基本上所有的木马都是基于TCP/IP通讯的客户端/服务端结构的系统，服务端被安装后，会在被监控端打开一个监听端口等待客户端来连接，一般情况下，不 同的木马，默认打开的监听端口不同，所以，查看你电脑上打开的监听端口，可以判断你的电脑是否中了木马以及中了何种木马。
    辨认系统的默认端口
    电脑上1024以下的端口一般被固定分配给一些服务，这些端口以及和它对应和服务已经“家喻户晓，妇孺皆知”，所以这些端口有叫公认端口，例如80端口被 固定给Web服务，21端口被固定给FTP服务等，如果你的电脑安装并启用了这些服务，那么在你的电脑上这些端口应该是开放的。下面是常见的一些公认端 口。
    80端口：超文本传输协议中定义的端口，用来提供网页（WEB）服务；
    21端口：文件传输协议中定义的端口，用来提供文件的上传与下载服务；
    23端口：远程登录协议中定义的端口，用来提供远程维护服务；
    25端口：简单邮件传输协议中定义的端口，用来提供邮件的发送服务；
    110端口：邮件接受协议中定义的端口，用来提供邮件的接收服务。
    提示：还有一些端口在Windows安装好后就会自动打开，笔者对这些端口做了一次调查，调查中发现，几乎所有的Windows系统中都要开放135、137、138和139端口，另外，在Windows 2000及以上的系统中445端口也是开放的。
    1024以上的端口系统一般不固定给某个服务，它是动态分配的，因而这类端口又叫做动态端口（有些文章认为从1024到49151的端口比较固定地分配给 一些服务，因而它们把这些端口细分为“注册端口”，实际上，系统通常从1024起就开始动态分配端口了）。动态端口任何网络程序都可以使用，只要程序向系 统提出访问网络的申请，那么系统就可以从这些端口中分配一个供该程序使用，访问结束后，所占用的端口也会被释放，当有其它程序访问网络时，这些端口有可能 会被再次使用。需要指出的是，从理论上讲，动态端口不应用作服务端口，但是，还是有一部分正常程序和大多数木马程序的服务端固定使用了一个或几个这一范围 内的端口（大多数木马所使用的监听端口都可以自定义，这里所说的端口是指它默认的监听端口）监听网络。下面列出一些常用程序和已知木马默认的监听端口。
    3389端口：Windows的终端服务或远程桌面默认的监听端口；
    7626端口：木马冰河服务端默认的监听端口；
    7306端口：木马网络精灵（NetSpy）服务端默认的监听端口；