Представьте картину: возвращаетесь домой, а компьютер теплый. Или, хуже того, открытые вкладки браузера исчезли, и курсор мыши стоит не в том месте, где его оставили. Мысли начинают бить тревогу: «Кто трогал мой ПК?». Коллеги по офису, любопытные домочадцы, а может, и вовсе посторонние? Microsoft, как искусный хранитель секретов, не выносит эту информацию на поверхность, заставляя пользователей гадать на кофейной гуще.
Но правда в том, что Windows исправно записывает каждый чих системы — каждое включение, выключение, попытку взлома и даже простое движение мыши после спящего режима. Просто все эти данные спрятаны в дебрях «Просмотра событий» (Event Viewer) — инструменте, о котором рядовой пользователь даже не подозревает. А если и подозревает, то боится туда заходить из-за сотен непонятных записей.
Сегодня разберем, как превратить этот «черный ящик» в систему видеонаблюдения. Научимся читать следы, как настоящие детективы, и выясним, включал ли кто-то компьютер без спроса.
📌 Больше таких скрытых инструментов Windows, о которых молчат в техподдержке, мы публикуем здесь:
👉 Канал МАХ: «Не баг, а фича»
👉 Telegram: Секретные настройки Windows
📜 Часть 1. Event Viewer: вход в тайную комнату
Чтобы начать расследование, нужно зайти туда, куда Microsoft не очень-то и хочет, чтобы вы заходили, — в оснастку «Просмотр событий» (eventvwr.msc). Это как подвал в старом доме: пыльно, темно, но там лежат ответы на все вопросы.
Как открыть? Самый быстрый способ — нажать сочетание клавиш Win + R, ввести команду eventvwr.msc и нажать Enter. Система не спросит разрешения, не покажет предупреждений — просто откроет консоль.
Перед вами появится окно с тремя основными разделами. Нас интересует «Журналы Windows» (Windows Logs), а внутри него — «Система» (System). Именно здесь операционная система записывает все, что происходит с «железом» и ядром: включения, выключения, ошибки драйверов, пробуждения от сна.
Проблема в том, что за день там накапливаются тысячи событий. Найти иголку в стоге сена без фильтров невозможно. Но у нас есть секретное оружие — ID событий (Event IDs). Каждое действие в Windows имеет свой уникальный цифровой код.
🔑 Часть 2. Ключевые ID: азбука компьютерного детектива
Как узнать, что компьютер точно включался? Windows оставляет несколько «зацепок». Не верьте тем, кто говорит, что достаточно одного события. Настоящий сыщик смотрит на комбинацию.
🟢 1074: Главная улика (Инициатор действий)
Если кто-то специально выключил или перезагрузил компьютер (нормальным способом, а не кнопкой на корпусе насильно), система запишет событие ID 1074 в журнале «Система» (источник User32) . Это самый ценный лог, потому что он хранит имя того, кто это сделал.
В описании события можно увидеть такое:
"Процесс "C:\Windows\System32\RuntimeBroker.exe" инициировал выключение компьютера {ИМЯ_ПК} от имени пользователя ДОМЕН\ИВАНОВ по следующей причине: No title for this reason could be found"
Волшебство происходит в строчке «от имени пользователя». Если там написано имя домочадца или коллеги — вот он, виновник. Если написано SYSTEM — компьютер выключился сам (например, из-за установки обновлений или планового задания).
🟢 6005 и 6009: Я родился!
Классические индикаторы загрузки системы — это события 6005 и 6009 (источник EventLog) .
- 6005: Служба журналов событий запущена. Это происходит на финальной стадии загрузки ОС. Если видите это событие — система точно загрузилась до рабочего стола.
- 6009: Версия Windows и время запуска. Просто дублирующая информация, полезная для сверки времени.
🟢 41: Аварийное отключение (Загадочное исчезновение)
Иногда вы приходите, а компьютер выключен, хотя вы его точно оставляли включенным. Или наоборот — он перезагрузился сам посреди ночи. Об этом сигнализирует ID 41 (Kernel-Power) .
Это событие говорит: «Система перезагрузилась без чистого завершения работы» . Причины: сбой питания, синий экран смерти (BSOD) или кто-то нажал и удержал кнопку питания, обесточив ПК принудительно. Если вы не дергали шнур из розетки, а событие 41 есть — значит, ваш ПК повидал что-то страшное в ваше отсутствие (либо вор выдернул провод, либо система упала в критическую ошибку).
🟢 1 и 42: Пробуждение ото сна
Часто компьютер не выключают, а просто закрывают крышку ноутбука или отправляют в сон. В таком случае для включения достаточно нажать клавишу.
Как узнать, что компьютер проснулся от сна или гибернации? Ищите событие ID 1 (Power-Troubleshooter) (источник: Microsoft-Windows-Power-Troubleshooter) .
В его описании будет указано:
"Система вышла из спящего режима. Время сна: {время}, Время пробуждения: {время}. Источник пробуждения: Устройство — HID Keyboard"
Здесь есть две важные детали:
- Время, когда это случилось.
- Источник пробуждения. Если там написано «Клавиатура» или «Кнопка питания», значит, кто-то подошел и тронул компьютер. Если «Таймер» — система проснулась сама (например, для установки обновлений).
Событие ID 42 (Kernel-Power) также сигнализирует о входе в сон или гибернацию. Если 42 есть, а потом нет 1 — возможно, кто-то выключил ноутбук, не выходя из сна (обесточил).
🚨 Часть 3. Кто заходил в систему? (Отслеживание логинов)
Просто включить компьютер — мало. Настоящий «шпион» должен еще и войти в систему, ввести пароль. Как это отследить? Тут есть нюанс. По умолчанию в домашних версиях Windows (Home) аудит входов может быть выключен . Но в профессиональных версиях (Pro/Enterprise) информация часто доступна, если кто-то не отключил политику безопасности специально.
Нам понадобится переключиться из журнала «Система» в журнал «Безопасность» (Security Log). Доступ к нему имеют только администраторы.
События, которые нужно искать в журнале Безопасности:
- ID 4624 (Успешный вход в систему) : Главный лог. Он показывает, кто вошел . В описании будет указан целевой пользователь (Target User) — тот, кто залогинился, и тип входа (Logon Type):
Тип 2: Интерактивный вход (через клавиатуру с экраном входа).
Тип 10: Удаленный интерактивный вход (RDP).
Тип 3: Сетевой вход (доступ к папкам, без рабочего стола). - ID 4625 (Неудачный вход) : Кто-то пытался угадать пароль и ошибся. Если таких событий много в ваше отсутствие — это тревожный звоночек.
- ID 4647 (Инициирован выход) и ID 4634 (Выход из системы) : Логи выхода, помогающие понять, как долго гость сидел за компьютером.
🧙 Часть 4. PowerShell: магия одной строки (500+ символов)
Ручной перебор сотен событий в унылом интерфейсе «Просмотра событий» — удел мазохистов. Настоящие айтишники автоматизируют этот процесс с помощью PowerShell. Это встроенный язык сценариев Windows, который умеет доставать из логов нужную информацию быстрее, чем вы успеете нажать «ОК» в фильтре.
Команда №1: Быстрый взгляд на историю перезагрузок и выключений
Скопируйте эту команду и вставьте ее в окно PowerShell (запущенное от имени администратора):
Get-EventLog -LogName System | Where-Object {$_.EventID -in (6005,6006,6008,6009,1074,1076)} | Format-Table TimeGenerated,EventId,Message -AutoSize -Wrap
Что это даст? На экране появится список всех событий, связанных с питанием, отсортированных по времени. Вы увидите, когда служба логирования запускалась (загрузка) и когда останавливалась (выключение). Особое внимание обратите на строчки с ID 1074 — там спрятано имя пользователя, нажавшего на кнопку «Выключение».
Команда №2: Поиск пробуждений (Кто разбудил ПК?)
Если компьютер просто засыпал и просыпался, его сложно поймать на горячем, так как событий 6005 там может не быть. Нужна команда, ориентированная именно на Power Troubleshooter:
Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-Power-Troubleshooter'} | Select-Object TimeCreated, Message -First 20 | Format-List
Эта команда вытащит из логов последние 20 случаев пробуждения компьютера. Вы увидите точное время, когда кто-то открыл крышку ноутбука или нажал на клавишу, и даже узнаете, какая именно клавиша послужила пусковым механизмом (например, «HID Keyboard Device»). Это неоспоримое доказательство присутствия человека.
Команда №3: Слежка за входами (Security Log)
Если включен аудит безопасности, вот так можно вывести последние 10 успешных входов в систему:
Get-EventLog -LogName Security -InstanceId 4624 | Select-Object -First 10 | Format-List TimeGenerated, Message
В поле Message ищите строчку «Account Name». Если там ваше имя, а вы в это время спали — вопросов больше нет.
PowerShell хорош тем, что результат можно сохранить в текстовый файл (Export-CSV) и отправить себе на почту или проанализировать позже. Например, чтобы скрытно наблюдать за офисным ПК, работая из дома.
🧰 Часть 5. Сторонние утилиты: Sysinternals и PsLoggedOn (500+ символов)
Если встроенные средства Windows кажутся слишком сложными или медленными, на помощь приходит легендарный набор утилит от Microsoft Sysinternals. Это такие же родные для системы инструменты, но с интерфейсом и логикой для профессионалов. Конкретно для расследования включений компьютера и сеансов пользователей используется утилита PsLoggedOn.
Что такое PsLoggedOn? Это консольная программа размером в пару сотен килобайт, которая не требует установки. Она умеет делать две гениальные вещи:
- Показывать, кто физически сидит за компьютером (локальный сеанс).
- Показывать, кто подключен удаленно (через общие папки или скрытые административные ресурсы типа IPC$).
Как использовать? Скачайте пакет Sysinternals с официального сайта Microsoft (это безопасно и легально). Распакуйте PsLoggedOn.exe в папку C:\Windows\System32 или просто запускайте из папки загрузок через командную строку.
Команда для локального ПК: psloggedon (просто ввести и нажать Enter).
Программа покажет список пользователей, которые вошли в систему, а также тех, у кого открыты файлы на вашем компьютере по сети. Если вы живете один, а программа показывает постороннего пользователя — это прямое указание на вторжение.
Команда для удаленного ПК в сети: psloggedon \\ИМЯ_КОМПЬЮТЕРА
Это настоящая фишка для администраторов малого бизнеса. Сидя у себя в кабинете, вы можете проверить, не задержался ли кто допоздна на рабочей станции Иванова, не включил ли ее сторож или уборщица. Утилита также умеет искать пользователя по всей сети, если вы забыли, на каком именно компьютере он работал вчера вечером .
Почему Microsoft молчит об этом? Потому что эти утилиты раскрывают скрытую статистику сетевых подключений. Обычный пользователь может испугаться, увидев в списке сеансов IPC$ или учетные записи компьютеров, заканчивающиеся знаком доллара (например, COMPUTER$). Это нормальные системные подключения, но для неопытного глаза они выглядят как хакерская атака. Корпорация предпочитает скрывать эти сложные механизмы, оставляя их на откуп сисадминам, которые знают, что делают.
🗓️ Часть 6. Планировщик заданий: постоянное наблюдение
Если нужно не просто разово заглянуть в прошлое, а поставить компьютер на «учет» — настроить систему оповещения, — придется освоить Планировщик заданий (Task Scheduler).
Идея: Создать задание, которое при каждом включении компьютера будет автоматически записывать в файл дату, время и имя пользователя, который зашел в систему. Так у вас появится журнал, который нельзя подделать.
Как настроить (быстрый способ):
- Откройте Планировщик заданий (taskschd.msc).
- Нажмите «Создать задачу...».
- На вкладке «Триггеры» создайте новый триггер: «При запуске системы».
- На вкладке «Действия» создайте новое действие: «Запустить программу» — PowerShell.exe.
- В поле аргументы вставьте команду:
-Command "$timestamp = Get-Date -Format 'yyyy-MM-dd HH:mm:ss'; $user = $env:USERNAME; $logFile = 'C:\PC_Audit_Log.csv'; $entry = '{0},{1},{2}' -f $timestamp, $env:COMPUTERNAME, $user; Add-Content -Path $logFile -Value $entry"
Теперь при каждом запуске ПК в корне диска C: будет создаваться файл PC_Audit_Log.csv. Открыв его в Excel, вы увидите хронологию всех запусков и имена пользователей, под которыми происходил вход. Конечно, если злоумышленник найдет этот файл, он может его удалить. Но чтобы его найти, он должен знать, что вы за ним следите. А это уже психологический уровень защиты.
🛡️ Часть 7. Аппаратный метод: если софт не помог
Бывают случаи, когда Windows переустановили, журналы событий стерли, а жесткий диск заменили. Как тогда узнать, включали компьютер или нет? На помощь приходит S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) — система самодиагностики жестких дисков и SSD.
Каждый жесткий диск хранит атрибут Power-On Hours (POH) — количество часов, которое устройство проработало в включенном состоянии. Даже если вы переустановили Windows сто раз, счетчик накрученный в контроллере диска останется .
Как посмотреть? Используйте программы вроде CrystalDiskInfo или Hard Disk Sentinel.
Запишите значение Power-On Hours Count сегодня. Проверьте его через неделю. Если диск накрутил 10 лишних часов, а компьютер, по вашим ощущениям, стоял выключенным — значит, кто-то его включал и пользовался (или работала фоновая служба, но диск все равно грелся).
Это «железное алиби», которое нельзя подделать программно. Если вы подозреваете коллегу или соседа, сфотографируйте показатели S.M.A.R.T. до ухода домой и сверьте после прихода.
📊 Итоговая таблица: Шпаргалка для сыщика
Чтобы не запутаться, сохраните себе эту таблицу. Это ваш детективный набор инструментов:
💡 Бонус: Как защититься от скрытного включения?
Просто знать недостаточно — нужно уметь обороняться. Если вы нашли следы того, что компьютером пользуются без спроса, сделайте три вещи:
- Включите BitLocker или пароль на BIOS/UEFI. Даже если злоумышленник загрузится с флешки, он не получит доступ к данным, и уж точно не сможет зайти в вашу Windows без пароля. Это первая линия обороны.
- Отключите функцию «Быстрый запуск». Как мы знаем из предыдущего материала, Fast Startup запутывает логи. Отключив его, вы сделаете логи 6005/6006 четкими и предсказуемыми.
- Настройте отправку критических событий на почту. В «Планировщике заданий» можно создать триггер на событие 4624 (успешный вход) и настроить действие Send an email. Теперь, как только кто-то сядет за ваш ПК, вы получите уведомление на телефон.
И не забудьте поставить лайк этому посту, чтобы ваш коллега, который тайком играет на вашем ПК в игры, случайно его не пропустил.
📌 Больше детективных расследований мира IT и скрытых фишек Windows ищите здесь:
👉 Канал МАХ: «Не баг, а фича»
👉 Telegram: Секретные настройки Windows