窃密木马回传数据流量的检测方法和装置

本发明公开了一种窃密木马回传数据流量的检测方法和装置，属于信息安全领域。方法包括：基于预设的配置文件，实时监控各进程对敏感文件的读取以及实时Hook各进程对加密API的调用，并记录各进程的加密API调用信息；其中，配置文件含有待Hook的加密API和待监控的敏感文件，加密API调用信息至少包括加密API的调用顺序、各加密API的名称、参数和返回值；当读取的敏感文件超出设定阈值时，拦截该进程对外发送的数据包；基于该进程的加密API调用信息，对拦截的数据包进行逆向解密，以识别窃密木马窃取的敏感信息。本方案可以迅速解密数据包，并且通过监控敏感文件的读取，能够及时发现和阻止潜在的敏感信息泄露。