三周前,我的笔记本电脑在校园里被偷了。我立即向警方报案,并在制造商的网站上报案。几天前,一名男子打电话给制造商,说他在网上买了一台二手笔记本电脑,想通过序列号查看保修情况。制造商发现它被盗了,警察联系了这位可怜的买家,从他那里拿走了笔记本电脑并把它还给了我。
警察告诉我,他们会根据买家的描述尝试找到小偷;然而,他们甚至没有查看一下就把笔记本电脑还给了我!
我打开它,看到小偷在出售之前重新安装了 Windows(Windows 7 Professional)。
我确信系统中一定有线索表明谁重新安装了它,比如安装发生的 IP 地址等,或者重新安装的软件的许可证可以给我提供小偷身份的线索。
问题:
- 在日志中的哪里我可以找到有关安装后计算机首次连接到网络的详细信息?
- 在哪里可以找到有关已安装的 Windows 和 Office 的产品密钥\许可证的信息?
- 关于如何追踪这个混蛋(他可能在一周前还偷了另一台电脑),还有其他想法吗?
答案1
据我所知,当 Windows 通过 DHCP 接收 IP 时,它不会记录在任何地方。它对你有帮助的可能性很小,因为大多数住宅连接都在 NAT 后面,在这种情况下,你只能找到一个私有 IP 地址。
如果小偷加入了无线网络,它可能仍位于网络和共享中心。
除了应用 Windows 更新外,Windows 安装过程不会联机。Windows 的“网络位置感知”功能使系统每次启动或关闭适配器时都会向 msftncsi.com 发出 DNS 查询和 HTTP 连接,但不会记录此操作的结果。
如果笔记本电脑具有所有 Windows 更新,或者曾经连接到互联网,那么微软很可能在某处记录了 IP 地址,但他们不太可能在没有执法机构强制要求的情况下将信息交给您。
您可能为了以防万一而查看系统的事件查看器,但我认为您不会找到任何东西
答案2
很遗憾听到你的笔记本电脑被盗了
- 我不确定该日志是否存在
- 下载 License Crawler 查找 Windows 许可证密钥(可能是伪造的)http://www.klinzmann.name/files/licensecrawler.zip
- 如果你有问题 1 中的 IP 地址,或者你的笔记本电脑上有指纹(希望他/她没有戴手套),那么获得该 SOB 的机会就很大
答案3
你可以寻找有关电脑使用方式的线索,这些线索可能会让你知道谁使用了电脑。但如果他们所做的只是重新安装/重新格式化,那么可能就没有什么线索了。线索包括互联网历史记录、安装时输入到软件包中的任何名称(例如首次运行 Microsoft Office 产品时所需的名称和首字母)。