今週末（4/17）になりますが、久しぶりに FNG を開催したいと思います。参加希望の方は以下を参照ください、オンラインでの参加をご希望の場合にはその旨メールに記入くださいませ。

http://www.port139.co.jp/FNG/FNG12.pdf

今回は NTFS のオブジェクトIDについて基本的な仕組みから調べて見る予定です。後半は主に LNK ファイル内におけるオブジェクトIDからの追跡とかになるかもしれません。
関連資料はこの辺り？

The Meaning of Linkfiles In Forensic Examinations
http://computerforensics.parsonage.co.uk/downloads/TheMeaningofLIFE.pdf

A Universally Unique IDentifier (UUID) URN Namespace
http://www.ietf.org/rfc/rfc4122.txt

[MS-SHLLINK]: Shell Link (.LNK) Binary File Format
http://msdn.microsoft.com/en-us/library/dd871305(PROT.10).aspx

[MS-DLTW]: Distributed Link Tracking: Workstation Protocol Specification
http://msdn.microsoft.com/en-us/library/cc227474(PROT.10).aspx

[MS-DLTM]: Distributed Link Tracking: Central Manager Protocol Specification
http://msdn.microsoft.com/en-us/library/cc227384(v=PROT.10)

LinkAlyzer
http://www.sandersonforensics.com/content.asp?page=535

■CrossVolumeMoveFlag
3.1.6 Other Local Events
http://msdn.microsoft.com/en-us/library/cc227498(PROT.10).aspx

4.2 FSCTLs
http://msdn.microsoft.com/en-us/library/cc227512(PROT.13).aspx