Как узнать PID процесса который создал коннект скажем на x.х.х.х:xxx, GetTcpTable() - даёт только информацию о соединения, но не говорит, кто их заделал. ВОт. В 2k/XP есть расширеный вариант этой функции, где есть PID'ы, а что делать с 9x??? Есть идеи?

я сам кидал подобный топик, но похоже под 9х дело мертвое...

ip helper
NetTool - http://www.madwizard.org/

Посмотри тут: http://rootkit.host.sk
там под NT/2K пример с исп. драйвера,а в win9x.. где-то я видел пример.Но можно через VXD,AtGuard же делал!

Попробуй хукнуть wsock32.dll!connect во всех процессах, а из хукающей процедуры сделать GetCurrentProcessId и сохранить PID куда-нибудь, например в файл.