身に覚えのない時間のログイン履歴

「特殊なログオン」と記録されていても、あなたの知らぬ間に誰か（何か）がログオンしたのではありません。 ”2016/02/26 21:48:12”・”2016/02/26 21:48:12”と同じ時刻に、システムのイベントにも何らかの記録があると思います。 ・Volume Shadow Copy サービスは 実行中 状態に移行しました。 ・Windows Modules Installer サービスは 実行中 状態に移行しました。 などのようなものです。 セキュリティログを見ると、かなりの割合が「特殊なログオン（ID：4672）」「ログオン（ID：4624）」で占められています。あるサービスを開始する際、起動されたプロセスが動作する際、内部的にはUACなどの処理も含めてログオンという手続きを経て行われると考えるのが自然ですし、処理を実装する側から考えればOSの内部構造にも無理な歪みを与えずに済みます。この「ログオン」のイベントにはプロセス名として実行ファイル名が記録されています。 ということからすると、PCを起動する際にユーザがインタラクティブにログオンするのとは別に、内部処理上バックグラウンドで動作する処理のうち、セキュリティに関与する処理には必ずこの手続きが行われているのだと考えられます。（そうしないと「何でもできる特権」が必要なWindows Updateなどは動作不可能になります） その「身に覚えのない時間」の程度ですが、PCの電源も入れていないような時間帯ではないはず。そのイベントの発生時に何が動作していたか、システムイベントなどと照らし合わせて考えれば、ある程度の推論はできるのではないでしょうか？