La polizia ha trovato e restituito il mio laptop rubato riformattato dal ladro. I registri di installazione possono aiutare a individuare il ladro?

Tre settimane fa il mio laptop è stato rubato dal campus. L'ho immediatamente denunciato alla polizia e sul sito Web del produttore. Un paio di giorni fa un uomo ha chiamato il produttore e ha detto che ha acquistato un laptop di seconda mano sul web e ha voluto verificare la garanzia tramite il numero di serie. Il produttore ha visto che è stato rubato e la polizia ha contattato il povero acquirente, gli ha preso il laptop e me lo ha restituito.

La polizia mi ha detto che avrebbero cercato di individuare il ladro dalla descrizione dell'acquirente; tuttavia, mi hanno appena restituito il laptop senza nemmeno guardarlo!

L'ho acceso per vedere il ladro reinstallato Windows (Windows 7 Professional) prima di venderlo.
Sono convinto che nel sistema debbano esserci indizi su chi ha reinstallato, come forse un indirizzo IP in cui è avvenuta l'installazione, ecc., O forse licenze di software reinstallato che potrebbero darmi indizi sull'identità del ladro.

Domande:

1. Dove nei registri posso trovare i dettagli su dove il computer si è connesso per la prima volta al web dopo l'installazione?
2. Dove posso trovare informazioni sulle chiavi di prodotto \ le licenze delle finestre e dell'ufficio installate?
3. Altre idee su come posso rintracciare lo SOB (che probabilmente ha anche rubato un altro computer una settimana prima)?

Quando Windows riceve un IP tramite DHCP, per quanto ne so, non viene registrato da nessuna parte. Ha una probabilità un po 'bassa di aiutarti in quanto la maggior parte delle connessioni residue sono dietro NAT, in tal caso tutto ciò che potresti trovare è un indirizzo IP privato.

Se il ladro si è unito a una rete wireless, forse è ancora nel centro Rete e condivisione.

Il processo di installazione di Windows non è online tranne quando si applicano gli aggiornamenti di Windows. La funzione "Conoscenza della posizione di rete" di Windows fa sì che il sistema esegua una query DNS e una connessione HTTP a msftncsi.com ogni volta che la scheda viene attivata o disattivata, ma i risultati non vengono registrati.

Se il laptop ha tutti gli aggiornamenti di Windows o è mai stato connesso a Internet, è probabile che Microsoft abbia l'indirizzo IP registrato da qualche parte, ma è improbabile che ti consegni le informazioni senza essere costretto da un'autorità di contrasto.

Potresti guardare nel Visualizzatore eventi del sistema per ogni evenienza, ma non credo che troverai nulla

Mi dispiace sapere che il tuo laptop è stato rubato

1. Non sono sicuro che esista quel registro
2. Scarica License Crawler per scoprire la chiave di licenza di Windows (che è probabilmente contraffatta) http://www.klinzmann.name/files/licensecrawler.zip
3. La possibilità di ottenere quel SOB è se hai l'indirizzo IP nella domanda 1 o l'impronta digitale sul tuo laptop (speriamo che non abbia indossato un guanto)

Potresti cercare indizi su come è stato usato il computer che potrebbe farti capire chi lo ha usato. Ma se tutto ciò che facessero fosse reinstallare / riformattare, probabilmente ci saranno pochi indizi da cui partire. Gli indizi includono la cronologia di Internet, tutti i nomi inseriti nei pacchetti software al momento dell'installazione (come il nome e le iniziali necessari quando si eseguono i prodotti Microsoft Office per la prima volta).