🚀 Joe Sandbox MCP 服务器
Joe Sandbox MCP 服务器是一个模型上下文协议(MCP)服务器,用于与 Joe Sandbox Cloud 进行交互。该服务器充分利用了 Joe Sandbox 的丰富分析和 IOC 提取功能,并能无缝集成到任何兼容 MCP 的应用程序中(例如 Claude Desktop、Glama 或自定义大语言模型代理)。
✨ 主要特性
- 灵活提交:可提交本地文件、远程 URL、网站或命令行进行动态分析。
- IOC 提取:获取被丢弃文件、IP 地址、域名和 URL 的入侵指标。
- 签名检测:从沙箱签名中检索并提取可操作的证据。
- 进程树:可视化完整的执行层次结构,包括命令行以及父子关系。
- 解包 PE 文件:下载执行过程中提取的内存中解包二进制文件,这些文件通常能揭示运行时的有效负载。
- PCAP 下载:获取分析期间记录的完整网络流量捕获(PCAP),以便进行离线检查。
- 适合大语言模型的响应:所有结果都经过结构化处理,便于大语言模型清晰地使用,同时进行了截断和相关过滤。
🚀 快速开始
通过 uv 安装(推荐)
- 克隆仓库:
git clone https://github.com/joesecurity/joesandboxMCP.git
cd joesandboxMCP
- 使用
uv安装依赖项:
uv venv
uv pip install -e .
- 启动 MCP 服务器(请参阅下面的配置)
📚 详细文档
示例配置
{
"mcpServers": {
"JoeSandbox": {
"command": "uv",
"args": [
"--directory",
"/absolute/path/to/joesandboxMCP",
"run",
"main.py"
],
"env": {
"JBXAPIKEY": "your-jbxcloud-apikey",
"ACCEPTTAC": "SET_TRUE_IF_YOU_ACCEPT"
}
}
}
}
法律声明
使用此与 Joe Sandbox Cloud 的集成需要接受 Joe Security 的条款和条件。
通过设置环境变量 ACCEPTTAC=TRUE,您明确确认已阅读并接受 条款和条件。
可用工具
Joe Sandbox MCP 服务器提供了广泛的工具,可帮助您与沙箱报告进行交互、监控执行情况,并以大语言模型易于理解的格式提取威胁情报。
- 提交分析:提交文件、URL、网站或命令行进行沙箱分析。您可以选择等待结果,或者立即返回并稍后查看。支持诸如互联网访问、脚本日志记录和存档密码等各种选项。
- 搜索过往分析:使用哈希值、文件名、检测状态、威胁名称等查找历史提交记录。快速确定某个内容是否已经过分析。
- 检查提交状态:获取先前提交样本的当前状态和关键元数据。包括检测结果、使用的系统和分析得分。
- AI 摘要:检索沙箱 AI 生成的高级推理陈述。有助于用通俗易懂的语言理解复杂的行为。
- 恶意丢弃文件:查看执行期间丢弃并被标记为恶意的文件。包括哈希值、文件名、源进程和检测指标。 6 - 8. 网络指标:显示分析期间联系的域名、IP 地址或 URL。可以进行过滤,仅关注明显恶意的项目或高置信度的检测结果。包括 IP 解析、地理提示、通信上下文和检测证据等详细信息。
- 行为检测(签名):获取执行期间触发的关键行为检测摘要。可以进行过滤,仅关注高影响的项目。
- 进程树:可视化执行期间运行的完整进程层次结构。显示父子关系、命令行和终止信息。
- 解包二进制文件:检索在内存中解包或解密的可执行文件。非常适合识别原始文件中不可见的有效负载。
- 网络流量(PCAP):下载分析期间记录的完整网络数据包捕获。可用于流量检查、C2 回调或域名/IP 提取。
- 近期活动:列出您最近的沙箱提交记录,并查看它们在哪些系统上运行、得分情况以及返回的结果。
- 内存转储:检索运行时捕获的原始内存转储。
- 丢弃文件:检索分析期间丢弃的所有文件。
📄 许可证
本项目采用 MIT 许可证。