Quase tudo pode estar escondido, já que o thread do sistema é responsável por manter o cache do sistema de arquivos.
O verdadeiro culpado é algum processo de ler / gravar seu disco, mas o encadeamento do sistema está entrando e manipulando a E / S do disco em seu nome e passando os resultados para o aplicativo através do cache.
Além dos culpados que você mencionou (pré-busca, Windows Update, malware, indexação de pesquisa), outras fontes possíveis são verificações antivírus / antimalware, compartilhamentos de arquivos de rede, etc., até fontes mais "óbvias", como como um cliente bittorrent ou algo parecido.