Policja znalazła i zwróciła mojego skradzionego laptopa sformatowanego przez złodzieja. Czy dzienniki instalacji mogą pomóc zlokalizować złodzieja?

Trzy tygodnie temu mój laptop został skradziony z kampusu. Natychmiast zgłosiłem to policji i na stronie producenta. Kilka dni temu pewien człowiek zadzwonił do producenta i powiedział, że kupił używany laptop w Internecie i chciał sprawdzić gwarancję poprzez numer seryjny. Producent widział, że został skradziony, a policja skontaktowała się z biednym nabywcą, zabrała mu laptop i zwróciła mi.

Policja powiedziała mi, że spróbują zlokalizować złodzieja na podstawie opisu kupującego; jednak właśnie zwrócili mi laptopa, nawet go nie oglądając!

Włączyłem go, aby przed sprzedażą złodziej ponownie zainstalował system Windows (Windows 7 Professional).
Jestem przekonany, że w systemie muszą znajdować się wskazówki dotyczące tego, kto dokonał ponownej instalacji, na przykład adres IP, na którym odbyła się instalacja itp., Lub licencje na ponownie zainstalowane oprogramowanie, które mogą dać mi wskazówki co do tożsamości złodzieja.

Pytania:

1. Gdzie w dziennikach mogę znaleźć szczegółowe informacje na temat tego, gdzie komputer po raz pierwszy połączył się z Internetem po instalacji?
2. Gdzie znajdę informacje na temat kluczy produktu \ licencji zainstalowanych systemów Windows i pakietu Office?
3. Jakieś inne pomysły na to, jak mogę prześledzić SOB (który prawdopodobnie także ukradł inny komputer tydzień wcześniej)?

Kiedy Windows otrzymuje adres IP przez DHCP, o ile wiem, nie jest on nigdzie rejestrowany. Ma dość małą szansę, aby ci pomóc, ponieważ większość połączeń stacjonarnych jest za NAT, w takim przypadku wszystko, co znajdziesz, to prywatny adres IP.

Jeśli złodziej dołączył do sieci bezprzewodowej, być może nadal znajduje się w centrum sieci i udostępniania.

Proces instalacji systemu Windows nie przechodzi w tryb online, z wyjątkiem przypadków zastosowania aktualizacji systemu Windows. Funkcja „Rozpoznawanie lokalizacji sieci” w systemie Windows powoduje, że system tworzy zapytanie DNS i połączenie HTTP z msftncsi.com za każdym razem, gdy adapter jest podnoszony lub wyłączany, ale wyniki tego nie są rejestrowane.

Jeśli laptop ma wszystkie aktualizacje systemu Windows lub kiedykolwiek był podłączony do Internetu, to prawdopodobnie Microsoft gdzieś zarejestrował adres IP, ale jest mało prawdopodobne, aby przekazał te informacje bez przymusu ze strony organów ścigania.

Na wszelki wypadek możesz zajrzeć do podglądu zdarzeń systemu, ale nie sądzę, żebyś coś znalazł

Przykro nam, że Twój laptop został skradziony

1. Nie jestem pewien, czy ten dziennik istnieje
2. Pobierz przeszukiwacz licencji, aby znaleźć klucz licencyjny Windows (który prawdopodobnie jest podrobiony) http://www.klinzmann.name/files/licensecrawler.zip
3. Szansa na uzyskanie tego SOB jest, jeśli masz adres IP w pytaniu 1 lub odcisk palca na swoim laptopie (mam nadzieję, że on / ona nie nosiła rękawicy)

Możesz poszukać wskazówek na temat korzystania z komputera, które mogą dać ci wskazówkę, kto z niego korzystał. Ale jeśli wszystko, co zrobili, to ponowna instalacja / sformatowanie, prawdopodobnie nie będzie wielu wskazówek do zrobienia. Wskazówki obejmowałyby historię Internetu, wszelkie nazwy wprowadzane do pakietów oprogramowania podczas instalacji (takie jak nazwa i inicjały potrzebne przy pierwszym uruchomieniu produktów Microsoft Office).