Может быть лучше подходит для security.stackexchange.com, но ...
Очевидное первое, что нужно проверить - это создатель / владелец файла. Предполагая, что вы не делаете ничего сумасшедшего, например, делитесь друг с другом учетными данными, а вместо этого у вас есть Active Directory или подобная система, где у каждого пользователя есть собственная учетная запись, это может сказать вам, кто создал файлы. Это можно увидеть в диалоговом окне «Свойства» (вкладка «Безопасность», нажмите «Дополнительно» и найдите владельца в верхней части окна). К сожалению, владелец файла может быть изменен любым пользователем с достаточными правами, поэтому ваш шутник может скрывать свои следы / устанавливать ложный флаг таким образом.
Если файлы идут в определенный каталог (или в отдельный путь к файлу), вы можете включить аудит для этого каталога / файла и посмотреть, когда и кем он будет записан. Свойства -> Безопасность -> Дополнительно -> Аудит, создайте новое правило для всех пользователей (или по одному для каждого подозреваемого) и убедитесь, что вы проверяете операции создания файла / записи и добавления / создания каталога. Эти операции появятся в журнале событий безопасности.
Вы также можете проверить журналы для входа / сетевых событий, но они могут не регистрироваться или могут быть потеряны в шуме.
Если вы уловили текущее действие, используйте команду net session из консоли администратора (CMD или Powershell), чтобы узнать, кто в данный момент использует сетевой ресурс на вашем компьютере и с какого компьютера он приходит.
