Я знаю что ты можешь использовать lsof (по крайней мере, в Linux), чтобы проверить, в каком процессе в данный момент открыт конкретный файл, но есть ли способ узнать, какой процесс изначально создал конкретный файл? Или даже какой процесс написал / изменил конкретный файл совсем недавно?
Auditd поможет в этом. Видеть http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/ для введения.