如何确定未知文件删除的原因

如何确定未知文件删除的原因

好吧,今天早上我遇到了一件非常奇怪的事情。我正在使用我的电脑,我的很多应用程序不知为何开始挂起。原来我的很多文件(约 7GB)突然消失了。这包括我的桌面、C: 中的文件,以及程序文件、文档等中的一些文件,文件删除的位置没有任何可识别的规律。我能想到的四种可能发生这种情况的途径是:

  1. 我正在运行的一个应用程序执行了文件删除命令
  2. SSD 出现问题并且它在执行文件 IO 时以某种方式开始覆盖我现有的文件。
  3. 恶意软件或病毒
  4. 有人以某种方式通过后门远程访问了我的计算机并执行了删除

我有备份,所以没有造成任何实际损害,但我仍然想确定此行为的确切原因。到目前为止,我尝试了以下方法:

  1. 检查了 eventvwr 中的系统/windows 日志,看看是否有任何明显的错误/警告,尤其是磁盘驱动器。我找不到任何错误/警告。
  2. 运行 CrystalDiskInfo 查看 SSD 是否存在任何错误。没有发现任何错误。
  3. 使用 MalwareBytes 执行威胁扫描。未发现威胁。
  4. 已验证 Windows 防火墙已启动并正在运行。
  5. 运行 chkdsk。同样,未发现任何错误。

我开始认为我正在运行的某个应用程序实际上在我不知情的情况下在 C:\ 上执行了删除命令(当时我有一些应用程序正在执行 IO)。

我可以采取什么步骤来找出文件被删除的确切原因?具体来说,是否有任何日志跟踪哪个应用程序发出了删除命令?

相关内容