1.看计算机在哪天运行过~运行了多久!
C:WindowsSchedLgU.txt
2.看你最近运行过什么程序:
C:WindowsPrefetch
3.看你最近打开过什么文件(非程序)和文件夹!
C:Users用户名>start recent
4.看最近在网上做了什么
C:Documents and Settings用户名Local Settings
5.使用过的U盘
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR
6.开关机时间
系统日志筛选事件id:
6005 日志启动时
6006 日志停止时
6008 系统意外关闭时
12 系统启动时间
13 系统关闭时间