木马程序包括控制端程序和被控制端程序两部分。一般来说，受攻击设备（也称“肉鸡”）感染木马程序后，植入的被控端程序在该设备上打开特定端口进行监听，当攻击者通过控制端程序向该端口提出连接请求时，被控端程序自动运行并应答该请求从而实现与控制端程序通信。如果受攻击设备感染的是反弹端口型木马，则植入的被控端程序会主动连接控制端的常用端口，以躲避防火墙的拦截。