Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante
Pero si el troyano estaba encryptado se vera en texto plano? Decian que el Bifrost sin encryptar se veia clarisimo, pero Spynet y esos ya no, y menos encryptado para los 2 por eso te pregunto.
Una vez que conoces la ip del que intenta crear la conexion, hay programas para saber su no-ip si lo tiene actualizado claro, sabiendo el no-ip con un ping ya sabes la ip, pero yo digo hacer lo contrario, he bajado programas pero ninguno funciona, conocen alguno que funcione 100% ?