一、通过系统日志查询

事件查看器 - 系统日志

- 按 `Win + R` 打开运行窗口，输入 `eventvwr.msc` 并回车。

- 在事件查看器中，展开 Windows 日志-> 系统，查看最近的开机/关机记录（事件ID 6005/6006）。

- 通过对比当前时间与最早/最晚记录的时间差，可估算电脑被使用的时长。

系统运行命令

- 按 `Win + R` 输入 `recent` 回车，查看最近打开的文件记录，包括文件名、修改时间等。

- 输入 `temp` 回车，检查临时文件夹（如 `C:\Windows\Temp`）的文件修改时间，判断系统是否在非正常时段被访问。

二、通过任务计划查看

任务计划程序

- 按 `Win + R` 输入 `taskschd.msc` 回车，打开任务计划程序。

- 查看 启动和 停止任务，确认是否有异常程序在非正常时段运行。

三、其他辅助方法

硬盘使用情况

- 使用第三方工具（如鲁大师）查看硬盘的加电次数和累计时间，辅助判断电脑是否在非正常时段开机。

安全中心日志

- 在事件查看器的 应用程序日志中，查找与Windows安全中心相关的事件，分析异常登录或程序运行记录。

四、注意事项

日志篡改风险：

若怀疑日志被删除，可结合文件系统时间戳、临时文件变化及第三方工具综合判断。

权限问题：部分功能（如任务计划修改）需管理员权限。

通过以上方法，可较为准确地判断电脑被盗用的时长及可能的使用情况。若发现异常，建议及时检查账户安全并恢复数据。