Wenn man wissen möchte, was eine Software im Netzwerk eigentlich so treibt, kann man das sogar mit Bordmitteln schon erkennen. Ausserdem lassen sich viele einfachere Schadprogramme so sehr einfach entdecken.Jede Software zum Datenaustausch über ein Netzwerk verwendet eine Server- und eine Clientsoftware und benutzt dabei einen bestimmten Port (dt.: Anschluss). Auch ein Schadprogramm macht dies. Um sich die benutzten Ports anzeigen zu lassen, kann man in der Kommandozeile das Kommando netstat -an eingeben. Der Parameter a zeigt alles an, der Parameter n gibt statt Namen die Nummern aus. Hinter einem Server (auch Dienst genannt) steht dabei „abhören“ oder „listen“. Die Zuordnung von Ports zu Programmen erfordert allerdings etwas Recherche oder Erfahrung.

Zum schliessen eines Ports muss das zugehörige Programm abgeschaltet werden – dann kann die Funktion der Software natürlich nicht mehr genutzt werden! Ist zum Beispiel der Port 80 offen, dann läuft vermutlich ein Webserver. Beendet man das Webserverprogramm, ist der Port zu und es können keine Webseiten mehr ausgeliefert werden.

Alternativ kann man mittels Firewall den Zugriff auf den Port auch blockieren oder einschränken, ohne das Programm zu beenden.

Bessere Übersicht erhält man mit dem Werkzeug tcpview aus dem Sysinternals-Paket. Dort kann man verfolgen, welches Programm was im Netzwerk macht. Ruft man Beispielsweise eine Webseite auf, sieht man welche Server kontaktiert werden um Inhalte abzurufen. Bei einem eingebetteten Video von Youtube in diesem Blog wird also nicht nur unser Server, sondern auch der Server von Youtube kontaktiert (der dann auch sehen kann, woher der Aufruf kam). Aus diesem Grund können eingebaute Elemente wie Facebook-Knöpfe problematisch werden: bei jedem Seitenaufruf kann Facebook dann erkennen, wer was aufruft. Über Browser-Erweiterungen wie Adblock und Ghostery kann man seinen Browser allerdings dazu zwingen, solche Elemente nicht aufzurufen.