1

我有一些监控软件,用户试图通过以安全模式启动 Windows 来绕过这些软件。我无法阻止这种情况,因为我以编程方式对启动菜单所做的任何更改都可以手动撤消,但了解先前的启动是否处于安全模式会很有用,因为这是篡改的潜在证据。

我知道我可以使用 GetSystemMetrics() 找出当前启动状态是什么,但我想知道是否有任何上一次启动的记录。

4

1 回答 1

3

是的,您可以通过 eventvwr.exe 告诉您。在 Windows Logs\System 中,将有来自源“Kernel-General”的 ID 为 12 的事件

本次活动说明如下:

"The operating system started at system time <timestamp>"

在此事件的详细信息中,该事件被标记为“BootMode”。值 0 表示正常启动,值 1 表示安全模式。

于 2015-03-26T18:56:41.110 回答