Для начала, когда они установят IP с которого было предполагаемое преступление, они смотрят с какой страны этот IP. Если не из твоей, то они в ходе COPM узнают IP адрес, который в заданном промежутке времени отправлял пакеты (те самые, зашифрованные, о которых я рассказывал в подзаголовке об VPN) на IP адрес, с которого было нарушение. Так, если правонарушение совершал неопытный пользователь, то против него уже на этом моменте появляется практически прямые улики. Дальше дело за малым - спросить логи у провайдера касательно подозреваемого, изучить их, и провести задержание.
Поднять свой vpn лучше всего, но тут вопрос уже о логах которые будет вести арендованный vps/vds