🚀 Volatility3 MCP 服务器
Volatility3 MCP 服务器是一款强大的工具,它将 MCP 客户端(如 Claude Desktop)与高级内存取证框架 Volatility3 相连接。借助该工具,通过简单的对话式界面,LLM 就能分析内存转储、检测恶意软件并执行复杂的内存取证任务,极大地提升了内存取证的效率和便捷性。
🚀 快速开始
配置步骤
- 克隆此仓库。
- 创建虚拟环境:
python -m venv environ source environ/bin/activate - 安装所需的依赖项:
pip install -r requirements.txt
使用方式
您可以通过两种方式使用此项目:
选项 1:与 Claude Desktop 一起使用
- 配置 Claude Desktop:
- 转到
Claude->设置->开发者->编辑配置->claude_desktop_config.json,并添加以下内容{ "mcpServers": { "volatility3": { "command": "绝对路径/to/virtual/environment/bin/python3", "args": [ "绝对路径/to/bridge_mcp_volatility.py" ] } } }
- 转到
- 重启 Claude Desktop 并开始分析内存转储。
选项 2:与 Cursor(SSE 服务器)一起使用
- 启动 SSE 服务器:
python3 start_sse_server.py - 配置 Cursor 以使用 SSE 服务器:
- 打开 Cursor 设置
- 导航到
功能->MCP 服务器 - 添加一个新的 MCP 服务器,其 URL 为
http://127.0.0.1:8080/sse
- 使用 Cursor Composer 的代理模式并开始分析内存转储。
✨ 主要特性
- 内存转储分析:使用各种插件分析 Windows 和 Linux 内存转储。
- 进程检查:列出运行中的进程,查看其详细信息并识别可疑活动。
- 网络分析:检查网络连接以发现命令与控制服务器。
- 跨平台支持:支持 Windows 和 Linux 内存转储(macOS 即将推出)。
- 恶意软件检测:使用 YARA 规则对内存进行扫描以识别已知恶意软件签名。
📚 详细文档
解决的问题
内存取证是一个复杂且通常需要专业知识和命令行技能的领域。此项目解决了以下问题:
- 允许非专家通过自然语言进行内存分析。
- 使 LLM 能够直接分析内存转储并提供见解。
- 自动化通常需要多个手动步骤的常见取证工作流程。
- 提高内存取证的易用性和可访问性。
演示
您也可以在此处找到一个关于此工具的详细演示。
可用工具
- initialize_memory_file:设置用于分析的内存文件。
- detect_os:识别内存转储的操作系统。
- list_plugins:显示所有可用的 Volatility3 插件。
- get_plugin_info:获取特定插件的详细信息。
- run_plugin:使用自定义参数执行任何 Volatility3 插件。
- get_processes:列出内存转储中的所有运行进程。
- get_network_connections:查看系统的所有网络连接。
- list_process_open_handles:检查进程打开的句柄和访问的文件等资源。
- scan_with_yara:使用 YARA 规则对内存进行恶意模式扫描。
🤝 贡献
欢迎任何贡献!请随意提交 Pull Request。