我可以想到几种方法。

首先，您可以使用Cuckoo Sandbox。它是一个自动化的恶意软件分析系统。它是开源的，其模块是用Python编写的。引用网站：

恶意软件！拆开它，发现它的来龙去脉并收集可操作的威胁数据。Cuckoo 是领先的开源自动化恶意软件分析系统。

很令人兴奋，不是吗？我相信，它会默认捕获丢失的文件。将恶意软件样本提交到Cuckoo Sandbox并完成分析后，用户将获得分析报告。分析报告的某些子目录将包含Cuckoo能够转储的文件。如需更多信息，请查看Cuckoo 的分析结果页面。

此外，您可以创建自己的自定义模块来处理丢弃的文件。什么是处理模块？每个Cuckoo Doc 网站：

Cuckoo 的处理模块是 Python 脚本，可让您定义自定义方法来分析沙箱生成的原始结果，并将一些信息附加到全局容器中，供签名和报告模块稍后使用。您可以根据需要创建任意数量的模块，只要它们遵循预定义的结构...

我很确定还有其他自动沙箱。但是，您必须记住，并不能 100% 保证沙箱会按照它在现实环境中执行的方式来处理您的恶意软件。

第二种方法。您真的需要知道如何删除已删除的文件才能使此方法起作用。我已经在上面的评论中提到了。您还可以修补您的可执行文件。假设使用了DeleteFile()。如果修补恶意软件不是一种选择，您可以在系统范围内挂钩DeleteFile()函数。它是用于删除文件的标准 Windows API。该函数由Kernel32.dll导出. 有很多关于系统范围或全局钩子以及实现它的方法的文章。我不会在这里详细介绍它。但是，有一件事值得一提，您必须确保通过返回适当的值来“欺骗”恶意软件进入“思考”文件确实被删除。这就是为什么直接使用 ACL 可能会出现问题的原因。如果恶意软件检查DeleteFile()的返回值（或用于删除删除文件的任何内容），并获得ERROR_ACCESS_DENIED怎么办？它很可能将其从常规的“期望”执行路径转移。

此外，还有调试器，您可以帮助您使这个过程相当半自动化。：提一些免疫调试器的抗干扰性公司。它采用非常受支持的 Python API 进行自动化和脚本编写。还有其他选择。

最后我想说的是，你是完全正确的。您可能需要考虑创建一个自己的小工具。没有“一刀切”的解决方案。一些自动化解决方案可能比其他解决方案更有效。有时，您将不得不深入了解。请记住，“弄脏”您的手可以让您对“幕布”后面发生的事情有深刻而深入的了解。我个人喜欢这样的参与，并发现这是一次非常棒的学习体验。