TCPViewer
TCPViewer: Die eindeutig bessere Alternative zu netstat. Es ist übersichtlicher, enthält den Dateipfad zu den Prozessen, die zu einer Verbindung aufgebaut wurden und mit dem kleinen Bruder TCPVCon kann man die Daten als .csv abspeichern.
IP-Verbindungen leuchten von Zeit zu Zeit farbig auf, um die Aufmerksamkeit des Users zu erregen:
grün: Frisch geöffnete endpoints
blau: Gerade geschlossene endpoints
gelb: endpoints haben den Status gewechselt.
Process Monitor
Eigentlich hat dieses Tool den Schwerpunkt auf Prozesse, ist jedoch das perfekte Tool, um Events so weit einzuschränken, um die Datei zu finden, die verdächtige IP Connections aufbaut.
Den Filter muss man um folgende beiden Entries erweitern:
Operation contains TCP Include Operation contains UDP Include
Nun filtert man nach und nach unverdächtige Prozesse raus (bsps.weise firefox.exe) bis die potenziellen Schadprozesse übersichtlicher sind.