История запущенных программ windows 10 — Ваш верный помощник с OS Windows

Applies ToPrivacy Windows 11 Windows 10 Панель мониторинга учетной записи Майкрософт

Журнал действий помогает отслеживать ваши действия на устройстве, например приложения и службы, которые вы используете, а также просматриваемые веб-сайты. Журнал действий хранится локально на вашем устройстве.

Вы можете управлять параметрами журнала действий, чтобы выбрать, что хранить.

Функции, использующие журнал действий

Журнал действий используется в следующих функциях Windows. Вернитесь на эту страницу после выпусков и обновлений Windows, чтобы узнать о новых службах и функциях, использующих журнал действий.

Временная шкала. Просмотрите временная шкала действий и укажите, следует ли возобновлять эти действия с устройства. Например, предположим, что вы редактируете документ Word на устройстве, но не можете завершить работу до того, как придется прекратить работу в течение дня. Если вы включите параметр Сохранить журнал действий на этом устройстве на странице параметров журнала действий, вы увидите, что Word действия в временная шкала на следующий день( и в течение следующих нескольких дней) и после этого вы сможете возобновить работу с ним.
Microsoft Edge. При использовании устаревшая версия Microsoft Edge журнал браузера будет включен в журнал действий. Журнал действий не будет сохранен при просмотре в окнах InPrivate.

Параметры учетной записи Майкрософт не позволяют отправлять журнал действий в корпорацию Майкрософт, но журнал действий будет храниться на вашем устройстве, чтобы отслеживать действия, которые вы делаете.

Журнал действий для нескольких учетных записей

Для нескольких учетных записей журнал действий собирается и сохраняется локально для каждой локальной учетной записи, учетной записи Майкрософт или рабочей или учебной учетной записи, связанной с устройством, в разделе Параметры > учетные записи > Email & учетных записей. Эти учетные записи также можно просмотреть в Windows 10 в разделе Параметры > журнал действий > конфиденциальности, а в Windows 11 разделе Параметры > конфиденциальность & журнал действий> безопасности, где можно отфильтровать действия из определенных учетных записей, отображаемых в временная шкала. При скрытии учетной записи данные на устройстве не удаляются.

Управление параметрами журнала действий

Журнал действий можно настроить. В любой момент можно остановить сохранение журнала действий.

Остановите локальное сохранение журнала действий на устройстве

Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
Переключите параметр Сохранить журнал действий на этом устройстве в положение Выкл.

Открытие параметров журнала действий

Примечание: Возможность отправки журнала действий в Корпорацию Майкрософт устарела с Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновление. Предыдущие версии Windows 11 до этого обновления по-прежнему будут иметь параметр, доступный на странице журнала действий. Если этот параметр включен, данные журнала действий по-прежнему будут отправляться в корпорацию Майкрософт. Этот параметр можно отключить или обновить до последней версии Windows, чтобы получить последние обновления.

Вы можете очистить и удалить журнал действий, хранящийся на устройстве.

Очистка журнала действий

Нажмите кнопку Пуск , а затем выберите Параметры > Конфиденциальность & безопасность > журнал действий.
Рядом с пунктом Очистить журнал действий для этой учетной записи выберите Очистить журнал.

Примечание: Если у вас есть предыдущий журнал действий, хранящийся в облаке до Windows 11 23H2 и 22H2, 23 января 2024 г. KB5034204 обновления, вы можете удалить ранее сохраненные данные в облаке с помощью кнопки Очистить журнал действий. В противном случае журнал действий будет автоматически удален в течение 30 дней с момента последней синхронизации данных с облаком.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Источник

В этой статье мы рассмотрим, как с помощью политик аудита Windows можно узнать какие программы запускались на компьютере. Довольно часто от администратора требуют предоставить информацию о том, какие приложения запускает пользователь, когда он запускал приложение в последний раз и т.д. Эту информацию можно собрать из журнала событий Windows и преобразовать в удобный отчет с помощью PowerShell.

Сначала нужно включить политику аудита запуска/остановки процессов в Windows.

Откройте редактор локальной групповой политики gpedit.msc ;
Если вы хотите включить политику аудита процессов на компьютерах в домене Active Directory, нужно использовать редактор доменных GPO –
gpmc.msc
.
Перейдите в раздел GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy;
Включите политику Audit process tracking и тип событий Success;

Картинка с сайта: winitpro.ru
Сохраните изменения и обновите локальные политики на клиенте командой:
gpupdate /force

Откройте Event Viewer (
eventvwr.msc
) и разверните раздел Windows Logs -> Security. Теперь при запуске любой программы (процесса) в этом журнале событий появляется событие Process Creation с EventID 4688.

A new process has been created.

В информации о событии указан пользователь, запустивший программу (
Creator Subject
), имя исполняемого файла процесса (
New Process Name
) и родительский процесс, из которого было запущено приложение (
Creator Process Name
).

Обратите внимание, что при включении рассмотренной выше политики Audit process tracking в журнал Security начинают сохранятся все события, связанные с процессами. Если вы хотите уменьшить число событий в Event Viewer и сохранять только информацию о событиях запуска, можно отключить данную политику и включить только расширенную политику аудита Audit Process Creation (Windows Settings -> Security Settings -> Advanced Audit Policy Configurations -> System Audit Policy -> Detailed Tracking).

Политика аудита запуска процессов в Windows - Audit Process Creation

Чтобы в события аудита записывалась информация о параметрах запуска процессов (аргументы, с которыми запускаются программы), включите также параметр GPO Include command line in process creation events в Computer Configuration -> Administrative Templates -> System -> Audit Process Creation.

параметр GPO Include command line in process creation events

После включения этой политики в аргументе Process Command Line видно, с каким аргументом запускался тот или иной процесс.

аргумент, с котороым запускалась программа/процесс в Windows

Не забудьте увеличить размер журнала Security со стандартных 20 Мб. Это позволит хранить история запуска приложения за более длительный период. Для этого откройте свойства журнала Security и увеличьте значение параметра Maximum log size.

Для анализа программ, запущенных пользователем можно использовать фильтры Event Viewer. Но это не очень удобно. Ниже я покажу несколько PowerShell скриптов который позволят вам получить удобные списки событий с историей запуска приложений пользователями. Для получения событий из журнала Event Viewer мы будем использовать команду Get-WinEvent:

$processhistory = @() $today = get-date -DisplayHint date -UFormat %Y-%m-%d $events=Get-WinEvent -FilterHashtable @{ LogName = 'Security' starttime="$today" ID = 4688 } foreach ($event in $events){ $proc = New-Object PSObject -Property @{ ProcessName=$event.Properties[5].Value Time=$event.TimeCreated

CommandLine=$event.Properties[8].Value User=$event.Properties[1].Value ParentProcess=$event.Properties[13].Value } $processhistory += $proc } $processhistory| Out-GridView

Данный PowerShell скрипт выберет все события запуска программ за сегодняшний день и выведет список процессов, времени запуска и пользователях в графическую таблицу Out-GridView.

powershell скрипт выбора события запуска приложения в event viewer

Полученный массив объектов можно использовать для выполнения различных запросов.

Например,

Найти всех пользователей, которые запускали определённое приложение:
$proc_name=”notepad++.exe” $processhistory | where-object {$_.ProcessName –like “*$proc_name*”}|out-gridview

Картинка с сайта: winitpro.ru
Вывести список программ, которые запускал сегодня определенный пользователь:
$username="aivanov" $processhistory | where-object {$_.User –like “*$username*”}|out-gridview

Такие скрипты часто используем для анализа запуска программ пользователей на серверах RDS фермы.

Также история запуска программ в Windows ведется в файле %SystemRoot%\AppCompat\Programs\Amcache.hve. Файл заблокирован Windows и прочитать его можно только, загрузившись с LiveCD или загрузочного/установочного диска. В файле есть метки запуска, установки/удаления программы, контрольные суммы исполняемого файла (SHA1). Для преобразования этого бинарного файла в текстовый формат нужно использовать сторонние утилиты (например, regripper).

Источник

The Task Manager has been around since the release of Windows NT and Windows 2000. It is a useful tool for many. Apart from killing off “Not Responding” tasks, it can also be used to view resource consumption, hardware performance, manager startup apps, user and process details, services, and view app history and statistics.

Today, we are going to talk about the “App History” tab inside the Task Manager and how it can be used to view the history of all processes that are running and had run in the past, and gain some insight into its resource utilization, such as CPU time, network bandwidth consumption, etc.

Table of Contents

What is App History in Task Manager

App History tab inside Task Manager

The “App History” tab inside the Task manager shows you the resource utilization statistics of the different applications that had run on your computer in the past. It shows the accumulative CPU time and other network bandwidth consumption over time.

By default, the App History tab shows details for only the Microsoft Store applications, and other applications and programs are not included in the list. However, you can change this and view the history for all processes that had run on your computer. Note that the statistics for each app/process are only displayed since the last time the counter was reset.

The methods to view the history of all processes and reset the counter are discussed below in this post.

How to See History of All Processes in Task Manager

Using the steps below, you should be able to view the history of all processes that are currently running and have run in the past, on your Windows computer.

Note: Microsoft has recently updated the UI of the Task Manager with Windows 11 22H2. If you are on this OS version, then use the given method below to view the history of all processes. If you are using an older version of Windows 11 or are on Windows 10, then skip to the next section down below.

View History of All Processes on Windows 11 22H2

Open the Task Manager by pressing the CTRL + Shift + Esc shortcut keys and then open its settings by clicking on the gear icon in the bottom-left corner.

Картинка с сайта: www.itechtics.com

Open Task Manager settings
Here, under Other options, check the box next to “Show history for all processes.”

Картинка с сайта: www.itechtics.com

Enable show history for all processes
Now switch to the App History tab and you should now see all of the processes and their respective details.

Картинка с сайта: www.itechtics.com

App History tab in new Task Manager
You should now be able to see the usage history of all the apps and processes.
(Optional) Here, right-click on any column’s header and select or unselect which information you wish to view about the processes from the context menu.

Картинка с сайта: www.itechtics.com

Select details to view or hide
You can also arrange the processes by a specific column in a descending or ascending manner by clicking on the respective header.

As you can see in the image above, the App History tab now includes the history of all the processes and apps, as opposed to the default Microsoft Store apps only.

You can also uncheck the same option in the Task Manager settings to disable show details for all processes in the Task Manager.

View History of All Processes on Windows 11/10

Use the guide below to view the usage history of all the processes in the Task Manager if you are using Windows 11 21H2, or Windows 10.

Open the Task Manager by pressing the CTRL + Shift + Esc shortcut keys and then switch to the App History tab.

Картинка с сайта: www.itechtics.com

Switch to the App History tab
Now click Options from the top menu and then click “Show history for all processes.”

Картинка с сайта: www.itechtics.com

Enable show history for all processes

You should now be able to see all of the processes in the App History tab along with their past statistical data.

View all processes details in App History

If you wish to view only the history of the Microsoft Store apps again, simply click on Show history for all processes inside the Options menu to disable it.

Open App & Process Details

Regardless of which Windows version you are using, you can open an app directly from the App History tab and view the details of the individual processes.

Note that you can only open the Microsoft apps and view the details of the processes from the App History tab.

To open an app, right-click on the app and then click Switch To.

Open app from App History tab

If you wish to view the details of a process, right-click it and then click Properties from the context menu.

Open process properties

This opens the Properties window where you can find all sorts of information about the process, including the file responsible for the process, its copyright holder, etc.

View process details

If you still need more information, then you can also perform a quick online search by clicking Search online from the context menu.

Search online for process information

Windows then uses the default search engine and opens the results for the process name in the default web browser.

Reset Usage History

As we mentioned earlier, the App History tab only contains the information till the time it was last reset. You can see the last reset date near the top of the Task manager window.

Last reset date

You can also reset the entire data by clicking Delete usage history.

Reset usage history in App History tab

This will reset all the statistical data and begin recording the app and process usage history from that time onwards.

Closing Words

The Task Manager can do much more than what we have discussed today. It has integrated performance monitoring tools for the different hardware components, and you can also manage the Windows services too.

As far as the App History tab is concerned, it is all the tab is capable of at the moment. We found that the information per app/process is currently very limited. For example, we cannot see the disk or RAM utilization for each item, when was the last time it was run, etc.

We certainly hope that Microsoft will eventually add these features for us to be able to get more insight into our system usage habits.

Источник

Как посмотреть журнал запуска приложений Windows 10. Погружение в мир событий Windows 10: Полный гид по журналам запуска приложений 🚀

🤟Оставить отзыв🥴

Хотите стать настоящим детективом 🕵️‍♀️ в мире Windows 10 и раскрыть все тайны запуска приложений? Тогда эта статья — ваш ключ к пониманию, как и где отслеживать все действия, происходящие на вашем компьютере. Мы подробно рассмотрим, как получить доступ к журналам событий, отслеживать запуск программ и даже углубимся в технические детали их хранения. Приготовьтесь к увлекательному путешествию в недра операционной системы! 💻

Для просмотра нужного раздела выберите ссылку:

💡 Отслеживаем действия: Журнал конфиденциальности и безопасности

💡 Просмотр событий: Копаем глубже в детали запуска приложений 🔍

💡 Журнал загрузок: Где искать скачанные файлы 🗂️

💡 Альтернативный путь к журналам событий: Команды и классика 🕹️

💡 Почему так много способов?

💡 Активность приложений: Где искать журналы и как их использовать 🕵️‍♂️

💡 Где же хранятся эти журналы? 📁

💡 Ищем запуск приложений: EventID 4688 🔑

💡 Выводы и заключение: Сила в знании 💡

💡 FAQ: Часто задаваемые вопросы ❓

🤒 Открыть

Отслеживаем действия: Журнал конфиденциальности и безопасности

Начнем с простого, но важного инструмента — журнала действий. Этот раздел позволяет получить общее представление о том, какие приложения запускались на вашем компьютере. Вот как это сделать:

Нажмите на кнопку «Пуск»: Это ваш главный портал в мир Windows.
Выберите «Параметры»: Здесь собраны все настройки вашей системы.
Перейдите в раздел «Конфиденциальность и безопасность»: Именно здесь находится журнал действий.
Изучите журнал действий: Вы увидите список приложений и их активность.

Этот журнал — отличная отправная точка для того, чтобы понять, какие программы активно используются на вашем компьютере. Однако он не предоставляет столь детальной информации, как другие инструменты, о которых мы поговорим далее.

Просмотр событий: Копаем глубже в детали запуска приложений 🔍

Если вам нужны более подробные сведения о запуске приложений, вам потребуется использовать «Просмотр событий». Этот инструмент открывает доступ к системным журналам, где фиксируется практически каждое действие, происходящее в системе, включая запуск приложений.

Вот как получить доступ к журналам событий:

Используйте поиск: Введите в поисковой строке «средство просмотра событий» и выберите соответствующее классическое приложение.
Разверните «Журналы Windows»: В левой панели вы увидите список журналов, сгруппированных по категориям.
Выберите «Приложение»: Этот журнал содержит информацию о событиях, связанных с запуском и работой приложений.
Анализируйте события: В центральной панели вы увидите список событий, каждое из которых содержит подробные сведения о происшествии.

Журнал «Приложение» фиксирует все действия, связанные с запуском, работой и завершением приложений.
Каждое событие имеет уникальный идентификатор, дату и время, а также подробное описание.
Этот журнал поможет вам отследить любые нештатные ситуации и ошибки в работе приложений.

Журнал загрузок: Где искать скачанные файлы 🗂️

Хотя журнал загрузок не относится напрямую к запуску приложений, он важен для понимания того, какие файлы могли быть использованы для запуска программ. Проверить журнал загрузок очень просто:

Откройте «Проводник»: Нажмите на значок папки на панели задач или сочетание клавиш Win + E.
Перейдите в раздел «Загрузки»: Он находится в разделе «Быстрый доступ» в левой панели.
Просмотрите список загруженных файлов: Здесь вы увидите все файлы, которые вы скачали из интернета или получили другим способом.
Настройте панель навигации: Если раздел «Загрузки» не отображается, перейдите на вкладку «Вид», выберите «Область навигации» и убедитесь, что установлен флажок «Панель навигации».

Важные моменты о журнале загрузок:

Журнал загрузок хранит все файлы, которые были загружены на ваш компьютер.
Этот журнал поможет вам быстро найти нужные файлы.
Вы можете настроить отображение файлов по дате, имени или другим критериям.

Альтернативный путь к журналам событий: Команды и классика 🕹️

Существует несколько способов доступа к «Просмотру событий», и каждый из них может оказаться полезным в разных ситуациях:

Команда «eventvwr.msc»: Нажмите Win + R, введите «eventvwr.msc» и нажмите OK. Это самый быстрый способ запустить «Просмотр событий».
Панель управления: Откройте «Панель управления», перейдите в раздел «Администрирование» и выберите пункт «Журнал событий». Этот способ подойдет для тех, кто предпочитает классический интерфейс Windows.

Почему так много способов?

Разные способы доступа к «Просмотру событий» предоставляют гибкость и удобство использования.
Вы можете выбрать тот способ, который наиболее удобен вам.
Знание нескольких способов позволяет вам быть более подготовленным к решению разных задач.

Активность приложений: Где искать журналы и как их использовать 🕵️‍♂️

«Просмотр событий» не только показывает общую картину, но и позволяет отслеживать активность конкретных приложений. Вот как это сделать:

Откройте «Панель управления»: Найдите её через меню «Пуск».
Перейдите в «Администрирование»: Здесь собраны все инструменты управления системой.
Выберите «Просмотр событий»: Вы уже знаете, что это ваш главный инструмент для отслеживания событий.
Найдите нужные журналы: В журнале «Приложение» и других журналах вы сможете увидеть подробную информацию о каждом запуске программы.

Советы по анализу журналов:

Используйте фильтры для поиска конкретных событий.
Обратите внимание на идентификаторы событий (EventID).
Изучайте описания событий, чтобы понять, что произошло.

Где же хранятся эти журналы? 📁

Журналы событий Windows 10 хранятся в специальных файлах, имеющих расширение EVT. По умолчанию они находятся в папке `%SystemRoot%\System32\winevt\Logs`. Однако это расположение можно изменить, отредактировав реестр Windows.

Несколько важных моментов о хранении журналов:

Файлы журналов имеют расширение EVT.
Расположение файлов можно изменить через реестр.
Регулярное архивирование журналов помогает сохранить важную информацию.

Ищем запуск приложений: EventID 4688 🔑

Для отслеживания конкретных запусков приложений, вам нужно обратить внимание на журнал безопасности. В нем есть событие с EventID 4688, которое означает создание нового процесса.

Как это работает:

Откройте Event Viewer (eventvwr.msc)
Разверните «Журналы Windows» -> «Безопасность».
Ищите события с EventID 4688. Каждое такое событие означает, что было запущено новое приложение или процесс.

Ключевые моменты об EventID 4688:

Событие с ID 4688 указывает на создание нового процесса.
Это событие фиксируется в журнале безопасности.
Оно содержит информацию о имени процесса, пользователе, который его запустил, и другие важные детали.

Выводы и заключение: Сила в знании 💡

Теперь вы — настоящий эксперт по журналам запуска приложений в Windows 10! Вы знаете, где искать информацию, как ее анализировать и как использовать для решения различных задач. Помните, что знание — это сила, и чем лучше вы понимаете, как работает ваш компьютер, тем эффективнее вы сможете его использовать и защитить.

Основные выводы:

Windows 10 предоставляет различные инструменты для отслеживания запуска приложений.
«Просмотр событий» — это мощный инструмент для анализа системных журналов.
Журнал безопасности фиксирует запуск процессов с помощью события EventID 4688.
Знание расположения журналов и способов их анализа поможет вам стать более опытным пользователем Windows.

FAQ: Часто задаваемые вопросы ❓

Вопрос: Как часто нужно проверять журналы событий?

Ответ: Регулярность проверки зависит от ваших потребностей. Если вы столкнулись с проблемами в работе компьютера, или подозреваете несанкционированную активность, то проверять журналы нужно чаще. В противном случае, достаточно делать это раз в неделю.

Вопрос: Можно ли удалить журналы событий?

Ответ: Да, вы можете очистить журналы событий, но это может затруднить диагностику проблем в будущем. Рекомендуется архивировать журналы перед их удалением.

Вопрос: Что делать, если я не понимаю, что означают события в журнале?

Ответ: Используйте поисковые системы, чтобы найти информацию о конкретных событиях и их идентификаторах. Существуют также специальные форумы и сообщества, где вам могут помочь разобраться с вашими вопросами.

Вопрос: Можно ли настроить, какие события будут записываться в журнал?

Ответ: Да, вы можете настроить параметры журналов событий, чтобы записывать только нужные вам события. Это позволит сэкономить место на диске и облегчить анализ журналов.

Вопрос: Можно ли отслеживать запуск приложений на других компьютерах в сети?

Ответ: Да, при правильной настройке вы можете отслеживать события на других компьютерах в сети. Это может быть полезно для системных администраторов и специалистов по безопасности.

Вопросы и ответы

👉 Как посмотреть историю открытых приложений Windows 10 👈

Просмотр журнала приложений Windows:

1. На панели поиска введите средство просмотра событий, а затем выберите классическое приложение Просмотр событий.

2. В Просмотре событий разверните папку Журналы Windows и выберите журнал событий Приложение.

👉 Как посмотреть активность приложений на ПК 👈

Для того чтобы найти эти журналы необходимо из меню «Пуск» нажать на иконку «Панель управления» и далее «Администрирование». В следующем окне среди ярлыков служб нужно выбрать «Просмотр событий», который в конечном итоге и содержит всю необходимую информацию.

👉 Как посмотреть журнал загрузки Windows 10 👈

Для поиска загрузок на компьютере выполните следующие действия:

1. Выберите Проводник на панели задач или нажмите клавишу Windows + E.

2. В разделе Быстрый доступ выберите Загрузки. Примечание: При необходимости перейдите на вкладку Вид , выберите Область навигации и убедитесь, что установлен флажок Панель навигации.

👉 Как посмотреть логи запуска приложения 👈

На панели поиска введите средство просмотра событий, а затем выберите классическое приложение Просмотр событий. В Просмотре событий разверните папку Журналы Windows и выберите журнал событий Приложение.

👉 Как посмотреть лог журнала событий 👈

Самый распространенный способ — нажать клавиши Win + R и ввести eventvwr. msc, после чего нажать ОК. Еще один способ, который также подойдет для всех актуальных версий ОС — зайти в Панель управления — Администрирование и выбрать там пункт «Журнал событий».

👉 Как открыть параметры запуска приложения Windows 10 👈

Настройка запускаемых приложений из диспетчера задач:

1. Щелкните правой кнопкой мыши пуск и выберите Диспетчер задач.

2. Перейдите на вкладку Запускаемых приложений.

3. Выберите приложение, которое нужно настроить. Выберите Включить , чтобы автоматически запускать приложение при входе.

✳️ Где найти журнал защиты Windows 10

✳️ Как очистить журнал защиты Windows Defender Windows 10

✳️ Где хранится буфер обмена Windows

✳️ Как посмотреть историю буфера обмена на ПК

Источник

Ниже мы разберем основные методы просмотра последних событий на компьютере, а также расскажем про следы, которые оставляет после себя каждый пользователь Windows.

Как посмотреть последние действия пользователя на Windows ПК?

Содержание

История браузера
Просмотр измененных файлов
Поиск удаленных данных в корзине
Просмотр папки «Загрузки»
Просмотр последних установленных программ
Поиск последних запущенных программ
Дополнительные методы выявления последних действий
Что делать если в ходе несанкционированного доступа были удалены важные данные?

Операционная система Windows и многие программы, работающие в ней, оставляют после себя множество следов, при помощи которых можно определить, что происходило с компьютером во время отсутствия пользователя. Данное руководство поможет выявить куда заходили, что смотрели, какие программы запускались и какие файлы изменялись при несанкционированном доступе к Вашей системе.

Просмотр последних действий является комплексной мерой, требующей поочередной проверки отдельных элементов системы и программного обеспечения, где могли остаться следы после доступа к ПК третьих лиц.

История браузера

Первым делом следует проверить историю Вашего интернет-обозревателя, где всегда сохраняются адреса сайтов, на которые был совершен переход с браузера.

История браузера должна проверяться первым делом, поскольку с его помощью можно получить данные для входа в социальные сети, банковские аккаунты, учетные записи онлайн-сервисов цифровой дистрибуции (к примеру, Steam, Origin, Epic Games Store и т.д.) и другие сервисы, откуда злоумышленники могут получить данные платежных карт и другую материальную выгоду.

Чтобы просмотреть историю браузера Google Chrome, достаточно открыть интернет-обозреватель и нажать комбинацию клавиш Ctrl+H, либо ввести в поисковую строку путь «chrome://history/» или нажать по иконке трех точек в правом верхнем углу и в открывшемся меню выбрать пункт «История».

В открывшемся окне можно просмотреть дату, время и посещенные ресурсы, по которым можно определить, что искали третьи лица при несанкционированном доступе к ПК.

Если Вы обнаружили, что история браузера была очищена, хотя Вы этого не делали, это означает, что во время несанкционированного доступа кто-то пытался скрыть следы работы за компьютером.

В таком случае следует воспользоваться нашим руководством «Как восстановить историю браузера после очистки», где можно узнать про восстановление и просмотр истории во всех популярных браузерах.

Помимо истории, браузер Google сохраняет многие действия, совершенные в сети с компьютера, в специальном разделе «Мои действия», где можно более детально просмотреть вводившиеся поисковые запросы, просмотренные видеоролики на YouTube и другую информацию.

Для перехода в меню «Мои действия», достаточно скопировать и вставить в адресную строку ссылку https://myaccount.google.com/activitycontrols, после чего выбрать требуемый пункт (к примеру, выберем пункт «История приложений и веб-поиска», но также здесь можно просмотреть историю местоположений, история просмотров и поисков YouTube, данные с синхронизированных устройств и т.д.) и нажать по кнопке «Управление историей».

В открывшемся окне можно детально ознакомиться со всеми действиями, просмотрами и введенными поисковыми запросами, которые были совершены в ближайшее время.

Просмотр измененных файлов

Ознакомившись с историей в браузере следует приступить к выявлению действий, которые были совершены непосредственно с компьютером и личной информацией.

Чтобы просмотреть файлы, документы и другие данные, подвергнувшиеся изменению при несанкционированном доступе следует воспользоваться функцией просмотра именных файлов.

Чтобы сделать это необходимо:

Шаг 1. Нажимаем правой кнопкой мыши по «Пуск» и в открывшемся меню выбираем пункт «Выполнить». В строке открывшегося окна вводим команду «recent» и подтверждаем действие «Ок».

Шаг 2. В открывшемся окне можно обнаружить последние файлы, фотографии, документы и другие данные с которыми выполнялись какие-либо действия, а также точную дату их изменения.

Стоит отметить, что «подкованные» злоумышленники могут удалить все данные из этой папки, но это станет явным следом деятельности третьих лиц с системой и информацией.

Поиск удаленных данных в корзине

Если во время несанкционированного доступа к Вашему компьютеру были удалены какие-либо данные, они могли попасть в корзину, где можно посмотреть время удаления, а также быстро восстановить удаленные файлы.

При стандартных настройках интерфейса Windows, корзина всегда располагается на рабочем столе.

Если есть подозрения, что файлы были удалены при несанкционированном доступе, а корзина была очищена, рекомендуем срочно ознакомиться с темой «Как восстановить файлы после удаления в «Корзину» и ее очистки», поскольку если не восстановить данные сразу, в скором времени они могут быть уничтожены из-за перезаписи!

Просмотр папки «Загрузки»

Помимо корзины, обязательно следует посетить папку «Загрузки», поскольку в ней могут содержаться последние данные, скачанные на компьютер из интернета.

Это могут быть и вредоносные программы, и специальные утилиты для слежки, а также другое вредоносное и опасное ПО, способное навредить системе и конфиденциальности пользователя. Проще всего перейти в папку из каталога «Мой компьютер» или «Этот компьютер» в Windows 10.

В открывшемся окне следует внимательно проверить скачанные установочные данные и другие подозрительные файлы. В случае обнаружения таких, следует немедленно их удалить, поскольку запуск исполняемых файлов может привести к заражению.

Просмотр последних установленных программ

Во время несанкционированного доступа к Вашему компьютеру, в систему могли быть установлены сторонние программы, майнеры, рекламные приложения и другое нежелательное ПО, поэтому следует проверить список последних установленных программ.

Чтобы сделать это, следует:

Шаг 1. Нажимаем левой кнопкой мыши по иконке «Поиск» (изображение лупы возле кнопки «Пуск») и вводим в строку фразу «Панель управления», после чего переходим в непосредственно сам пункт «Панель управления».

Шаг 2. Находясь в панели управления, включаем режим отображения «Категория» и нажимаем по пункту «Удаление программы».

Шаг 3. В открывшемся списке нажимаем по графе «Установлено», чтобы выровнять перечень программ по дате установки, после чего внимательно просматриваем все недавно установленные программы на наличие подозрительных.

При обнаружении неизвестных утилит, лучшим решением будет их удаление. Это можно сделать при двойном нажатии левой кнопкой мыши в списке. Важно! В данном окне могут отображаться системные программы и утилиты, поэтому следует знать, что нужно удалить, а что лучше оставить.

Поиск последних запущенных программ

Система Windows также позволяет узнать в какое время и какие программы были запущенны, что поможет лучше понять, что происходило во время несанкционированного доступа.

Чтобы воспользоваться поиском последних запущенных программ необходимо:

Шаг 1. Переходим в каталог «Этот компьютер» и в правом верхнем углу вводим в поиск «.exe» — ключ, который позволит найти все исполняемые файлы на компьютере.

Шаг 2. Нажимаем правой кнопкой мыши по любому из колонок списка и в открывшемся меню выбираем «Сортировка», после чего «Подробнее».

Шаг 3. В открывшемся меню ставим галочку напротив пункта «Дата доступа», что позволит выровнять список по последним запущенным исполнительным файлам программ.

Дополнительные методы выявления последних действий

Помимо вышеописанных способов, опытные пользователи смогут воспользоваться просмотром журналов Windows, которые позволяют найти, когда были запущены различные приложения или, когда выполнялся вход и выход из системы.

Стоит отметить, что журнал событий является средством, предназначенным для системных администраторов, поэтому пользователи, не знающие коды конкретных событий, не смогут найти нужную информацию в журналах.

Помимо вышеописанных способов, можно на постоянной основе пользоваться специальными программами для слежения за компьютером (к примеру: NeoSpy, Snitch, Actual Spy и другие). В данном случае, утилиты будут показывать все действия, произведенные с компьютером в удобном меню и в понятной для любого пользователя форме.

Что делать если в ходе несанкционированного доступа были удалены важные данные?

Если Вы обнаружили, что кто-то намеренно удалил важные данные, фотографии, документы или любую другую информацию с компьютера, рекомендуем немедленно воспользоваться специальной утилитой для восстановления информации RS Partition Recovery.

С её помощью можно быстро вернуть данные, которые были удалены комбинацией клавиш Shift+Delete, отформатированы с носителя, удалены вирусным ПО, или уничтожены в ходе изменения логической структуры носителя.

RS Partition Recovery обладает крайне низкими системными требованиями, что позволяет использовать программу даже на ноутбуках и офисных машинах. Помимо этого, утилита для восстановления данных имеет интуитивно-понятный интерфейс, в котором сможет разобраться абсолютно любой пользователь.

Чтобы вернуть утерянные файлы, достаточно провести быстрое или полное сканирование накопителя. Это поможет выявить недавно удаленные файлы или все данные, возможные для восстановления. Чтобы ознакомиться с другими возможностями и преимуществами работы с RS Partition Recovery, рекомендуем посетить официальную страницу программы.

Часто задаваемые вопросы

Чтобы просмотреть историю браузера Google Chrome, достаточно его открыть и нажать комбинацию клавиш Ctrl+H, либо ввести в поисковую строку путь «chrome://history/» или нажать по иконке трех точек в правом верхнем углу и в открывшемся меню выбрать пункт «История».

Да. Могут. Дело в том, что «Корзина» для хранения удаленных файлов использует пространство жесткого диска, а не какой-то изолированный участок памяти. Соответственно, файлы, находящиеся в «Корзине», могут взаимодействовать с другими компонентами операционной системы без особых проблем. Поэтому настоятельно рекомендуется использовать антивирус.

Воспользуйтесь программой RS Partition Recovery. Она позволяет вернуть утерянный файл практически в несколько кликов мышки.

Чтобы проверить какие приложения запускались последними откройте окно «Этот Компьютер» и справа вверху в поле поиска введите .exe Перед вами откроются все исполняемые файлы приложений. Затем отсортируйте результаты по дате доступа. Более подробно вы можете прочесть на нашем сайте

Чтобы проверить какие приложения были установлены последними откройте «Панель Управления», затем раздел «Установка и удаление программ». Перед вами откроется список всех установленных приложений. Отсортируйте их по дате, начиная от самой новой. Таким образом вы сможете узнать, какие программы были установлены последними. Более детально вы можете прочесть на нашем сайте.

Источник