История файлов на компьютере. Как посмотреть историю компьютера, что делали и куда заходили

Как поглядеть историю компа, что делали и куда заходили

В наше время информационная сохранность чрезвычайно принципиальна. В особенности, она принципиальна на работе. Потому смотреть за тем, что происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности Вашего индивидуального компа просто необходимо.

Если Вы думаете, что в Ваше отсутствие сторонний человек копается в Вашей инфы, то Для вас стоит изучить как просматривать историю конфигураций. Кстати, ежели у Вас детки, то полученную информацию может быть применить и к ним. Ведь выслеживать чем занимается Ваше дитя за компом пока Вы его не контролируете время от времени бывает очень полезно.

Содержание

Как поглядеть историю компа, чего же делали, куда заходили – 6 способов

На данный момент существует два варианта проверки того, что было с ПК. Для 1-го варианта довольно только компа, а для второго нужен еще и интернет.

Все поисковые системы сохраняют историю деяния юзера в сети. Для того, чтоб просмотреть историю похождений нужно надавить клавиши CTRL и H. Благодаря данной для нас композиции кнопок Вы увидите, где происходили путешествия по сети. Ежели переживаете, что сторонний увидит историю посещений, то знайте, что Вы постоянно можете ее очистить одной кнопкой.

Чтобы просмотреть историю Для вас следует зайти в меню «Пуск» и ввести в окошке особый набор знаков msinfo32 и кликом компьютерной мыши запустите програмку. Постарайтесь не делать никаких пробелов и написать знаки правильно, по другому ничего не запустится.

Если Для вас охото поглядеть, что ранее происходило на Вашей рабочей машине, выберите рубрику выполняемые задачки. И вот на экране Для вас представлен событийный журнал.

1. Какие программы и приложения запускались

Чтобы это выяснить необходимо будет зайти в «Журналы Windows», а потом зайти в подкатегорию «Приложения». В журнальчиках можно ознакомиться с историей того, что раскрывалось, когда запускалось и что вышло в связи с сиим запуском.

Если Для вас нужно поглядеть, что за приложения открывали с Вашего компютера, сможете зайти в пункт «Установка». Тут находятся установки сторонних и системных программ.

Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.

Во всех файлах существует определенный признак – дата их открывания. Время описывает когда юзер запустил приложение или файл.

Найти программы, которые были применены можно! Пройдите в папку «C:Program Files». В строке поиска напишите последующую комбинацию «*.exe» и нажмите кнопку «Enter». Сейчас в списке будут отображаться файлы, содержащиеся в папке.

Далее в пт «Вид» следует выбрать форму таблицы и нажать по заголовку столбца (безразлично какого) правой клавишей мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», потом вкладку «Дата доступа» и нажимаете кнопку «ОК».

После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать нужный Для вас период времени. Ежели Ваша система шестидесяти 4 разрядная, то такие манипуляции Для вас нужно будет произвести также с папочкой «C:Program Files (x86)». Вспомните, что ежели Ваши программы установлены в остальных местах, то проверить нужно и те места тоже.

При поиске не запамятовывайте о одной принципиальной детали: когда Вы начинаете открывать приложения, данные о их прошлом запуске автоматом затираются Вашими сведениями о вхождении и сейчас узнать время предыдущего вхождения невозможно.

2. Не так давно модифицированные файлы на компьютере

Обнаружить файлы с переменами достаточно легко: жмите на «Пуск» и выбирайте вкладку «Недавние файлы». Ежели таковой функции нет, то попытайтесь нажать вместе клавиши Win+R, а в возникшем окошке напишите «recent», запустив функцию кнопкой Enter. Сейчас Вы увидите папку в которой содержится список модифицированных файлов.  Не считая этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы раскрывались крайними на этом ПК.  Естественно, ежели человек, который просачивается на Ваш комп знаком хоть незначительно с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько.  Потому, ежели папка окажется пустой, отыскиваете на Ваших твердых дисках файлы со свежайшим временем изменений.

Читайте также  Как удалить звук из видео онлайн. Как убрать звук из видео - 4 простых способа

3. История посещения веб-сайтов в браузере

Проверка истории посещения веб-сайтов зависит от того каким браузером Вы пользуетесь. Самые всераспространенные браузеры Google Chrome и Firefox. Итак, разглядим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):

  • открываем браузер;
  • нажимаем комбинацию букв на клавиатуре CTRL+H;
  • попадаем на страничку с информацией про историю Ваших посещений в браузере.

Если Вы предпочитаете применять браузер Firefox, то выполняемые деяния будут мало различаться. Будет нужно следующее:

  • зайти в браузер;
  • найти и зайти во вкладку «Журнал»;
  • найти и надавить пункт «Показать весь журнал».

После этих манипуляций раскроется окошко с историей Ваших посещений за какой-нибудь период времени (его можно выбрать). Сейчас Вы можете изучить информацию о посещении страниц. Естественно, историю посещений просто подчистить и удалить, с целью заметания следов. В особенности, сиим славятся дети, историю посещений которых изучают бдительные предки. В таком случае Для вас нужно будет установить доп приложение, которое будет ложить информацию о жизнедеятельности в сети. Приложений таковых чрезвычайно много и как говорится веб Для вас в помощь!

4. Папка загрузки на компьютере

Путь к «Загрузкам» лежит через клавишу «Пуск», которую необходимо надавить. В колонке справа находится заглавие «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.

Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте надлежащие выводы. Для собственного удобства Вы сможете выбрать вид отображения «Таблица».

5. Заглянем в Корзину

Для осознания того какие файлы удалены можно открыть корзину и отсортировать сохраненную в ней информацию по времени удаления, поглядеть интересующий Вас отрезок времени и проанализировать, что было уничтожено.

Конечно, ежели осторожный плохой человек копался в Вашей машине, он наверное подчистил корзину, но вдруг ему кто-то помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю информацию.

6. Смотрим файл журнала

Для проверки журнальчика Вашей ОС необходимо открыть «Панель управления» и отыскать функцию «Администрирование». Опосля этого кликнуть на «Управление компьютером» и в навигационной панели отыскать вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».

Журналы эти имеют массу подходящей инфы о жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.

Журнал безопасности

В этом месте делается фиксация всех событий, чтоб просмотреть этот журнальчик попытайтесь открыть окно просмотра событий и в журнальчике «Windows» выберите вкладку «Безопасность». Сейчас Вы увидите действия сохранности. Для того, чтоб выяснить доп сведения о каком-либо событии довольно будет надавить на него и изучить полученную информацию.

Отметим, что этот журнальчик в неотклонимом порядке включает информацию о входе в систему. Ежели Вы понимаете о собственных входах в систему, то Вы постоянно можете идентифицировать время входа стороннего человека.

Журнал приложений

Включает в себя информацию о том, что за приложения раскрывались с Вашей машинки. Когда Вы пытаетесь осознать, какие приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию по дате в событиях.


Чтобы написать эту статью, мы издержали много времени и сил. Мы чрезвычайно старались и ежели статья оказалась полезной, пожалуйста оцените наш труд. сетях – это будет наилучшей благодарностью для нас и мотивацией на будущее!

Вадим Стеркин

В прошедший раз вы узнали, как настроить историю файлов и выполнить их восстановление. Сейчас я предлагаю для вас поглядеть, как можно размотать клубок новейшей технологии резервного копирования файлов в Windows 8, потянув за одну ниточку.

Готовя статьи, я постоянно использую достоверные сведения от разрабов Microsoft – документацию MSDN/TechNet, блоги и презентации. Но по Windows 8 таковой инфы пока незначительно – на данный момент это только видео конференции Build и блог создателей ОС, пересказывать который нет смысла – там все и так по-русски написано.

Эти источники не содержали сведений о истории файлов, но мне чрезвычайно почти все удалось узнать, задействовав обыкновенные инструменты: диспетчер задач, текстовый редактор и утилиты Sysinternals. Как вы увидите через несколько минут, тут нет ничего сложного!

Сегодня в программе:

Как попасть в историю

У меня на планшете незначительно файлов, которые обновляются часто. Потому я закинул в планировщик заданий пару команд, обновляющих текстовые файлы на рабочем столе каждые 30 минут.

Структура папок

Распутывать клубок я начал с папки File History в корне наружного USB-диска, на который выполнялось резервное копирование.

Читайте также  При включении ноутбук завис. Ноутбук зависает при включении. Причины и способы устранения

Из структуры папок можно сделать сходу несколько выводов:

  1. В одной папке могут храниться резервные копии с пары компов, к примеру, домашней группы. Таковым образом, несколько членов семьи могут применять один сетевой диск для хранения истории собственных файлов с хоть какого домашнего компа. При этом их общие файлы хранятся в единой папке Public.
  2. История вначале разделяется не по компам, а по учетным записям юзеров. Папка ICONIA-WIN8 названа по имени планшета и заходит в папку vadikan – под данной учетной записью я настраивал историю файлов.
  3. Для каждого компа на сто процентов воспроизводится структура папок, включенных в историю.

Кстати, любопытно будет проверить на досуге, показываются ли в интерфейсе восстановления файлов сходу все данные 1-го юзера с различных систем.

Содержимое папок

Давайте поглядим, что Windows 8 скопировала с рабочего стола, где часто обновлялись текстовые файлы.

Первый и самый тривиальный вывод  – для архивации файлов не употребляется сжатие, на что ранее намекали результаты поиска по истории. Это не очень экономно с точки зрения дискового места, но сильно упрощает навигацию и просмотр файлов при восстановлении.

Вряд ли стоит пенять Microsoft на нерациональное внедрение места на диске, так как терабайтные носители сейчас совершенно недороги. Хотя из-за наводнения в Таиланде цены на HDD на данный момент сильно подпрыгнули, к выходу Windows 8 это пройдет.

Второй увлекательный момент заключается в том, что в имени каждого файла содержится дата в формате UTC (отставание от столичного времени на 4 часа). В имени файла указана дата сотворения резервной копии, при этом последнее изменение файла отражено в столбце проводника «Дата изменения».

На рисунке выше выделен файл, который был сохранен 27 октября в 02:40 по столичному времени. Его резервная копия была сотворена девятью минутками позднее, 27 октября 02:49:04 (в имени файла это 26 октября в 22:49 UTC + 4 часа различия меж поясами).

По сопоставлению с прошлыми версиями файлов из теневых копий в Windows 7, постоянное копирование в Windows 8 обеспечивает наиболее точную историю версий.

Пусть вас не смущает такое огромное количество копий моих файлов – ведь я изменял их каждые полчаса, а резервное копирование выполнялось раз в час. Потому в каждую версию истории врубалась обновленная версия файла. Ежели бы с момента сотворения первой версии мои файлы ни разу не обновлялись, Windows 8 сохранила бы лишь по одной копии.

Что в «конфиге» для тебя моем

Для каждого компа кроме пользовательских папок создается папка Configuration с параметрами резервного копирования.

В файлах каталогов с расширением EDB как минимум содержатся пути и имена файлов для отображения в окне просмотра истории. Это предположение я проверил 2-мя путями.

  1. Разместил в папке с историей случайный файл и узнал, что он не виден при просмотре либо поиске в истории файлов.
  2. Выполнил поиск при отключенном наружном диске и увидел в результатах «несуществующий» путь.
    При попытке открыть таковой файл сообщается, что он уже был скопирован на иной диск и предлагается подключить его.

Если вдуматься, характеристики архивации должны храниться кое-где еще. Ведь мы изучаем диск, на котором не может быть никаких архивных данных до сотворения первой резервной копии. Ответ на этот вопросец содержится в конфигурационном XML-файле, который можно открыть в любом текстовом редакторе!

Владея английским, несложно додуматься о назначении того либо другого узла в XML-файле без всякой документации.

Большинство узлов соответствует настройкам резервного копирования в графическом интерфейсе панели управления. А вот заглавие узла StagingArea можно перевести как «промежуточное хранилище».

<StagingArea> <StagingAreaPath>C:UsersvadikanAppDataLocalMicrosoftWindowsFileHistoryData</StagingAreaPath> <StagingAreaMaximumCapacity>1073741824</StagingAreaMaximumCapacity> <StagingAreaWarningThreshold>805306368</StagingAreaWarningThreshold> </StagingArea>

Сразу становится понятно, где хранилище размещено в профиле юзера на локальном диске, а также выясняется его предел в 1 Гб и порог предупреждения в 768 Мб. Судя по «круглым» цифрам, размер хранилища не привязан к размеру системного раздела. По последней мере, в различных системах на разделах 32 и 120 Гб размер характеристики дискового места были одинаковыми.

Тайны временного хранилища

Я представил, что эту папку Windows 8 употребляет для временного хранения данных на вариант, ежели недоступен наружный либо сетевой диск, на который должны копироваться файлы. Отсоединив диск, я убедился: в параметрах резервного копирования указано, что оно работает, хотя диск отключен.

В локальном хранилище нашлась приблизительно таковая же структура папок, как и на наружном диске. Но в папке Data находились пронумерованные папки, любая из которых соответствует одной версии и содержит лишь файлы, изменившиеся с момента сотворения предшествующей версии.

Читайте также  Перевернуть монитор на ноутбуке. Как на ноутбуке перевернуть экран быстро и легко

Версии создавались часто, так как файлы на рабочем столе обновлялись по заданиям планировщика в то время, кода планшет был включен. Снутри каждой папки воспроизводится уже знакомая для вас структура включенных в историю расположений, начиная с корня локального диска, при этом файлы имеют свои обыденные имена.

Спустя недельку, я подключил наружный диск и скоро на него скопировались все версии модифицированных файлов. Сразу очистилось временное хранилище, в котором осталась только самая крайняя версия истории.

Подчеркну, что на наружный диск были перенесены файлы, но не структура временного хранилища. Ведь в неизменном хранилище все версии каждого файла собраны в одной папке и различаются штампом времени в именах.


Итак, механизм истории файлов стал полностью понятен. Осталось узнать, на какие процессы возложена черновая работа.

Если кто-то где-то у нас порой

Из собственного сундучка я извлек утилиты Sysinternals и приступил к исследованию. Отследить приложение, записывающее файлы на диск, было делом техники. Я настроил Process Monitor на слежение за папкойFile History на наружном диске, исключив фильтрами проводник и интегрированный в Windows 8 антивирус (защитник Windows = Microsoft Security Essentials).

В течение часа Process Monitor изловил за руку процесс svchost.exe.


Увеличить рисунок

Как понятно, процессы с таковым именованием обеспечивают работу служб Windows (svc – service, host – хозяин). Зная PID процесса, с помощью новейшего диспетчера задач Windows 8 было нетрудно узнать, что резервное копирование обеспечивает новенькая служба File History.

Наша служба и небезопасна и трудна

Делясь первыми впечатлениями о Windows 8, я представил, что история файлов работает на базе службы теневого копирования тома. Как видите, подробный разбор полетов показал ошибочность этого суждения. В Windows 8 резервное копирование файлов не лишь возложено на новейшую службу, но она еще и никак не соединено с теневым копированием.


Увеличить рисунок

Открыв характеристики процесса svchost в Process Explorer и перейдя на вкладку Services (слева на рисунке), я вызнал, что работа службы File History обеспечивается библиотекой fhsvc.dll.

Все идет по плану

Белых пятен в истории не осталось, но напоследок я решил заглянуть в планировщик заданий, на который в каждой новейшей ОС Microsoft возлагается все больше и больше фоновых задач. Вправду, там нашлась папка File History, а в ней одно обслуживающее задание.


Увеличить рисунок

В описании задания сказано, что оно выполняет резервное копирование файлов в то время, когда юзер не взаимодействует с системой. Но у меня есть сомнения в корректности описания, т.к. для задания не поставлено условие пуска лишь при бездействии. Не считая того, даты выполнения задания ни разу не совпали со временем сотворения очередной версии либо чистки временного хранилища.

Трудно огласить, для чего необходимо это задание, так как триггеры и выполняемые деяния накрепко укрыты от любознательных глаз. Ясно, что оно применяется ко всем юзерам, так как запускается от имени системной учетной записи вне зависимости от того, выполнен ли кем-либо вход в систему. Может быть, на задание возложено сервис временного хранилища.

Заключение

Напоследок я бы желал свести вкупе сведения о истории файлов, которые мне удалось собрать.

  • Резервное копирование файлов в Windows 8 возложено на новейшую службу File History и сопутствующую ей библиотеку fhsvc.dll. Эта служба автоматом запускается вкупе с Windows, но в отложенном режиме.
  • Для опции истории файлов употребляется новейший элемент панели управления File History, который также можно запустить командой: control /name Microsoft.FileHistory
  • В согласовании с данными параметрами истории файлов, процесс svchost инициализирует деяния службы по резервному копированию файлов.
  • Резервные копии файлов не сжимаются, что ускоряет навигацию и просмотр. Но при большом количестве нередко изменяемых файлов это диктует наиболее высочайшие требования к размеру дискового места, отведенного для истории.
  • Просмотр файлов осуществляется в отдельной програмке FileHistory.exe, которую можно вызвать из панели управления либо запустить из системной папки.
  • Если отключен диск, предназначенный для хранения истории файлов, они копируются в промежуточное хранилище в профиле юзера. Для хранилища установлен предел в 1 Гб, а предупреждение выводится при заполнении на 768 Мб.
  • При подключении диска на него копируются версии файлов из промежного хранилища, опосля чего же оно очищается.

А как у вас обстоят дела с резервными копиями файлов? Делаете ли вы бэкап нажитого непосильным трудом и как часто?

Вы сможете отметить достойные внимания для вас фрагменты текста, которые будут доступны по неповторимой ссылке в адресной строке браузера.

Метки: sysinternals, архивация, восстановление, проводникИнформация в статье применима к Windows 8 и новее

Оставьте комментарий