beh certo che se il "programma" è composto da molti moduli aventi nomi diversi puo' essere noioso risalire al colpevole (vedi symantec)
Il vero problema secondo me però nasce quando il programma in questione delega la connessione ad un altro programma che potrebbe essere lecito... e lì sono cavoli.

Per Outpost non ti so dire, lo avevo provato un bel po' di tempo fa. Mi ricordo che era molto dettagliato per quanto riguarda log e connessioni.