在互联网得到广泛应用的同时，信息安全问题也是饱受诟病。这其中，存在着使用TCP/IP协议族安插木马、捆绑程序和植入恶意代码窃取用户本地磁盘文件的行为。这些行为给个人、企业和国家都带来了极为恶劣的后果。信息的安全防护问题也日益严峻的摆在我们面前。目前国内研究的现状更多的在于文件被盗之后，如何取证，并且提出了一系列的取证方法。在实时性和后续处理能力上有待商榷。本文在分析了部分盗取木马源码，自发的构建文件发出行为，详细分析文件流出数据包的内容，综合归纳文件流出时基本特征的基础上，提出了一种从网卡处着手，基于数据包协议分析的文件流出捕获方法。通过对捕获的数据包旁路式分析监听，层层拆包，最后在应用层中，根据不同的协议类型，导入自建分析模型，从而在文件流出过程中实时的捕获该类行为。最后逆向分析，进一步识别出文件名称、文件位置和流向目标IP。从而完成整个的文件流出捕获行为。之后综合了这一思路和模型，设计了在Windows平台运行的网络窃取文件行为的捕获处理系统。该系统捆绑于USB存储设备，即插即用，实时动态的监控并捕获文件流出行为，及时交付用户判断处理，同时根据发出进程级别设计了不同的阻断处理方法，供用户选择使用。根据用户选择，设置黑白名单，同时提供多种模式，让用户在安全性能和网络速度上，得到自己最优方案。最后，经过测试和检验，该系统能够实时的捕获绝大多数的明文传输窃取行为，在及时处理之后，能够阻断本次窃取，同时能够有效地规避再次被盗的风险。它既能找出传输木马，阻断结束运行，也能够识别被盗文件，加强防护措施。较好的实现了对网络渠道窃取文件行为的监控和处理。