Jak sprawdzić aktywność na komputerze Windows, macOS, Linux – logi, Prefetch, Jump Lists, SRUM

Pytanie

Jak sprawdzić co było robione na komputerze

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Najszybciej: sprawdź Ostatnie pliki (shell:recent), historię przeglądarki (Ctrl+H), Podgląd zdarzeń (logowania, uruchomienia), Monitor niezawodności (instalacje/awarie) i artefakty systemowe (Prefetch, Jump Lists, LNK).
• Kluczowe punkty:
  • Windows: Event Viewer (ID 4624/4634/6005/6006/4688), Prefetch, SRUM, Amcache/ ShimCache, Jump Lists.
  • macOS: Console, unified logs (log show), /var/log/install.log, Screen Time, Historia Safari.
  • Linux: journalctl, last/lastb/lastlog, ~/.bash_history, /var/log/auth.log, recently-used.xbel.
  • Uważaj na prawo i prywatność – rób to tylko na własnym sprzęcie lub za wyraźną, świadomą zgodą właściciela.

Szczegółowa analiza problemu

• Model postępowania (Windows – najczęstszy przypadek):

  1. Oś czasu “kiedy” komputer działał
     • Podgląd zdarzeń → Dzienniki systemu Windows → System:
       • 6005 (start usługi dziennika – start systemu), 6006 (stop – zamknięcie).
       • 41/1074/6008 (nieoczekiwane restarty/zamknięcia).
     • Czas pracy: cmd → net statistics workstation (Statystyki od…).
     • Monitor niezawodności: perfmon /rel – chronologia instalacji, aktualizacji, awarii.
  2. “Kto” korzystał
     • Dziennik Zabezpieczenia:
       • 4624 (logowanie), 4634 (wylogowanie), 4800/4801 (blokada/odblokowanie stacji).
       • Zdalny dostęp: 4672 (uprzywilejowane logowanie), 5140/5145 (udostępnienia), 4776/4771 (uwierzytelnianie).
  3. “Co” było uruchamiane
     • 4688 (utworzono proces) – wymaga włączonego audytu “Process Creation”.
     • Sysmon (jeśli zainstalowany): Event ID 1 (process create), 3 (połączenia sieciowe) – bardzo szczegółowe.
     • Prefetch (C:\Windows\Prefetch*.pf): ślady uruchamianych EXE (ostatnie czasy).
     • Amcache.hve (C:\Windows\AppCompat\Programs\) i ShimCache (rejestr): lista/znaczniki pierwszego i ostatniego uruchomienia plików wykonywalnych.
     • SRUM (C:\Windows\System32\sru\SRUDB.dat): aktywność aplikacji i sieci per proces (Windows 8+).
  4. “Na czym” pracowano (pliki/aplikacje/przeglądarka)
     • Ostatnie elementy: Win+R → shell:recent (skróty LNK z datami).
     • Jump Lists: %AppData%\Microsoft\Windows\Recent\AutomaticDestinations oraz CustomDestinations – ostatnio otwierane pliki per aplikacja.
     • Eksplorator → Szybki dostęp/ostatnie pliki; Start → Rekomendowane.
     • Przeglądarki:
       • Chrome/Edge/Brave: Ctrl+H; plik bazy History (SQLite) w profilu użytkownika.
       • Firefox: Ctrl+H; places.sqlite.
  5. Nośniki zewnętrzne i kopiowanie danych
     • USB: rejestr HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR (identyfikatory, nazwy), narzędzie USBDeview – data ostatniego wpięcia/wyjęcia.
     • Dzienniki Defender/Windows Security → Historia ochrony (podejrzane działania).
  6. Sieć i zdalny dostęp
     • netstat -ano (połączenia), Podgląd zdarzeń → Microsoft-Windows-TerminalServices-* (RDP), dzienniki VPN.
     • Router/Access Point – logi DHCP, połączeń (jeśli masz dostęp).
  7. Ślady usuwania dowodów
     • Nietypowo “puste” logi, świeżo wyczyszczone Recent/Prefetch/Jump Lists, artefakty narzędzi czyszczących (CCleaner/BleachBit), nienaturalna zmiana czasu systemowego.

• Przykładowe polecenia (Windows, PowerShell):

  • Logowania z ostatnich 7 dni:
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=(Get-Date).AddDays(-7)} | Select TimeCreated, @{n='Konto';e={$.Properties[5].Value}}, @{n='Adres';e={$.Properties[18].Value}}
  • Uruchomione procesy (jeśli 4688 włączone):
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddDays(-3)} | Select TimeCreated, @{n='EXE';e={$.Properties[5].Value}}, @{n='Rodzic';e={$.Properties[1].Value}}
  • Ostatnio otwierane skróty:
    Get-ChildItem "$env:APPDATA\Microsoft\Windows\Recent" -File | Select Name, LastWriteTime | Sort LastWriteTime -desc

• macOS (zarys równoważny):

  • Unified logs: log show --last 1d (lub --predicate …) – aktywność procesów/usług.
  • Console.app: All Messages, Raporty systemowe, Crash Reports.
  • Logi instalacji: /var/log/install.log (pakiety, daty).
  • Historia logowań: last; użytkownicy/tryby uśpienia/budzenia w unified logs.
  • Historia Safari: Historia → Pokaż całą historię; plik History.db.
  • Screen Time (Czas przed ekranem): zestawienie użycia aplikacji/stron.
  • Chrome/Firefox – jak w Windows (bazy profili w ~/Library/Application Support/…).

• Linux:

  • journalctl (systemd): journalctl --since "2026-02-01" --until "2026-02-12"; specyficznie: journalctl -u ssh.service.
  • Logowania: last, lastb, lastlog; auth.log/secure (dystrybucja zależna).
  • Historia powłoki: ~/.bash_history, ~/.zsh_history (zależnie od ustawień czas może zapisać się przy wylogowaniu).
  • Ostatnio używane pliki: ~/.local/share/recently-used.xbel (środowiska GTK), mechanizmy Zeitgeist (jeśli aktywne).
  • USB i kernel: dmesg | grep -i usb; lsusb -t; udevadm monitor (on-line).

Aktualne informacje i trendy

• Windows 11: “Oś czasu” (Timeline) z Windows 10 została wycofana; w Ustawieniach → Prywatność i zabezpieczenia → Historia aktywności sterujesz zbieraniem danych, ale szczegółowego widoku “co robiłem” szukaj w Ostatnich plikach, Rekomendowanych, dziennikach zdarzeń i artefaktach (Prefetch/Jump Lists/SRUM). To koryguje część materiałów, które sugerują przegląd “historii aktywności” bezpośrednio w Ustawieniach.
• Forensyka systemowa w praktyce coraz częściej opiera się o:
  • szczegółowe EDR/ Sysmon (bogate dzienniki zdarzeń procesów/sieci),
  • korelację wielu artefaktów (SRUM + Jump Lists + Prefetch + Event Logs),
  • zestawy narzędzi DFIR (np. KAPE/Eric Zimmerman Tools, Autopsy) dla szybkiej ekstrakcji.

Wspierające wyjaśnienia i detale

• Dlaczego wiele źródeł naraz? Pojedynczy artefakt bywa mylący: np. wyczyszczona historia przeglądarki nie kasuje Jump Lists; Prefetch może wskazywać na uruchomienie EXE, nawet jeśli log 4688 nie był audytowany. Korelacja czasów (UTC vs lokalny, zmiany czasu, dryf zegara) jest krytyczna.
• Artefakty w pigułce (Windows):
  • Prefetch: “co uruchamiano” + ostatni czas.
  • SRUM: zużycie zasobów i sieci per aplikacja.
  • Jump Lists/LNK: “co otwierano” z jaką aplikacją.
  • Amcache/ ShimCache: instalacje/wykonywalne, pierwsze/ostatnie uruchomienie.
  • Thumbcache: miniatury oglądanych plików/grafik (pośredni dowód).
  • USN Journal (NTFS): zmiany plików (zaawansowane).
  • WER/Crash Dumps: awarie, kiedy i czego.

Aspekty etyczne i prawne

• Działaj wyłącznie na:
  • własnym komputerze,
  • komputerze służbowym w ramach obowiązków i zgodnie z polityką firmy,
  • cudzym urządzeniu wyłącznie za wyraźną i świadomą zgodą właściciela.
• Kontekst USA: nieautoryzowany dostęp może naruszać przepisy (np. Computer Fraud and Abuse Act, stanowe ustawy o prywatności/ podsłuchu). W środowisku pracy monitoring wymaga polityk/ powiadomień. W domu – szanuj prywatność dorosłych domowników.

Praktyczne wskazówki

• Szybka checklista (Windows):
  1. perfmon /rel – instalacje/awarie w czasie.
  2. Event Viewer: System (6005/6006), Security (4624/4634; 4688 jeśli jest), ewentualnie Microsoft-Windows-Security-Auditing.
  3. shell:recent i Jump Lists – ostatnie dokumenty.
  4. C:\Windows\Prefetch i SRUDB.dat (SRUM) – uruchamiane programy i aktywność sieci.
  5. Przeglądarki: Ctrl+H; przejrzyj także pobrania.
  6. USBDeview – historia nośników.
  7. Skan antymalware (Windows Security/Malwarebytes) i sprawdzenie Autostartu (Autoruns).
• Najlepsze praktyki “na przyszłość”:
  • Włącz audyt “Process Creation” i opcję “Include command line in process creation events”.
  • Zwiększ rozmiary dzienników (Security/System) i włącz rotację zamiast nadpisywania.
  • Rozważ Sysmon z ustandaryzowaną konfiguracją.
  • Regularnie eksportuj logi (np. tygodniowo do CSV).

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Ograniczenia:
  • Tryby prywatne w przeglądarce, narzędzia czyszczące i szyfrowanie mogą usuwać lub zacierać ślady.
  • Brak włączonego audytu procesu (4688) ogranicza szczegółowość.
  • Część artefaktów (SRUM, Prefetch) może być wyłączona politykami lub nieobecna po dużych aktualizacjach/ resetach.
• Alternatywy i obejścia:
  • Jeśli podejrzewasz incydent – najpierw wykonaj obraz dysku/kopię (forensic image), potem analizuj (minimalizujesz nadpisywanie danych).

Sugestie dalszych badań

• Zestawy DFIR: Autopsy, KAPE, Eric Zimmerman Tools (LECmd – Jump Lists, MFTECmd – MFT/USN, AmcacheParser).
• Rodzinę narzędzi Sysinternals (Process Monitor/Explorer, Autoruns).
• Praktyki audytu bezpieczeństwa Windows (polityki audytu, Sysmon, hardening).
• Metody korelacji linii czasu (timeline) z wielu artefaktów.

Krótkie podsumowanie

• Aby sprawdzić “co było robione na komputerze”, połącz kilka źródeł: dzienniki zdarzeń (kto/kiedy), artefakty uruchomień (Prefetch/Amcache/SRUM), listy ostatnich plików (Jump Lists/LNK), historię przeglądarek oraz ślady nośników USB. Kluczowa jest korelacja w czasie oraz działanie zgodne z prawem i dobrymi praktykami.
• Jeśli podasz system (Windows/macOS/Linux), przybliżoną datę zdarzenia i co chcesz potwierdzić (np. “czy kopiowano pliki na pendrive 2026-02-10”), przygotuję precyzyjną listę komend i filtrów oraz szablon raportu.