TCP Liumy:1135 202.130.239.223:http ESTABLISHED

　　TCP Liumy:1142 202.130.239.223:http ESTABLISHED

　　TCP Liumy:1162 W3I:netbios-ssn TIME_WAIT

　　TCP Liumy:1170 202.130.239.133:http TIME_WAIT

　　TCP Liumy:2103 Liumy:0 LISTENING

　　TCP Liumy:2105 Liumy:0 LISTENING

　　TCP Liumy:2107 Liumy:0 LISTENING

　　UDP Liumy:echo *:*

　　UDP Liumy:discard *:*

　　UDP Liumy:daytime *:*

　　UDP Liumy:qotd *:*

　　UDP Liumy:chargen *:*

　　UDP Liumy:epmap *:*

　　UDP Liumy:snmp *:*

　　UDP Liumy:microsoft-ds *:*

　　UDP Liumy:1027 *:*

　　UDP Liumy:1029 *:*

　　UDP Liumy:3527 *:*

　　UDP Liumy:4000 *:*

　　UDP Liumy:4001 *:*

　　UDP Liumy:1033 *:*

　　UDP Liumy:1148 *:*

　　UDP Liumy:netbios-ns *:*

　　UDP Liumy:netbios-dgm *:*

　　UDP Liumy:isakmp *:*

　　但是，黑客还是用种种手段躲避了这种侦察，就我所知的方法大概有两种，一种是合并端口法，也就是说，使用特殊的手段，在一个端口上同时绑定两个TCP或者UDP连接，这听起来不可思议，但事实上确实如此，而且已经出现了使用类似方法的程序，通过把自己的木马端口绑定于特定的服务端口之上，（比如80端口的HTTP，谁怀疑他会是木马程序呢？）从而达到隐藏端口的目地。另外一种办法，是使用ICMP（Internet Control Message Protocol）协议进行数据的发送,原理是修改ICMP头的构造，加入木马的控制字段，这样的木马，具备很多新的特点，不占用端口的特点，使用户难以发觉，同时，使用ICMP可以穿透一些防火墙，从而增加了防范的难度。之所以具有这种特点，是因为ICMP不同于TCP，UDP，ICMP工作于网络的应用层不使用TCP协议。关于网络层次的结构，下面给出图示：

　　

　　网络层次结构图

　　5、发送数据的组织方法

　　关于数据的组织方法，可以说是数学上的问题。关键在于传递数据的可靠性，压缩性，以及高效行。木马程序，为了避免被发现，必须很好的控制数据传输量，一个编制较好的木马，往往有自己的一套传输协议，那么程序上，到底是如何组织实现的呢？下面，我举例包装一些协议：

　　typedef struct{ //定义消息结构　　//char ip[20];

　　char Type; //消息种类[未结束]