Pode não ser possível fazer isso, a partir do pc infectado.
A maioria dos trojans, e certamente todos os rootkits, são sofisticados o suficiente para esconder sua própria existência e suas atividades de olhos curiosos. Você pode tentar usar TCPView , um instrumento de Mark Russinovich que exibe, apesar de seu nome, conexões abertas, tanto TCP e UDP. Ele não foi atualizado há algum tempo, e não está claro se ele é capaz de evitar as técnicas sofisticadas empregadas pelos rootkits para evitar a detecção.
O que você está propondo fazer é mais facilmente realizado interceptando o tráfego de um nó saudável ao longo do caminho. Por exemplo, especialistas em segurança permitem que as Máquinas Virtuais sejam infectadas e monitoram suas conexões do PC host não infectado. Ou, se você tiver um roteador que usa algo mais elaborado do que o firmware padrão (como por exemplo o firmware DD-WRT, OpenWRT ou Tomato), você pode fazer logon no roteador e usar ferramentas padrão ( wireshark e tcpdump ) para verificar o tráfego.
Você também deve estar ciente da possibilidade de que o tráfego seja criptografado (geralmente é), exatamente para dificultar que os especialistas em segurança criem contra-estratégias adequadas. Ainda assim, mesmo nesses casos, um uso de tcpdump / wireshark irá pelo menos fornecer uma lista de endereços IP a partir dos quais o trojan ou rootkit em questão está sendo controlado, e / ou a lista de possíveis alvos e / ou uma lista de outros PCs infectados, todas as informações valiosas.