Das Programm besitzt wenig Funktionalität beim Remote-Scannen aber ausgezeichnete Fähigkeiten beim Scannen auf lokalen Systemen. Zum Überprüfen lokaler Systeme müssen Sie das Tool mit dem Parameter -local aufrufen.

portqry -local(Aufzählung aller benutzten lokalen Ports und deren Zuordnung zur PID; dadurch sehen Sie schnell, welche Anwendungen offene Netzwerkverbindungen haben.)

portqry -local -wport 80

(Überwachen der Statusänderung für einen bestimmten lokalen Port oder eine bestimmte PID - hier Port 80.)

Diesem Befehl veranlasst PortQry, alle auf Port 80 lauschenden Anwendungen anzuzeigen. Ist dies ein Microsoft IIS (Internet Information Server), meldet das Tool einen W3SVC-Dienst in lauschendem Zustand und weitere vom W3SVC-Dienst benutzte Ports wie den Port 443 für HTTP Secure (HTTPS).

Das Programm läuft in der Command-Shell weiter und berichtet über alle sich ändernden Aktivitäten auf den Ports.

portqry -local -wpid PID(Beobachtung einer speziellen Anwendung;)

PID bezeichnet die PID der Anwendung. Durch das Betrachten einer PID lässt sich sehr leicht die Netzwerkaktivität einer neuen Anwendung überwachen.

Beispiel Ports des Windows Messenger (WM): Die ausführbare Datei des WM trägt die Bezeichnung msmsgs.exe. Sie wird gestartet (oder zuvor überprüft, ob vielleicht das Icon des WM bereits im System Tray angezeigt wird) und anschließend der Task Manager aufgerufen.

Im Register Prozesse müssen Sie darauf achten, dass die Spalte PID angezeigt wird. Ist diese Spalte nicht sichtbar, können Sie sie im Task Manager über das Menü Ansicht / Spalten auswählen ... und dort durch Markieren des Kästchens vor PID (Prozess-ID) in das Register Prozesse integrieren.

Über das Menü Ansicht bringt der Windows-Task-Manager zusätzliche Spalten zur Anzeige.

Suchen Sie nun den Prozess mit dem Namen msmsgs und notieren Sie dessen PID. Öffnen Sie anschließend ein weiteres Befehlszeilenfenster und starten Sie Portqry mit dem Parameter -wpid und der eben festgestellten PID.

Der Prozess mit der PID 2400 wartet auf dem UDP-Port 1127. PortQry zeigt diese Information so lange, bis das Dienstprogramm eine Veränderung feststellt (Überprüfung erfolgt jede Minute). Meldet sich ein Benutzer auf dem WM an, gibt das Tool automatisch eine Zusammenstellung der neuen Aktivitäten an die Kommand-Shell zurück.

Zusätzlich müssen Sie beachten, dass der WM diese Verbindung mit einer Remote-IP-Adresse (207.46.107.118) initiiert hat, die der zu msgr.hotmail.com gehörenden IP-Adresse entspricht. Dies ist ein Teil des WM-Netzwerks.

Beim Senden einer Instant Message geschieht folgendes: PortQry zeigt zwei neue geöffnete Sockets an. (Ein Socket ist die Kombination von einem Port mit einer Remote-IP-Adresse.) Die neuen Sockets sind ein anderer TCP Ziel-Port (1863), und ein neuer TCP Ziel-Port 80. Der TCP-Port 80 wird für http verwendet und zeigt an, dass der WM auf einen Remote-Webserver zugreift, wenn eine Instant Message gesendet wird. Nach ein paar Minuten der Inaktivität endet die TCP-Sitzung und es ist zu sehen, dass nur noch die beiden ursprünglichen Ports geöffnet bleiben. Durch den gemeinsamen Einsatz von Task Manager und Portqry lassen sich damit Aktivitäten bestimmter Anwendungen beobachten und die benutzten Ports genau unterscheiden.