как узнать какие файлы были установлены в последнее время
Как посмотреть последние действия на компьютере
ОС Windows постоянно ведет запись событий и действий, которые совершались с ноутбуком или компьютером. Благодаря этому можно выяснить, какие новые приложения появились, когда в последний раз был выполнен вход в систему, какие страницы посещались в сети и т.д. Сделать это можно как при помощи встроенных средств Windows, так и сторонних утилит.
Журнал Windows
С помощью этого системного приложения можно определить, какие действия выполнялись на компьютере в последние минуты, часы или дни. Нужно:
Недавние документы
Чтобы узнать, какие файлы были открыты последними, необходимо открыть раздел «Недавние документы», размещенный в системном меню. Для Windows 7 он по умолчанию отключен, но если это необходимо, его можно задействовать:
Для Windows 8 недавние файлы недоступны в меню «Пуск». Чтобы их просмотреть, нужно использовать комбинацию кнопок «Win»+»R». В открывшемся окне нужно написать «recend», а затем нажать клавишу ввода. Появится папка с недавними файлами.
Еще один способ — открыть диск С и установить сортировку файлов по дате изменения.
История браузера
Чтобы узнать, какие веб-сайты посещались недавно, необходимо:
Еще один способ просмотреть историю браузера — указать в адресной строке название браузера://history/, например, chrome://history/ или opera://history/.
Открыть историю посещенных страниц также можно через меню веб-обозревателя.
Дата последнего использования файла
Штатные средства Windows позволяют узнать, когда тот или иной файл был открыт в последний раз. Нужно:
Загрузки
Чтобы посмотреть, какие загрузки были сделаны за последнее время использования компьютера, необходимо открыть соответствующую папку, во вкладке «Вид» выбрать режим просмотра «Таблица», а затем установить тип сортировки по дате создания.
Запущенные программы
Поле «Дата открытия» в свойствах файла позволяет узнать, какие утилиты и приложения запускались за недавние дни. Необходимо открыть диск С (или иной, на котором установлена ОС), перейти в папку «Program Files», а затем кликнуть по строке «Поиск» вверху справа, ввести «*exe» и нажать «Enter». Появятся все возможные исполняемые файлы, размещенные в этой папке. Необходимо выбрать режим просмотра «Таблица», нажать на заголовок произвольного столбца и в поле «Подробнее» установить галочку напротив строки «Дата доступа». Для сохранения изменений нажать «Ок», а затем сделать сортировку по появившемуся столбцу. Для 64-разрядной ОС необходимо повторить эти же действия для папки «Program Files (x86)». Кроме того, нужно выполнить эти же действия для папок с играми и с установленным софтом, если он есть где-то в ином месте.
Корзина
Если необходима информация о том, какие файлы были удалены в ходе предыдущих действий, есть вероятность, что они находятся в Корзине. Возможно, она не была очищена и появится возможность восстановить утраченные данные.
Чтобы узнать, какие файлы были удалены с компьютера последними, нужно открыть Корзину и выполнить сортировку файлов и папок по дате. Для этого достаточно нажать на название столбца «Дата удаления», после чего данные будут расставлены в интересующем порядке. Останется лишь отыскать требуемый временной период и просмотреть, что было удалено.
В случае, если потребуется восстановить какой-либо файл, достаточно кликнуть по нему и в контекстном меню выбрать «Восстановить».
Power Spy
Стороннее приложение, простое в использовании и понятное даже неопытному человеку. Поддерживается большинством версий ОС Windows, прописывается в автозапуске и начинает работу при загрузке компьютера. Программа сохраняет данные обо всем, что происходит на компьютере, а затем позволяет посмотреть отчет о всех действиях, совершавшихся на устройстве. Если есть такая необходимость, данные можно сохранить в файл в одном из удобных форматов.
Вся необходимая информация о происходивших на компьютере в недавнем времени событиях будет отражена в Журнале событий. Чтобы просмотреть его, нужно выбрать и открыть интересующий раздел. К примеру, если пользователю потребуется информация о всех открытых окнах, необходимо запустить утилиту и кликнуть по иконке «Windows opened». Необходимые сведения появится на экране.
Аналогичным образом можно просмотреть и другую информацию, подобных разделов в меню программы большое количество.
NeoCpy
Отличная утилита, которая анализирует происходящее на компьютере. Работает скрыто, ее присутствие в ОС незаметно, начиная с момента установки. При инсталляции пользователь может назначить режим работы программы: открытый или же скрытый, в котором прячутся программные файлы приложения и его ярлыки.
Приложение отличается обширными возможностями и подходит как для использования в домашних условиях, так и для офисов.
Чтобы посмотреть, какие действия были выполнены последними в ОС Windows, необходимо:
Пользователь получит подробную информацию о том, какие события происходили на ПК за установленный временной отрезок.
Как найти файлы в Windows, которые были недавно изменены
Случаются моменты, когда вам нужно найти файлы, которые были недавно созданы или изменены. Возможно, вы недавно изменили файл, но не можете вспомнить, где вы его сохранили. Или, может быть, вы случайно разрешили установку стороннего программного обеспечения и хотите быстро найти эти файлы. Какова бы ни была причина, можно легко найти файлы на основе их штампов времени.
Общие сведения о файлах
Каждый файл в системе Windows имеет один или несколько штампов времени. Три первичных штампа, с которыми мы будем работать, включают:
В Windows также есть несколько других меток времени, которые используются для определенных типов файлов или при определенных обстоятельствах. Например, отметка времени «Дата съёмки» записывается, когда изображение захватывается камерой. Другие метки времени могут быть созданы и использованы определенными приложениями. Например, программное обеспечение резервного копирования может использовать штамп времени с архивированием даты, а в некоторых офисных приложениях используется отметка времени «Дата завершения» для маркировки готового документа.
Просмотр временных меток в проводнике файлов
Вы можете легко просмотреть информацию о отметках времени для элементов в Проводнике. Чтобы просмотреть сведения для одного файла, щелкните его правой кнопкой мыши и выберите «Свойства» в контекстном меню.
В окне свойств файла перейдите на вкладку Подробно, а затем прокрутите вниз.
Если вы хотите просмотреть информацию о метке времени для всех элементов, вы можете сделать это в представлении «Сведения о файле». В окне «Проводник» на вкладке «Вид» нажмите кнопку «Таблица». Это переключит режим представления файлов.
По умолчанию отображается только столбец временного штампа «Дата изменения». Чтобы добавить другие метки времени, щелкните правой кнопкой мыши в любом месте заголовка столбца, а затем выберите опцию «Подробнее».
В Проводнике файлов вы можете увидеть, что новые столбцы были добавлены. Вы можете перетащить заголовки столбцов, чтобы упорядочить их положение, или щелкните по заголовку, чтобы упорядочить файлы в своем окне в соответствии с этим значением. Переупорядочение, само по себе, упрощает поиск файлов, которые вы недавно получили или изменили.
Добавление этих столбцов с метками времени отлично работает, если вы знаете, в какой папке сохранили файл, и не против, чтобы немного «покопаться».
Но, что делать, когда вы не знаете, где сохранили то, на чем работали, или просто хотите получить более широкое представление о последних файлах? Для этого мы перейдем к Windows Search.
Просмотр последних файлов с помощью Windows Search
Если вы хотите увидеть все недавно измененные файлы в вашей системе, Windows Search – это отличное решение.
Начните с открытия проводника файлов в папке верхнего уровня, из которой хотите выполнить поиск. Например, при выборе папки «Документы» поиск выполняется в этой папке и всех её подпапках. Выбор системного диска приведёт к поиску файла на всём диске. А выбрав «Этот компьютер», Вы выполните поиск на всех ваших дисках.
Проводник файлов имеет удобный способ поиска недавно измененных файлов, встроенный прямо во вкладку «Поиск» на ленте. Перейдите на вкладку «Поиск», нажмите кнопку «Дата изменения» и выберите диапазон. Если вы не видите вкладку «Поиск», нажмите один раз в поле поиска, и она появится.
Обратите внимание, что при выборе этой команды автоматически вводятся условия поиска в поле поиска в окне «Проводник». Вы можете использовать эти условия поиска, если предпочитаете просто вводить поисковые запросы.
Вы также можете ввести конкретную дату с использованием официальных форматов даты. Конкретные форматы, которые вы можете использовать, зависят от того, как настроена ваша система. Например, для поиска файлов, измененных 3 января 2019 года, вы можете ввести следующий поиск:
Чтобы ввести диапазон дат, просто используйте две даты, разделенные двумя точками. Например, для поиска файлов, измененных с 1 по 3 января 2019 года, следует использовать:
Сохранить поиски для упрощенного доступа
Выполнение поиска последних файлов довольно просто, но если вы хотите сделать это ещё проще, сохраните поисковый запрос, чтобы его можно было быстро повторить позже.
После выполнения поиска вернитесь на вкладку «Поиск» в Проводнике файлов и нажмите кнопку «Сохранить условия поиска».
По умолчанию поиск сохраняется в папке с именем «Поиски», которую вы можете найти в папке пользователя, обычно в «C:/Users/ /» – хотя вы можете сохранять условия поиска в любом месте. (В Windows 7 они сохраняются в папке «Избранное».)
Папка «Поиски» – это достаточно удобное место для их хранения, но её можно сделать удобнее, если щелкнуть правой кнопкой мыши и выбрать «Закрепить на панели быстрого доступа» в контекстном меню. Тогда она появится в левой боковой панели File Explorer.
Простой поиск недавно измененных файлов в Windows
Иногда бывает нужно посмотреть, какие файлы были недавно созданы или изменены – например, потому что кто-то посторонний установил без спросу ненужную программу, или просто требуется найти документ, измененный на прошлой неделе, а название файла и папки напрочь забыты. В Windows есть удобные средства поиска, позволяющие быстро получить список всех недавно созданных или измененных файлов.
У каждого файла есть одна или несколько меток времени, с помощью которых операционная система отмечает, когда файл был создан, последний раз изменен или открыт. В Windows эта информация записывается для каждого отдельного файла или папки.
Время файла – 64-битный параметр, означающий количество промежутков по 100 наносекунд, минувших с 1 января 1601 года (UTC). Преобразование из этого внутрисистемного формата в вид, более удобный для человеческого восприятия, происходит при обращении Windows к метке файла. Система извлекает из нее информацию о годе, месяце, дне, часах, минутах, секундах и миллисекундах. Файловая система NTFS хранит значения времени в формате UTC, поэтому на них не влияют изменения часового пояса, переход с зимнего времени на летнее и обратно.
Системные метки времени, конечно, не застрахованы от ошибок и изменений, но очень полезны во множестве ситуаций, от вычисления даты проведения той или иной бизнес-транзакции до сбора улик в рамках полицейского расследования.
Дата создания (Date Created) – это дата и время создания выбранного файла. Это значение записывается однократно и, как правило, не изменяется – разве что с использованием сторонних утилит.
Дата изменения (Date Modified) – это дата и время последней перезаписи файла, т. е. последнего изменения его содержимого. Переименование файла не отражается на дате изменения, так же как и открытие файла без внесения изменений.
Дата доступа (Date Accessed) – это дата (а на томах NTFS еще и время) последнего доступа к файлу для чтения или записи.
Как смотреть метки времени в Проводнике
Если хочется посмотреть метки времени для всех файлов, папок и подпапок в определенном каталоге, сделать это можно в Проводнике (File Explorer). По умолчанию показываются только дата и время изменения. Если требуется также узнать дату создания и последнего доступа, нужно изменить настройки представления.
Откройте Проводник и выберите вид «Таблица» (Details). По умолчанию отображаются столбцы «Имя» (Name), «Размер» (Size), «Тип» (Type) и «Дата изменения». Нажмите правой кнопкой мыши на любом из них и выберите в контекстном меню пункт «Дата создания».
Затем выберите команду «Подробнее» (More), отметьте в появившемся списке пункт «Дата доступа» и нажмите «OK». Теперь отсортируйте столбцы по убыванию, чтобы увидеть все недавно измененные файлы.
Как найти недавно измененные файлы поиском
Для поиска недавно измененных файлов можно использовать фильтр «датаизменения:» (datemodified:). Откройте в Проводнике папку, внутри которой вы хотите найти измененные файлы, либо раздел «Этот компьютер» (This PC), чтобы искать по всей системе. В строке поиска введите «датаизменения:» (без кавычек). Появится окошко с предложением выбрать дату или диапазон.
Для самых стандартных сценариев поиска есть предустановки «Сегодня» (Today), «Вчера» (Yesterday), «На этой неделе» (This week), «На прошлой неделе» (Last week) и т. д. Поскольку нас интересуют недавно измененные файлы, можно использовать одну из этих предустановок либо ввести в поле поиска «датаизменения:сегодня» («вчера», «наэтойнеделе», «напрошлойнеделе» и т. п., без кавычек). Windows начнет искать подходящие файлы и выводить их в результатах поиска.
По умолчанию система показывает последние измененные файлы только в индексируемых расположениях. Чтобы включить в результаты и те папки, которые не индексируются, нажмите на вкладке «Поиск» (Search Tools) кнопку «Дополнительные параметры» (Advanced options) и выберите пункт «Системные файлы» (System files). Каждый раз включать в поиск системные файлы не обязательно, но в некоторых ситуациях это может пригодиться.
Допустим, вы нечаянно нажали не ту кнопку при установке программного обеспечения и через некоторое время обнаружили, что на рабочем столе появились лишние ярлыки или в браузере добавилась какая-нибудь странная всплывающая панель. Ненужные файлы легко найти, посмотрев список последних созданных или измененных.
Если вы не против использования клавиатуры, можно просто ввести в строке поиска определенный запрос. Например, чтобы найти все файлы, измененные с 6 по 7 июня 2015 года, достаточно ввести «датаизменения:дд/мм/гг..дд/мм/гг» (без кавычек, в английской версии – «datemodified:Mm/Dd/Yy..Mm/Dd/Yy», две точки между датами обязательны).
Сохранение условий поиска
Потратив кучу времени на составление правильных условий поиска, не хочется потом возиться с этим заново, если опять понадобится найти последние измененные файлы. К счастью, Windows позволяет сохранять условия поиска в специальный файл с расширением «.search-ms».
Чтобы это сделать, на вкладке «Поиск» нажмите кнопку «Сохранить условия поиска» (Save search). Введите подходящее имя для файла и сохраните его. Если не выбирать расположение файла вручную, то ссылка на него появится в разделе «Избранное» (Favorites) в панели навигации Проводника.
Результаты поиска можно дополнительно сортировать, систематизировать и группировать – например, по дате создания или по присвоенным меткам. После сохранения условий поиска можно создать копию этого файла – в целях резервного копирования или чтобы поделиться с коллегой.
Как видите, в Windows очень легко узнать, какие файлы были недавно изменены. В сочетании с расширенными инструментами поиска это позволяет быстро найти любую необходимую информацию, и помнить для этого имя или адрес файла вовсе не обязательно.
Автор: Rahul Saigal
Перевод SVET
Оцените статью: Голосов
7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)
Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.
На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.
1. Проверяем историю браузеров
Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.
Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.
2. Проверяем, что искали в Google
Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.
Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.
Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.
Найти и изучить всю эту информацию вы можете в специальном разделе «Отслеживание действий».
3. Заглянем в Корзину
Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.
Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).
Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.
4. Недавно измененные файлы
В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.
Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!
Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.
5. Папка «Загрузки»
Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.
Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».
6. Ищем программы, которые запускались в ваше отсутствие
В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.
Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.
В списке начнут появляться исполняемые файлы, которые находятся в этой папке.
Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».
В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.
Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.
Если вы используете 64-разрядную версию Windows, то у вас будет еще одна папка — «C:\Program Files (x86)\». С ней нужно проделать то же самое.
Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.
Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.
7. Анализируем файлы журналов
Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.
Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).
Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.
Журнал безопасности
Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.
Журнал приложений
Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.
Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.
[Бонус] Ставим ловушку для неизвестного
Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.
При создании задачи укажите событие (триггер) «Вход в Windows».
Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.
Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!
- как узнать какие файлы были удалены с компьютера за последние дни
- как узнать какие файлы занимают больше всего места на жестком диске