Would this work in the idea that I would eventually see some odd ip address?
In generale, sì. Se il malware comunica attivamente, sarai in grado di catturare il traffico e alla fine concludere quali server sta contattando (e leggere il traffico se non è crittografato).
Il problema con il tuo approccio è che puoi solo confermare che c'è del malware se fai scopri qualcosa. Il contrario non è vero. La backdoor potrebbe rimanere inattiva per una quantità arbitraria di tempo. Inoltre, è probabile che tu non riconosca il traffico dannoso in quanto tale:
Una backdoor intelligente può essere progettata per inviare traffico solo se altri processi stanno comunicando contemporaneamente. Ad esempio, se stai navigando sul Web, è davvero difficile sezionare tutte le connessioni per tutte le risorse caricate. La tua backdoor potrebbe semplicemente imitare una richiesta a un'immagine ospitata su un server AWS apparentemente insicuro e sarebbe difficile per te dire se la richiesta provenisse dal tuo browser o dalla backdoor. Inoltre, è possibile che il malware eluda il rilevamento utilizzando protocolli apparentemente non correlati, ad es. DNS o ICMP. Infine, il malware comunica spesso su TLS e dovrai essere in grado di decifrare il traffico per conclusioni definitive su cosa sta succedendo.
Quindi catturare tutto il traffico porterà solo a una conclusione partendo dal presupposto che il malware stia comunicando attivamente e che tu sia in grado di riconoscere il traffico dalla backdoor come tale.