Поліція знайшла та повернула мій викрадений ноутбук, переформатований злодієм. Чи можуть журнали встановлення допомогти знайти злодія?

Три тижні тому мій ноутбук викрали з кампусу. Я негайно повідомив про це в поліцію та на веб-сайті виробника. Пару днів тому чоловік зателефонував до виробника і сказав, що купив у Інтернеті б / у ноутбук і хотів перевірити гарантію через серійний номер. Виробник побачив, що його вкрали, і поліція зв’язалася з бідним покупцем, забрала у нього ноутбук і повернула його мені.

Поліція сказала мені, що вони спробують знайти злодія з опису покупця; однак вони просто повернули мені ноутбук, навіть не переглядаючи його!

Увімкнув його, щоб побачити, як злодій перевстановив Windows (Windows 7 Professional) перед його продажем.
Я впевнений, що в системі повинні бути підказки щодо того, хто перевстановився, як-от, можливо, IP-адреса, де відбулася установка тощо, або, можливо, ліцензії перевстановленого програмного забезпечення, що могло б дати мені підказки щодо особи злодія.

Запитання:

1. Де в журналах я можу знайти деталі щодо того, де комп'ютер вперше підключився до Інтернету після встановлення?
2. Де я можу знайти інформацію про ключі продукту \ ліцензії встановлених вікон та офісу?
3. Будь-які інші ідеї щодо того, як я міг простежити SOB (який, ймовірно, вкрав інший комп'ютер за тиждень до цього)?

Коли Windows отримує IP через DHCP, наскільки я знаю, він ніде не записується. У вас є дещо низький шанс допомогти вам, оскільки більшість резидентних з'єднань стоять позаду NAT, у такому випадку ви лише знайдете приватну IP-адресу.

Якщо злодій приєднався до бездротової мережі, можливо, він все ще знаходиться в центрі мережі та спільного доступу.

Процес встановлення Windows не працює в Інтернеті, за винятком випадків, коли застосовуються оновлення Windows. Функція "Поінформованість про мережу про місцезнаходження" в Windows призводить до того, що система здійснює запит DNS і HTTP-з'єднання до msftncsi.com щоразу, коли адаптер піднімається або знижується, але результати цього не записуються.

Якщо ноутбук має всі оновлення Windows або коли-небудь був підключений до Інтернету, то Microsoft, ймовірно, десь зафіксувала IP-адресу, але вони навряд чи просто передадуть інформацію вам, не примушуючи правоохоронних органів.

Ви можете заглянути в переглядач подій системи на всякий випадок, але я не думаю, що ви нічого не знайдете

Вибачте, що ваш ноутбук викрали

1. Я не впевнений, чи існує такий журнал
2. Завантажте сканер ліцензій, щоб дізнатися ліцензійний ключ Windows (який, мабуть, підроблений) http://www.klinzmann.name/files/licensecrawler.zip
3. Шанс отримати цю SOB є, якщо у вас є IP-адреса в питанні 1, або відбиток пальця на вашому ноутбуці (сподіваємось, він / вона не одягла рукавичку)

Ви можете шукати підказки щодо використання комп'ютера, який може підказати вам, хто ним користується. Але якщо все, що вони зробили, буде перевстановити / переформатувати, то, ймовірно, знайдеться кілька підказків. Ключі включають історію Інтернету, будь-які імена, що вводяться в програмні пакети після встановлення (наприклад, ім'я та ініціали, необхідні при першому запуску продуктів Microsoft Office).