尽管木马的隐蔽性很强，但木马的服务端都必须与控制端通过端口建立网络连接并接受指令，因此很多木马会主动侦听端口, 或者会连接特定的IP地址和端口。基于这一原理，我们可以先关闭所有连接网络的正常程序，然后检查网络连接情况，以此判断系统是否感染木马。

    具体步骤是，先关掉所有可能建立网络连接的软件，然后依次选择“开始/运行”,在“运行”窗口中输入“cmd”, 然后在DOS命名窗口中输入“netstat -an”，命令执行后就能看到所有和本机建立连接的IP地址以及本机侦听的端口, 它包含四个部分：Proto (连接协议)、Local Address(本地连接地址)、Foreign Address(外部连接地址)和State(当前端口状态)。如果在Foreign Address这一栏发现本机与陌生IP地址建立了网络连接，或者发现有非系统或常用软件占用的端口处于侦听状态，则系统极有可能已经感染木马，必须尽快查明是哪些程序占用了这些端口和网络连接。