Onde estão as listas de todos os arquivos abertos recentemente por um processo?

Você está falando de várias listas completamente separadas.

abertos atualmente podem ser listados por ProcExp , manipular , OpenedFilesView e várias outras ferramentas que mostram identificadores abertos mantidos pelos processos.

Recentemente modificados podem ser encontrados no log Segurança do Visualizador de Eventos ( eventvwr.msc ). No entanto, você só verá esses arquivos que ativam manualmente auditoria neles (em Propriedades → Segurança → Avançado ), já que ele está desativado por padrão.

No NTFS, os programas do sistema podem acessar o diário de alterações (também conhecido como diário USN; consulte MSDN ), que registra todas as alterações de volume incluindo modificações de arquivos. A única ferramenta de espaço do usuário que eu conheço que pode exibir as entradas é fsutil .

Não há uma maneira integrada de ver identificadores abertos, mas você pode ver uma lista de arquivos e pastas em uso e qual processo os abriu com Unlocker (assim como fechar, copiar, apagar, etc.).

Você pode ver uma lista de acesso a arquivos e pastas com a Auditoria de segurança do Windows ^{[XP] [7]} , que é incluído no Windows 2000 e superior.