bence;

* saldırı gelen herhangi bi ip'in pc'si incelenir.
* zararlı exe dosya bulunur ve incelenir.
* hangi server ipi üzerinde barındığı tespit edilir.
* ipin who.is'inde bulunan abuse mailinden server sahibinin bilgileri istenir.

böyle bulunuyor olmalı