La policía encontró y devolvió mi computadora portátil robada reformateada por un ladrón. ¿Pueden los registros de instalación ayudar a localizar al ladrón?

Hace tres semanas me robaron mi computadora portátil del campus. Inmediatamente lo informé a la policía y al sitio web del fabricante. Hace un par de días, un hombre llamó al fabricante y dijo que compró una computadora portátil de segunda mano en la web y que quería verificar la garantía a través del número de serie. El fabricante vio que fue robado, y la policía contactó al pobre comprador y le quitó la computadora portátil y me la devolvió.

La policía me dijo que tratarían de localizar al ladrón según la descripción del comprador; sin embargo, ¡me devolvieron el portátil sin siquiera mirarlo!

Lo encendí para ver al ladrón reinstalar Windows (Windows 7 Professional) antes de venderlo.
Estoy seguro de que debe haber pistas en el sistema sobre quién reinstaló, como quizás una dirección IP donde se realizó la instalación, etc., o quizás licencias de software reinstalado que podrían darme pistas sobre la identidad del ladrón.

Preguntas:

1. ¿En qué parte de los registros puedo encontrar detalles sobre dónde se conectó la computadora por primera vez a la web después de la instalación?
2. ¿Dónde encuentro información sobre las claves de producto / licencias de las ventanas y la oficina instaladas?
3. ¿Alguna otra idea sobre cómo podría rastrear el SOB (que también probablemente robó otra computadora una semana antes)?

Cuando Windows recibe una IP a través de DHCP, que yo sepa, no se graba en ningún lado. Tiene una probabilidad algo baja de ayudarlo, ya que la mayoría de las conexiones residenciales están detrás de NAT, en tal caso, todo lo que encontrará es una dirección IP privada.

Si el ladrón se unió a una red inalámbrica, tal vez todavía esté en el Centro de redes y recursos compartidos.

El proceso de instalación de Windows no se conecta, excepto cuando se aplican actualizaciones de Windows. La función "Conocimiento de ubicación de red" de Windows hace que el sistema realice una consulta DNS y una conexión HTTP a msftncsi.com cada vez que se activa o desactiva el adaptador, pero los resultados no se registran.

Si la computadora portátil tiene todas las actualizaciones de Windows, o si alguna vez se conectó a Internet, es probable que Microsoft tenga la dirección IP registrada en algún lugar, pero es poco probable que solo le entregue la información sin que las autoridades policiales lo obliguen.

Puede mirar en el visor de eventos del sistema por si acaso, pero no creo que encuentre nada

Lamento escuchar que su computadora portátil fue robada

1. No estoy seguro si ese registro existe
2. Descargue License Crawler para descubrir la clave de licencia de Windows (que probablemente sea falsa) http://www.klinzmann.name/files/licensecrawler.zip
3. La posibilidad de obtener ese SOB es si tiene una dirección IP en la pregunta 1 o huella digital en su computadora portátil (con suerte, él / ella no usó un guante)

Podrías buscar pistas sobre cómo se usó la computadora para saber quién la usó. Pero si todo lo que hicieron fue reinstalar / reformatear, es probable que haya pocas pistas para salir. Las pistas incluirían el historial de Internet, cualquier nombre ingresado en los paquetes de software después de la instalación (como el nombre y las iniciales necesarias cuando se ejecutan productos de Microsoft Office por primera vez).