La police a retrouvé et renvoyé mon ordinateur portable volé, reformaté par un voleur. Les journaux d'installation peuvent-ils aider à localiser le voleur?

Il y a trois semaines, mon ordinateur portable a été volé du campus. Je l'ai immédiatement signalé à la police et au site Web du fabricant. Il y a quelques jours, un homme a appelé le fabricant pour lui dire qu'il avait acheté un ordinateur portable d'occasion sur Internet et qu'il souhaitait vérifier la garantie à l'aide du numéro de série. Le fabricant a vu qu'il avait été volé et la police a contacté le pauvre acheteur. Elle lui a pris l'ordinateur portable et me l'a rendu.

La police m'a dit qu'ils essaieraient de localiser le voleur d'après la description de l'acheteur. Cependant, ils m'ont juste rendu l'ordinateur portable sans même le regarder!

Je l'ai allumé pour voir le voleur réinstallé Windows (Windows 7 Professional) avant de le vendre.
Je suis convaincu qu'il doit y avoir des indices dans le système pour savoir qui a réinstallé, comme peut-être une adresse IP où l'installation a eu lieu, etc., ou peut-être des licences de logiciels réinstallés qui pourraient me donner des indices sur l'identité du voleur.

Des questions:

1. Où puis-je trouver dans les journaux des informations sur l'emplacement de la première connexion de l'ordinateur au Web après l'installation?
2. Où puis-je trouver des informations sur les clés de produit \ licences des fenêtres et du bureau installés?
3. Avez-vous d'autres idées sur la façon de retracer le SOB (qui a probablement aussi volé un autre ordinateur une semaine avant)?

Lorsque Windows reçoit une adresse IP via DHCP, autant que je sache, elle n'est enregistrée nulle part. Il a peu de chance de vous aider car la plupart des connexions résidentes sont derrière NAT, dans ce cas, vous ne trouverez qu'une adresse IP privée.

Si le voleur a rejoint un réseau sans fil, il est peut-être toujours dans le centre Réseau et partage.

Le processus d'installation de Windows ne se met pas en ligne, sauf lorsque vous appliquez des mises à jour Windows. La fonctionnalité "Network Location Awareness" de Windows force le système à établir une requête DNS et une connexion HTTP à msftncsi.com chaque fois que la carte est mise à niveau ou à un niveau supérieur, mais les résultats obtenus ne sont pas enregistrés.

Si l'ordinateur portable dispose de toutes les mises à jour Windows ou a déjà été connecté à Internet, l'adresse IP de Microsoft sera probablement enregistrée quelque part, mais il est peu probable qu'ils vous transmettent simplement les informations sans être obligés par une autorité répressive.

Vous pouvez regarder dans l'observateur d'événements du système au cas où, mais je ne pense pas que vous trouverez quoi que ce soit

Désolé d'entendre que votre ordinateur portable a été volé

1. Je ne suis pas sûr que ce journal existe
2. Téléchargez License Crawler pour connaître la clé de licence Windows (probablement une clé falsifiée) http://www.klinzmann.name/files/licensecrawler.zip
3. Si vous avez une adresse IP à la question 1 ou une empreinte digitale sur votre ordinateur portable (espérons-le, il / elle ne porte pas de gant).

Vous pouvez rechercher des indices sur la façon dont l'ordinateur a été utilisé pour vous en informer. Mais si tout ce qu'ils ont fait est de réinstaller / reformater, il y aura probablement peu d'indices à utiliser. Les indices incluent l'historique Internet, tous les noms entrés dans les packages logiciels lors de l'installation (tels que le nom et les initiales nécessaires lors de la première utilisation des produits Microsoft Office).