Volatility3 Mcp

Volatility3 Mcp

🚀 Volatility3 MCP 服务器

Volatility3 MCP 服务器是一款强大的工具,它将 MCP 客户端(如 Claude Desktop)与高级内存取证框架 Volatility3 相连接。借助该工具,通过简单的对话式界面,LLM 就能分析内存转储、检测恶意软件并执行复杂的内存取证任务,极大地提升了内存取证的效率和便捷性。

🚀 快速开始

配置步骤

  1. 克隆此仓库。
  2. 创建虚拟环境:
    python -m venv environ
    source environ/bin/activate
    
  3. 安装所需的依赖项:
    pip install -r requirements.txt
    

使用方式

您可以通过两种方式使用此项目:

选项 1:与 Claude Desktop 一起使用

  1. 配置 Claude Desktop:
    • 转到 Claude -> 设置 -> 开发者 -> 编辑配置 -> claude_desktop_config.json,并添加以下内容
         {
      "mcpServers": {
      "volatility3": {
      "command": "绝对路径/to/virtual/environment/bin/python3",
      "args": [
      "绝对路径/to/bridge_mcp_volatility.py"
      ]
      }
      }
      }
      
  2. 重启 Claude Desktop 并开始分析内存转储。

选项 2:与 Cursor(SSE 服务器)一起使用

  1. 启动 SSE 服务器:
    python3 start_sse_server.py
    
  2. 配置 Cursor 以使用 SSE 服务器:
    • 打开 Cursor 设置
    • 导航到 功能 -> MCP 服务器
    • 添加一个新的 MCP 服务器,其 URL 为 http://127.0.0.1:8080/sse
  3. 使用 Cursor Composer 的代理模式并开始分析内存转储。

✨ 主要特性

  • 内存转储分析:使用各种插件分析 Windows 和 Linux 内存转储。
  • 进程检查:列出运行中的进程,查看其详细信息并识别可疑活动。
  • 网络分析:检查网络连接以发现命令与控制服务器。
  • 跨平台支持:支持 Windows 和 Linux 内存转储(macOS 即将推出)。
  • 恶意软件检测:使用 YARA 规则对内存进行扫描以识别已知恶意软件签名。

📚 详细文档

解决的问题

内存取证是一个复杂且通常需要专业知识和命令行技能的领域。此项目解决了以下问题:

  • 允许非专家通过自然语言进行内存分析。
  • 使 LLM 能够直接分析内存转储并提供见解。
  • 自动化通常需要多个手动步骤的常见取证工作流程。
  • 提高内存取证的易用性和可访问性。

演示

演示视频

您也可以在此处找到一个关于此工具的详细演示。

可用工具

  • initialize_memory_file:设置用于分析的内存文件。
  • detect_os:识别内存转储的操作系统。
  • list_plugins:显示所有可用的 Volatility3 插件。
  • get_plugin_info:获取特定插件的详细信息。
  • run_plugin:使用自定义参数执行任何 Volatility3 插件。
  • get_processes:列出内存转储中的所有运行进程。
  • get_network_connections:查看系统的所有网络连接。
  • list_process_open_handles:检查进程打开的句柄和访问的文件等资源。
  • scan_with_yara:使用 YARA 规则对内存进行恶意模式扫描。

🤝 贡献

欢迎任何贡献!请随意提交 Pull Request。

  • 0 关注
  • 0 收藏,11 浏览
  • system 提出于 2025-09-30 02:27

相似服务问题