윈도우 파일 삭제 이력 확인 방법 (프로세스 모니터)

직접 삭제한 것은 아닌데, 주기적으로 특정 파일이 삭제된다고 의심될 때 삭제 이력을 확인하는 방법을 알아보겠습니다. 사후적으로 특정 파일이 삭제되는 원인을 알 수 없지만, 미리 준비해 놓으면 원인을 파악할 수 있습니다. 툴은 프로세스 모니터(procmon.exe)를 사용합니다.

프로세스 모니터로 파일 삭제 로그 남기기

1. Process Monitor 다운로드

아래의 마이크로소프트 웹사이트 링크에서 Process Monitor를 다운받습니다. 파일의 크기가 3MB 정도로 작고, 설치 없이도 실행할 수 있는 파일입니다.

 

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Process Monitor - Sysinternals

 

2. Procmon 실행

다운받은 Procmon.exe를 실행합니다.

 

3. 필터 적용

CTRL + L을 눌러서 필터(Filter)를 켭니다. 그리고 아래의 조건 3개를 설정합니다. 각 추가 시에는 Add를 클릭해서 추가해 주시고, 모두 추가되면 Apply > OK를 클릭해 주세요.

• Operation: SetDispositionInformationFile
• Path: 삭제되는 파일의 경로 (예: C:\example\file.txt)
• Detail: Delete: True

 

 

4. 삭제 확인

이제 해당 파일이 삭제되면 프로세스 모니터 로그에 기록됩니다. 그동안 프로세스 모니터는 켜놓고 있어야 합니다.

 

예를 들어, 직접 해당 경로에서 파일을 삭제하면 아래와 같이 Explorer.EXE 프로세스에서 해당 파일을 삭제했다는 기록이 남습니다.

 

프로세스 모니터에 삭제 기록이 남은 모습.

 

해당 로그를 더블클릭 하면 좀 더 자세한 정보를 확인할 수 있습니다. 특히 Stack 탭에는 스택 프레임 번호(함수 호출 순서), 이벤트와 관련된 코드를 포함하는 모듈명, 해당 모듈의 경로 등의 정보 출력합니다.