Полиция нашла и вернула мой украденный ноутбук, переформатированный вором. Могут ли журналы установки помочь найти вора?

Три недели назад мой ноутбук был украден из кампуса. Я немедленно сообщил об этом в полицию и на сайте производителя. Пару дней назад один человек позвонил производителю и сказал, что купил в Интернете подержанный ноутбук и хотел проверить гарантию по серийному номеру. Производитель увидел, что он был украден, и полиция связалась с бедным покупателем, забрала у него ноутбук и вернула его мне.

Полиция сказала мне, что они попытаются найти вора по описанию покупателя; однако они просто вернули мне ноутбук, даже не осмотрев его!

Я включил его, чтобы увидеть, как вор переустановил Windows (Windows 7 Professional) перед продажей.
Я уверен, что в системе должны быть подсказки о том, кто переустанавливал, например, IP-адрес, на котором производилась установка и т. Д. », Или, возможно, лицензии на переустановленное программное обеспечение, которые могли бы дать мне подсказки относительно личности вора.

Вопросов:

1. Где в журналах можно найти сведения о том, где компьютер впервые подключился к сети после установки?
2. Где я могу найти информацию о ключах продукта \ лицензиях установленных окон и офиса?
3. Любые другие идеи относительно того, как я мог отследить SOB (кто также, вероятно, украл другой компьютер неделю назад)?

Когда Windows получает IP через DHCP, насколько я знаю, он нигде не записывается. У него довольно низкий шанс помочь вам, так как большинство резидентных соединений находятся за NAT, в таком случае все, что вы найдете, это частный IP-адрес.

Если вор присоединился к беспроводной сети, возможно, он все еще находится в центре управления сетями и общим доступом.

Процесс установки Windows не включается, кроме случаев применения обновлений Windows. Функция «Сведения о сетевом расположении» в Windows заставляет систему выполнять DNS-запрос и HTTP-соединение с msftncsi.com каждый раз, когда адаптер активируется или отключается, но результаты этого не записываются.

Если на ноутбуке установлены все обновления Windows или когда-либо был подключен к Интернету, то, вероятно, Microsoft где-то зарегистрировал IP-адрес, но вряд ли они просто передадут вам информацию без принуждения со стороны правоохранительных органов.

Вы можете заглянуть в систему просмотра событий системы на всякий случай, но я не думаю, что вы найдете что-нибудь

Жаль слышать, что ваш ноутбук украли

1. Я не уверен, что этот журнал существует
2. Загрузите License Crawler, чтобы узнать лицензионный ключ Windows (который, вероятно, является поддельным) http://www.klinzmann.name/files/licensecrawler.zip
3. Шанс получить этот SOB есть, если у вас есть IP-адрес в вопросе 1 или отпечаток пальца на вашем ноутбуке (надеюсь, он / она не носил перчатку)

Вы можете найти подсказки о том, как использовался компьютер, которые могут подсказать вам, кто его использовал. Но если все, что они сделали, это переустановили / переформатировали, вероятно, будет мало подсказок. Подсказки включают историю Интернета, любые имена, введенные в пакеты программного обеспечения после установки (например, имя и инициалы, необходимые при первом запуске продуктов Microsoft Office).