Debemos buscar en el dispositivo información sensible, analizar los puertos y servicios… Así podremos conocer si existen conexiones a servidores o equipos no contralados, tanto de forma directa como inversa. Además, al ver los servicios maliciosos podremos tener pistas sobre posibles aplicaciones que hayan iniciado dichos servicios.