Как проверить, кто использовал ваш компьютер без разрешения

Кто-то мог тайно пользоваться вашим компьютером. Возможно, вы заметили, что ноутбук не там, где оставили, или рабочий стол выглядит иначе. Практически все действия на компьютере оставляют цифровые следы — файлы, метаданные, записи в журналах и историю браузера. Главное — знать, где искать, чтобы быстро найти доказательства и принять меры.

В этой статье собраны практические способы обнаружить посторонний доступ как на Windows, так и на macOS и Linux, включая команды и чек-листы для действий после инцидента. В конце — пошаговый план реагирования и рекомендации по защите.

Быстрый набор действий, если вы подозреваете вторжение

• Немедленно заблокируйте экран: Windows key + L или нажмите сочетание на macOS. Не выключайте машину, если хотите сохранить следы.
• Зафиксируйте момент: сделайте фото экрана и списка открытых окон.
• Соберите первичные данные: недавно открытые файлы, история браузера, системные журналы.
• Поменяйте пароли с другого устройства и включите двухфакторную аутентификацию.
• При серьёзном подозрении создайте образ диска или обратитесь к специалисту по цифровой форензике.

1. Как посмотреть недавно открытые файлы на компьютере

Недавно открытые файлы — самый простой источник информации о том, что делали на компьютере.

Windows (Проводник)

• Откройте Проводник (Windows key + E).
• В верхнем левом углу выберите “Home” или “Быстрый доступ”. Раздел “Recent”/“Недавние” показывает файлы, к которым был доступ.
• Если хотите проверить конкретную программу (PowerPoint, Word), откройте её и посмотрите вкладку Recent.

macOS

• В меню Apple выберите “Недавние” (Recent Items) или в Finder откройте раздел «Последние»/“Recents”.
• В отдельных приложениях (Pages, Keynote, Preview) есть собственный список недавно открытых файлов.

Ограничения

• Список можно очистить вручную. Если злоумышленник знал, что ищет, он мог удалить записи. Тем не менее, это уже косвенное указание на попытку скрыть следы.

Совет эксперта

• Снимите на телефон список “Недавние” до его очистки. Это простая и быстрая фиксация улик.

2. Как определить, какие файлы были изменены и когда

Если файл не только открывали, но и редактировали, метаданные помогут это подтвердить.

Через Проводник (Windows)

• Перейдите в папку (Documents, Pictures, Downloads).
• Нажмите заголовок столбца Дата изменения (Date Modified) — самый свежий файл окажется наверху.
• Кликните правой кнопкой мыши по файлу → Свойства (Properties) → вкладка Общие: там указаны Created, Modified, Accessed.

PowerShell — быстрый отчёт

Get-ChildItem -Path "C:\Users\%USERNAME%\Documents" -Recurse | 
  Sort-Object LastWriteTime -Descending | 
  Select-Object FullName,LastWriteTime,LastAccessTime | Out-File C:\Temp\recent-files-report.txt

Этот скрипт перечислит файлы по времени последнего изменения и сохранит отчёт.

macOS — через Terminal

• Команда для списка файлов по времени изменения:

find ~/Documents -type f -printf "%TY-%Tm-%Td %TH:%TM %p\n" | sort -r

Linux

• Аналогично: ls -lt для сортировки по времени изменения, или find с параметрами -printf.

Ограничения и полезные возможности

• Если злоумышленник специально изменял только дату или использовал утилиты для очистки следов, метаданные могут быть недостоверными.
• Проверьте резервные копии и тени тома (Windows Shadow Copies, Time Machine на macOS): иногда файл сохранил авто-сохранение с указанием времени, когда он создавался или редактировался.

3. Проверка истории браузера

История браузера часто даёт быстрые подсказки о посещённых сайтах.

Chrome

• Меню (троеточие) → История → откройте список посещённых страниц.
• Также проверьте синхронизацию аккаунта Google: myactivity.google.com показывает активность на всех устройствах, если включена синхронизация.

Edge

• Меню → История.

Firefox

• Меню → Журнал → Показать весь журнал.

Brave и другие

• Меню → History/История.

Если историю удалили

• Некоторые браузеры хранят кеши и файлы в профиле пользователя. Даже после очистки истории в локальных файлах может остаться след (например, файлы SQLite профиля Chrome). Для глубокого анализа нужны инструменты (например, sqlite3, цифровая форензика).

Проверьте закладки и подчистки

• Обратите внимание на недавно добавленные закладки, загруженные файлы и список автозаполнений — они тоже подскажут, что делали.

4. Журналы входов Windows — Event Viewer

Windows автоматически ведёт аудит событий входа. Эти логи — один из надёжных источников информации.

Как открыть Event Viewer

• Нажмите Windows, введите “Event Viewer” и откройте приложение.
• Перейдите Windows Logs → Security (Windows Log > Security).

Коды событий, на которые стоит смотреть

• 4624 — Logon (вход в систему).
• 4634 — Logoff (выход).
• 4672 — Special Logon (вход с повышенными привилегиями).

Дополнительно: типы входа

• Logon Type 2 — локальный вход у консоли.
• Logon Type 10 — удалённая сессия (RDP).
• Logon Type 3 — сетевой логин (доступ к ресурсу по сети).

Фильтрация и поиск

• Используйте Actions → Filter Current Log, укажите Event ID или диапазон дат.
• Функция Find… в правой панели помогает быстро найти нужный Event ID.

PowerShell для событий входа

Get-WinEvent -FilterHashtable @{LogName='Security';Id=4624} | 
  Select-Object TimeCreated, @{Name='Account';Expression={$_.Properties[5].Value}}, @{Name='LogonType';Expression={$_.Properties[8].Value}} | 
  Format-Table -AutoSize

Эта команда показывает время события, учётную запись и тип входа.

Включение аудита на Windows Pro

• Введите “gpedit.msc” → Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit logon events.
• Выберите Success и Failure.
• Альтернативно для включения через командную строку:

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Важно

• На Windows Home аудит входов обычно включён по умолчанию. Если аудит не включён заранее, вы не сможете восстановить старые события.

5. Что смотреть на macOS и Linux

macOS

• Console.app: системные логи и записи входа.
• Команда last в Terminal покажет недавние сеансы входа: last | head -n 20.
• Проверьте /var/log/ и ~/Library/Logs.
• Time Machine может сохранить предыдущие версии файлов, полезно для восстановления временной линии.

Linux

• last и lastlog читают записи в /var/log/wtmp и /var/log/lastlog.
• auth.log (обычно /var/log/auth.log или /var/log/secure) содержит записи о входах и sudo.
• Если включён auditd, проверьте /var/log/audit/audit.log.

6. Другие индикаторы постороннего доступа

• Новые учётные записи пользователей или изменённые настройки учётных записей.
• Неожиданно установленные программы в “Программы и компоненты” или в списке приложений macOS.
• Записи о подключении USB-устройств (Windows ведёт события о подключении USB в журнале System).
• Командная история: PowerShell/Historical оболочки, Bash history (~/.bash_history).
• Необычные сетевые подключения или активность антивируса.

7. Как реагировать: пошаговый план (SOP)

1. Зафиксируйте доказательства

• Заблокируйте экран, но не перезагружайте и не выключайте ПК, если собираетесь сохранять логи.
• Сделайте фото экрана и снимите список процессов/открытых окон.
• Скопируйте/экспортируйте журналы (Event Viewer, браузерные профили).

2. Оцените срочность

• Если есть признаки удалённого доступа (RDP, странные сетевые подключения), отключите устройство от сети, но оставьте питание.
• Если возможен вред или шпионаж, обратитесь к специалистам по ИТ-безопасности.

3. Измените пароли и активируйте 2FA

• С другого, надёжного устройства поменяйте пароли для учётной записи Windows/macOS, почты, банковских сервисов.
• Включите двухфакторную аутентификацию.

4. Просканируйте систему на вредоносное ПО

• Используйте проверенные антивирусы и анти-малваре.
• Рассмотрите запуск сканера с загрузочного носителя.

5. Примите решение о восстановлении системы

• Для полной уверенности лучше создать образ диска (bit-for-bit), проанализировать его и затем выполнить чистую установку ОС.
• Если доказательства важны юридически — не производите вмешательств, а создайте образ и обратитесь к эксперту.

6. Проанализируйте уязвимость и исправьте её

• Отключите автологин, включите шифрование диска (BitLocker, FileVault).
• Настройте долгие пароли и двухфакторную аутентификацию.
• Обновите систему и отключите ненужные службы.

8. Чек-листы по ролям

Для конечного пользователя

• Заблокировать экран перед уходом.
• Включить автозапрос пароля при выходе из спящего режима.
• Использовать сложный пароль и 2FA.

Для администратора

• Включить аудит входов и централизованные журналы.
• Настроить средства мониторинга и оповещений (SIEM).
• Регулярно проверять списки установленных приложений и журналы USB.

Для ответа на инцидент

• Сохранить логи и создать образ диска.
• Изолировать систему от сети.
• Провести детальный анализ и принять решение о восстановлении или переустановке.

9. Критерии приёмки после расследования

• Найдены логи, подтверждающие несанкционированный вход (Event ID, записи last и т. п.).
• Изменённые файлы подтверждены метаданными или резервными копиями.
• Система очищена от вредоносного ПО или выполнена чистая установка.
• Все важные пароли изменены и включены средства защиты (шифрование, 2FA).

10. Тестовые сценарии и приёмочные проверки

• Симулировать авторизованный и неавторизованный вход и убедиться, что события логируются.
• Проверить, что история браузера и недавние файлы отражают открытие/редактирование документов.
• Тестировать восстановление из резервной копии после инцидента.

11. Решение: что делать, если вы нашли доказательства

• Если это домашний спор: сначала обсудите ситуацию с тем, кто имел доступ, и смените пароли.
• Если есть доказательства кражи данных или мошенничества: сохраните логи и обратитесь в службу поддержки сервиса/банка, при необходимости — в полицию.
• Для рабочих компьютеров: сообщите в ИТ-отдел и следуйте корпоративному инцидент-процессу.

12. Меры профилактики и усиление безопасности

• Блокировка экрана при уходе.
• Сильные пароли и менеджеры паролей.
• Двухфакторная аутентификация для учётных записей.
• Шифрование диска: BitLocker (Windows), FileVault (macOS).
• Отключение автологина.
• Регулярные обновления ОС и приложений.
• Физическая безопасность: шкафы для ноутбуков, защита кабелем, видеонаблюдение в офисе.

Важно

• Шифрование диска делает практически невозможным чтение данных при физическом снятии диска без пароля.

13. Риски и смягчение

• Удаление логов злоумышленником: создавайте централизованные бэкапы журналов и используйте удалённый SIEM.
• Подмена временных меток: храните резервные копии и используйте хронологическое сопоставление нескольких источников (браузер, автосохранение, тени тома).
• Местное владение устройством: физическую безопасность исправляют физическими средствами.

14. Мини-глоссарий

• Журнал входа — системная запись события входа пользователя в систему.
• Метаданные файла — дополнительные данные о файле (время создания, изменения, последний доступ).
• Образ диска — точная побитовая копия накопителя, используемая для расследования.

Дерево решений для быстрой диагностики

flowchart TD
  A[Подозрение на доступ к ПК] --> B{Можете сохранить следы?}
  B -- Да --> C[Заблокировать экран и сделать фото]
  B -- Нет --> D[Смена паролей и удалённая проверка]
  C --> E[Проверить недавние файлы и историю браузера]
  E --> F{Нашли очевидные доказательства?}
  F -- Да --> G[Собрать логи, создать образ диска, поменять пароли]
  F -- Нет --> H[Проверить журналы входов 'Event Viewer / last']
  H --> I{Подтверждён вход?}
  I -- Да --> G
  I -- Нет --> J[Мониторинг и усиление защиты]

Итог и рекомендации

• Начните с быстрых проверок: недавние файлы и история браузера.
• Для подтверждения используйте системные журналы (Event Viewer, last, auth.log).
• Сохраняйте доказательства, меняйте пароли и включайте 2FA.
• При серьёзном подозрении снимите образ диска и обратитесь к специалистам.

Ключевые моменты

• Нередко посторонний доступ обнаруживается простыми средствами.
• Очистка истории — показатель попытки скрыть следы; сохраняйте резервные копии логов.
• Превентивные меры значительно снижают риск повторного инцидента.

Важно: если инцидент затрагивает банковские или персональные данные, действуйте оперативно и документируйте все шаги.