web-dev-qa-db-ja.com

警察は、盗まれたノートパソコンを泥棒がフォーマットして見つけて返却しました。インストールログは泥棒を見つけるのに役立ちますか?

3週間前、私のラップトップがキャンパスから盗まれました。私はすぐに警察とメーカーのウェブサイトにそれを報告しました。数日前、ある男性がメーカーに電話し、ウェブで中古のラップトップを購入し、シリアル番号で保証を確認したいと言いました。製造業者はそれが盗まれたのを見て、警察は貧しい買い手に連絡し、彼からラップトップを取り出して私に返しました。

警察は、購入者の説明から泥棒を見つけようとすると言った。しかし、彼らはそれを見ることさえせずにラップトップを私に返しました!

販売する前に、泥棒がWindows(Windows 7 Professional)を再インストールしたことを確認するためにオンにしました。
システムには、誰が再インストールしたかについての手がかりが必要だと確信しています。たとえば、インストールが行われたIPアドレスなど、または再インストールされたソフトウェアのライセンスによって、泥棒の身元についての手がかりが得られる可能性があります。 。

質問:

  1. インストール後にコンピューターが最初にWebに接続した場所の詳細は、ログのどこにありますか?
  2. インストールされているWindowsおよびOfficeのプロダクトキー/ライセンスに関する情報はどこにありますか?
  3. SOB(おそらく1週間前に別のコンピューターを盗んだ人)を追跡する方法に関する他のアイデアはありますか?
windows-7loggingwindows-installationforensics
8
Eli

WindowsがDHCP経由でIPを受信すると、私が知る限り、それはどこにも記録されません。ほとんどの常駐接続はNATの背後にあるため、役立つ可能性はやや低くなります。そのような場合、プライベートIPアドレスしか見つかりません。

泥棒がワイヤレスネットワークに参加した場合、おそらくそれはまだネットワークと共有センターにあります。

Windows Updateを適用する場合を除いて、Windowsのインストールプロセスはオンラインになりません。 Windowsの「ネットワークロケーション認識」機能により、システムは、アダプターが起動または停止するたびに、msftncsi.comへのDNSクエリとHTTP接続を確立しますが、その結果は記録されません。

ラップトップにすべてのWindowsUpdateがある場合、またはインターネットに接続されたことがある場合、MicrosoftはIPアドレスをどこかに記録している可能性がありますが、法執行機関に強制されることなく情報を渡すだけではありません。

万が一に備えて、システムのイベントビューアを見ることができますが、何も見つからないと思います。

2
LawrenceC

ノートパソコンが盗まれたとのことでごめんなさい

  1. そのログが存在するかどうかはわかりません
  2. License Crawlerをダウンロードして、Windowsライセンスキー(おそらく偽造キー)を見つけます http://www.klinzmann.name/files/licensecrawler.Zip
  3. そのSOBを取得する可能性は、質問1のIPアドレスを持っているか、ラップトップに指紋を持っている場合です(できれば、彼/彼女は手袋を着用していませんでした)。
0
chmod

コンピューターがどのように使用されたかについての手がかりを探して、誰がそれを使用したかを知ることができます。しかし、彼らが行ったのが再インストール/再フォーマットだけだった場合、うまくいく手がかりはほとんどないでしょう。手がかりには、インターネットの履歴、インストール時にソフトウェアパッケージに入力された名前(Microsoft Office製品を初めて実行するときに必要な名前やイニシャルなど)が含まれます。

0
Dan