Pokud má být backdoor k něčemu dobrý, tak musí být dostupný a to:

1) má neustále navázané spojení někam
během pár hodin by to bylo odhaleno

2) periodicky kontroluje nějaký cíl
to už by trvalo déle, ale i to by bylo odhaleno (záleží na frekvenci kontrol)

3) má otevřený přístup nějakým způsobem z venku a očekává spojení
Tohle by eventuelně bylo obtížené zjistit (v případě správně nastaveného firewallu by to neodhalil ani port-scan), ale zase by to vyžadovalo, aby permanentně dával vědět, na jaké adrese se nachází (viz. 2), v okamžiku, kdy mu předřadim jiný firewall, nebo NAT, pak je to totálně nepoužitelné.