捆绑文件：实现这发条件首先要控制端和服务端已通过木建立连接，然后控制端用用工件将木文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木被删除了，只要运行捆绑了木的应用程序，木又会被安装上去了。

3.自动播放式：自动播放本是用于光盘的，当一个电影光盘到光驱时，系统会自动播放里面的内容，这就是自动播放的本意，播放什么是由光盘中的autorf文件指定的，修改autorf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了盘与u盘，在u盘或盘的分区，创建autorf文件，并在open中指定木程序，这样，当你打开盘分区或u盘时，就会发木程序的运行。

木作者还在不断寻找“可乘之机”这里只是举例，又有不断的自启动的地方被挖掘来。

木运行过程木被激活后，内存，并开启事先定义的木端，准备与控制端建立连接。这时服务端用可以在ms-dos方式下，键s查看端状态，一般个人电脑在脱机状态下是不会有端开放的，如果有端开放，你就要注意是否染木了。下面是电脑染木后，用命令查看端的两个实例：其中1是服务端与控制端建立连接时的显示状态，2是服务端与控制端还未建立连接时的显示状态。

在上网过程中要下载件，发送信件，网上聊天等必然打开一些端，下面是一些常用的端：（1）1---1024之间的端：这些端叫保留端，是专给一些对外通讯的程序用的，如ftp使用21，smtp使用25，pop3使用110等。只有很少木会用保留端作为木端的。

1025以上的连续端：在上网浏览网站时，浏览会打开多个连续的端下载文字，图片到本地盘上，这些端都是1025以上的连续端。

3）4000端：这是oicq的通讯端。

4）6667端：这是irc的通讯端。除上述的端基本可以排除在外，如发现还有其它端打开，尤其是数值比较大的端，那就要怀疑是否染了木，当然如果木有定制端的功能，那任何端都有可能是木端。

「四.信息」

一般来说，设计成熟的木都有一个信息反馈机制。所谓信息反馈机制是指木成功安装后会收集一些服务端的件信息，并通过e-mail，irc或ico的方式告知控制端用。

从反馈信息中控制端可以知服务端的一些件信息，包括使用的作系统，系统目录，盘分区况，系统令等，在这些信息中，最重要的是服务端ip，因为只有得到这个参数，控制端才能与服务端建立连接，的连接方法我们会在下一节中讲解。