Проблема: необходимо установить факт использования режима инкогнито (приватного режима) в браузере на целевой системе.

Причины: режим инкогнито не сохраняет историю, куки, кэш и локальное хранилище браузера, но оставляет артефакты на уровне ОС, процессов, DNS-кэша, своп-файла и временных файлов.

Решение: применимы только легальные методы (анализ собственной системы или с согласия владельца). Инструкции для Windows (актуально для Chrome/Edge/Firefox).

1. Проверка DNS-кэша – если посещался сайт в инкогнито, DNS-запись могла сохраниться (если не очищена).
Команда (cmd от администратора):
`ipconfig /displaydns`
Искать домены, которые не фигурируют в обычной истории браузера.

2. Анализ артефактов браузерного процесса – при запуске инкогнито в командной строке процесса присутствует флаг `--incognito` (Chrome) или `-private` (Firefox).
Проверка через WMIC:
`wmic process where name="chrome.exe" get commandline`
Если в выводе есть `--incognito` – сессия была активна. Без активного процесса не работает.

3. Анализ файла подкачки (pagefile.sys) – данные из оперативной памяти, в том числе содержимое вкладок инкогнито, могут попасть в pagefile.
Инструмент: FTK Imager или Strings из Sysinternals.
Пример: `strings pagefile.sys | findstr /i "incognito"` (требуется права администратора).

4. Поиск временных файлов – Firefox создаёт уникальные папки в `%TEMP%` (например, `scoped_dir`), Chrome – каталог `Incognito` внутри `User Data\Default\`.
Команда PowerShell:
`Get-ChildItem -Path "$env:LOCALAPPDATA\Google\Chrome\User Data\Default" -Recurse -Filter "incognito"`

5. Анализ Event Log (событие 4688)** – если включён аудит создания процессов, можно найти запуск браузера с флагом инкогнито.
Просмотр через Event Viewer: Windows Logs → Security, фильтр по Event ID 4688, искать строку `--incognito` в CommandLine.

Ограничение: ни один метод не даёт 100% гарантии – режим инкогнито спроектирован для минимизации следов. Наибольшая вероятность обнаружения – при анализе активного процесса или дампа памяти.