(杀毒软件)怎么判断一个程序是木马

(杀毒软件)如何判断一个程序是木马？
关于木马，我的理解是：木马程序打开一个端口，可以让远程的主机连接木马程序，以此控制这个菜机。
（1）对于没有注入其他进程的木马程序，木马是一个单独的进程。
杀毒软件查看这个进程是不是打开端口，以此来判断这个程序是不是木马? 但是现在很多程序也要打开端口。这有怎么区分呢？

（2）对于注入到其他的进程的木马，杀毒软件又是怎么处理的？

谢谢各位的指点:)

------解决方案--------------------
我的理解是：
杀毒软件只能对已知木马进行识别，例如监听的端口号（行为），特征码等
有些杀毒软件在程序运行前或第一次运行前都要由用户确认，达到监控及推卸责任的目的
对于木马变种，即修改过特征的木马，没有办法在第一时间查出来，除非变种很傻
这也是杀毒软件必须经常更新病毒库的原因