腦對于我們來說是非常隱私的一個物品,無論是工作上的文件,還是自己生活中的“小秘密”,我們都會保存到電腦中,生活中我們免不了會出現將電腦借給別人,但是又不想泄露自己的隱私,今天就教大家如何查看你的電腦操作記錄!
這個是最簡單的,就是在不同的瀏覽器中查看網頁記錄,看看在網頁上都搜索了什么,點擊“菜單”然后選擇“歷史記錄”就可以找到了,
還有一種方式就是“開始”然后在“控制面板”中選擇“nternet”,在屬性中選擇“常規”,之后選擇“瀏覽歷史記錄”,點擊“設置“然后選中”Internet 臨時文件和歷史記錄設置“最后選擇”查看文件“,這個操作有些繁瑣,建議大家還是可以選擇上面的方式,不過要是想炫一下,還是可以試試哦!
如果你想查看電腦的訪問信息,可以按住電腦的”window +R鍵“,然后在電腦頁面的左下角會跳出一個小窗口,在搜索框中輸入“eventvwr.msc”,之后就會出現windows日志、應用程序和服務日志等,可以根據他們去查看記錄。
還可以在窗口中輸入“recent”,就可以查看最近打開的文件記錄,非常的方便!
想知道有沒有人動過你的電腦?查一下開機狀況就知道。在電腦中點擊“計算機”,在C盤里有一個Windows的文件夾,點進去在“Tasks”里找到帶有”SCHEDLGU.TXT“”字樣的文件,在這里面就可以看到你的開關機記錄了!
在辦公中離開座位,擔心有人會惡作劇?可以打開電腦中的“迅捷屏幕錄像工具”,你在電腦中的一舉一動都會被錄制下來,這樣就不用擔心找文件會出問題了!
用教程 |開機自啟 | WinSW
標簽:服務項自啟、shell命令啟動
在windwos系統中,有時候需要 nginx的開機自啟動,或者java的jar開機自啟動,或者內網穿透工具(frp)的開機自啟動,使用winsw將shell命令包成服務并設置開機自啟動。
Windows Service Wrapper是一個可執行二進制文件,可用于包裝和管理作為Windows服務的自定義進程,下載安裝包后,您可以將 WinSW.exe 重命名為任何名稱,例如 MyService.exe 。接下來您可以創建Myservice.xml文件進行服務配置。最后 MyService.exe install安裝到服務即可。
WinSW開源和下載地址(最新版WinSW v2.12.0)
我的電腦是win10的64位系統,因此下載對應的版本,WinSW需要win10系統.NET Framework支持的,在老系統中,可能需要弄兼容。
1.windows10系統配置nginx開機啟動
Nginx-WinSW-x64.xml和Nginx-WinSW-x64.exe名稱必須保持一致,使用的相對路徑
Nginx-WinSW-x64.xml文件內容
<service>
<!--安裝windows服務后的服務ID,必須是唯一的--><id>Nginx-Service</id>
<!--服務名稱,唯一的,一般和id一致即可--><name>Nginx-Service</name>
<!--該服務的描述--> <description>Nginx-Service-Test</description>
<!--啟動 執行的命令--><executable>nginx.exe</executable>
<!--停止--><stopexecutable>nginx.exe -s stop</stopexecutable>
<!--第一次啟動失敗120秒重啟--><onfailure action="restart" delay="120 sec"/>
<!--第二次啟動失敗300秒后重啟計算機--><onfailure action="reboot" delay="300 sec"/>
<!--開機啟動--><startmode>Automatic</startmode>
<!--日志配置--><logpath>nginx-WinSW-log</logpath>
<!--append:追加模式;reset:重設模式,每次服務啟動時,舊的日志文件都會被截斷;none:不生成任何日志文件 --><logmode>none</logmode>
</service>
nginx-winsw-install.bat
@echo offNginx-WinSW-x64.exe installexit
nginx-winsw-start.bat
@echo offNginx-WinSW-x64.exe startexit
nginx-winsw-stop.bat
@echo offNginx-WinSW-x64.exe stopexit
nginx-winsw-uninstall.bat
@echo offNginx-WinSW-x64.exe uninstallexit
首先運行nginx-winsw-install.bat 這樣便能達到開機啟動的作用,
如果馬上要啟動,那么在注冊運行之后運行nginx-winsw-start.bat
停止和注銷注冊也有,注銷之后開機啟動就不起作用了
2.window10配置java開機啟動(系統需要有java環境)
Boot-WinSW-x64.xml
<service>
<!-- 該服務的唯一標識 --><id>boot-black</id>
<!-- 該服務的名稱 --><name>boot-black-0.0.1</name>
<!-- 該服務的描述 --><description>boot-black-0.0.1-SNAPSHOT</description>
<!-- 要運行的程序路徑 --><executable>java</executable>
<!-- 攜帶的參數 --><arguments>-jar boot-black-0.0.1-SNAPSHOT.jar</arguments>
<!-- 第一次啟動失敗 60秒重啟 --><onfailure action="restart" delay="120 sec"/>
<!-- 第二次啟動失敗 120秒后重啟 --><onfailure action="restart" delay="240 sec"/>
<!-- 日志模式 --><logmode>append</logmode>
<!-- 指定日志文件目錄(相對于executable配置的路徑) --><logpath>boot-WinSW-log</logpath><!-- append:追加模式;reset:重設模式,每次服務啟動時,舊的日志文件都會被截斷;none:不生成任何日志文件 --><logmode>none</logmode>
</service>
boot-black-install.bat
@echo offBoot-WinSW-x64.exe installexit
boot-black-uninstall.bat
@echo offBoot-WinSW-x64.exe uninstallexit
可以參照對比寫出相應的bat操作文件
@echo offBoot-WinSW-x64.exe startexit@echo offBoot-WinSW-x64.exe stopexit
3.window10配置frp開機啟動
下載后將winsw.exe(WinSW-x64.exe 重命名后的名稱為winsw.exe)放在和frp同級目錄
新建xml文件命名為winsw.xml,進行配置,如下:
<service>
<id>frpc</id>
<name>frpc</name>
<description>frpc服務</description>
<executable>frpc</executable>
<arguments>-c frpc.ini</arguments>
<logmode>reset</logmode>
</service>
文件結構如下圖所示
運行命令:
# 安裝服務
winsw.exe install
# 卸載服務
winsw.exe uninstall
從而實現程序作為開機啟動項。
開系統的注冊表
鍵盤輸入win+r組合鍵出現運行窗口命令
輸入regedit
按回車鍵,進入注冊表編輯器
依次展開"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion",雙擊查看"InstallDate"鍵內容
雙擊InstallDate,修改基數為十進制,將數值"1576224219"保存到記事本中,方便我們后續使用
百度搜索"Unix時間戳轉換工具",進入站長工具
或者地址(如果被屏蔽就用百度的辦法)
將我們之前保存的數值輸入,得到計算后的時間
這樣我們就知道了我們系統的安裝時間
然后我們再選擇計算機,右鍵快捷菜單,選擇管理選項
依次選擇
"事件查看器",-> "Windows日志"->"系統"
雙擊"系統"選項,在右側出現的"操作欄中",選擇"篩選當前日志"
出現對話框
有一串數字(6005,6006,6008,6009)表示的含義如下
事件6005記錄事件日志啟動時間,也可以認為是系統的啟動時間。
事件6006記錄事件日志停止時間,也可以認為是系統關閉時間。
事件6008記錄異常關閉。
事件6009記錄在啟動過程中的操作系統版本和其他系統信息
在圖示位置輸入這串表示事件的ID
輸入內容后
點擊確定,在圖示的位置就可以看到事件信息
我們可以解讀這里面的信息,比如:
在事件查看器里ID號為6006的事件表示事件日志服務已停止,如果你沒有在當天的 事件查看器中發現這個ID號為6006的事件,那么就表示計算機沒有正常關機,可能是因為系統原因或者直接按下了計算機電源鍵,沒有執行正常的關機操作造成的。當你啟動系統的時候,事件查看器的事件日志服務就會啟動,這就是ID號為6005的事件正常重啟是6006,非正常重啟6008或者6009。
假如我們的電腦上有一個用戶賬戶user,兩個內置賬戶Administrator賬戶(Administrador)和Guest賬戶。如果劫持RID值為500的內置Administrator賬號,將RID值分配給Guest賬號,然后以Guest賬號和指定的密碼登陸設備,發現成功地以Guest登陸機器了,還可以執行以下命令:
(1)、用cmd.exe打開console,可以看到是以Administrator 賬號運行的。
(2)、研究人員是以Guest賬號登陸的,可以運行whoami和檢查默認路徑查看。
(3)、Guest賬號仍然是Guests localgroup(本地組)的成員,可以使攻擊靜默進行。
(4)、可以執行一些特權操作,比如向Windows受保護的文件夾system32中寫文件。
我們查看下我們電腦上的RID。
我們再次打開注冊表,依次展開
"HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator"
若無法展開SAM表則需要右鍵單擊,在快捷菜單中選擇"權限",賦予Administrator完全控制權限,重新打開注冊表
查看管理員用戶"Administrator"的RID(相對標識符)
Names子項中含有包括內置賬號在內的所有本地用戶賬號名。這些子項都保存為二進制值,定義了其類型屬性,賬號的RID是十六進制的
然后我們重新選擇"Users"表項中的"000001F4"鍵查看內容,"F"記錄用戶登錄信息,"V"記錄用戶權限信息
雙擊打開"F"值
"0008"一行為用戶最后登錄時間;
"0018"一行為用戶設置密碼時間;
"0020"一行為賬戶過期時間。
我們再打開注冊表,依次展開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows,查看ShutdownTime鍵
以上為正常的開關機時間,若系統斷電或死機,系統不一定會記錄時間更新信息。例如斷電或硬重啟時系統日志和注冊表中就不會記錄正常的關機時間