ファイルを作成したものを見つける方法は？

ファイルのプロパティシートの[セキュリティ]プロパティページの[詳細]プロパティの下にある[所有者]タブを見てください。ただし、「管理者」が所有者として表示される可能性は高くなります（あまり役に立ちません）。

Windowsの監査機能はこの種のことを支援することができますが、実際には価値がないほど、一見役に立たないように見える大量のデータを生成します。

これらのファイルを作成しているものが悪意のないものであると少し考えてみましょう。

• 所有者を見て、どのユーザーがファイルを作成したかを確認できます
• 次に、Sysinternals Process Explorerなどを使用して、そのユーザーの下で実行されているプロセスを表示します（列を右クリックし、[プロセスイメージ]タブで[ユーザー名]を確認します）
• 次に、これらの各プロセスが持っているハンドルを確認します（「Goto View Menu」をチェックし、「Show Low Pane」を「Lower Pane View」を「Handles」に変更します）。そのうちの1つは、見ている奇妙なファイルへのハンドルを開いている可能性があります

ただし、これらのファイルを作成しているものが悪意のあるものである場合は、ユーザーを阻止する手順が実行されます。 （ファイルの非表示、プロセスの非表示、難読化など）

ここでいくつかのユーティリティを使用して、ルートキットをチェックできます： Windowsルートキット検出および削除ツールのリスト

しかし、サーバーが所有されている場合は、サーバーが所有されていること、およびサーバーがどのように取得されたかがわからない場合：サーバーの再構築とインシデント対応計画のアクティブ化を開始する時が来ました。

PAファイルサイト が役立ちます。 C：\でファイルの作成を監視するようにモニターを設定できます。アプリは、作成時間、使用されたプロセス（ローカルプロセスであると想定）、および使用されたアカウントを記録できます。そのデータをログファイル、データベースに記録したり、リアルタイムで警告したりできます。

これは商用製品ですが、完全に機能する30日間の試用版があり、効果的です。

完全な開示：私はPA File Sightを作成した会社で働いています。

FileMon for Windowsを利用して、ファイルの書き込みがコミットされた時間とプロセスを記録することもできます。それが完了したら、nestat -aoを使用してプロセスを追跡し、ファイルを書き込んだプロセスのPIDを探します。ここから、サーバーへの接続を確立しているIPアドレスを見つけて調査を続行するか、Windowsビルトインファイアウォールを使用している場合は接続を拒否します。

FileMon for Windowsへのリンク： http://technet.Microsoft.com/en-us/sysinternals/bb896642.aspx

もう少し詳細が役立ちます。 Windowsバージョン、ファイル名、テキストまたはバイナリ？名前を変更/削除できますか、それとも使用中にロックされますか？多くの場合、これはどのligitプログラムがファイルを追加したかを示します。 strings.exeを実行して、バイナリファイルの場合は手がかりを探すことができます。

NTFSドライブの場合は、[セキュリティ]タブの[詳細/所有者]で、作成者を確認できます。 sysinternals.comのProcess Explorerも手掛かりを提供します。