Volatility3 MCP 서버

소개

Volatility3 MCP 서버는 Claude Desktop과 같은 MCP 클라이언트를 고급 메모리 포렌식 프레임워크인 Volatility3와 연결하는 강력한 도구입니다. 이러한 통합을 통해 LLM은 간단한 대화형 인터페이스를 통해 메모리 덤프를 분석하고, 맬웨어를 탐지하고, 정교한 메모리 포렌식 작업을 수행할 수 있습니다.

이것이 해결하는 것

메모리 포렌식은 일반적으로 전문 지식과 명령줄 전문성을 요구하는 복잡한 분야입니다. 이 프로젝트는 다음과 같은 방법으로 이러한 간극을 메웁니다.

• 비전문가도 자연어를 통해 메모리 포렌식을 수행할 수 있도록 허용
• LLM이 메모리 덤프를 직접 분석하고 통찰력을 제공할 수 있도록 함
• 일반적으로 여러 수동 단계가 필요한 일반적인 포렌식 워크플로 자동화
• 메모리 포렌식을 보다 접근하기 쉽고 사용자 친화적으로 만들기

특징

• 메모리 덤프 분석 : 다양한 플러그인을 사용하여 Windows 및 Linux 메모리 덤프를 분석합니다.
• 프로세스 검사 : 실행 중인 프로세스를 나열하고, 세부 정보를 검토하고, 의심스러운 활동을 식별합니다.
• 네트워크 분석 : 네트워크 연결을 조사하여 명령 및 제어 서버를 감지합니다.
• 크로스 플랫폼 지원 : Windows 및 Linux 메모리 덤프와 함께 작동합니다(macOS 지원은 곧 제공될 예정입니다)
• 맬웨어 감지 : YARA 규칙 으로 메모리를 검사하여 알려진 맬웨어 시그니처를 식별합니다.

데모

데모 비디오

구성

1. 이 저장소를 복제하세요:
2. 가상 환경 만들기:지엑스피1
3. 필요한 종속성을 설치하세요:
   pip install -r requirements.txt

이 프로젝트는 두 가지 방법으로 사용할 수 있습니다.

옵션 1: Claude Desktop 사용

4. Claude Desktop 구성:
   • Claude -> Settings -> Developer -> Edit Config -> claude_desktop_config.json 으로 이동하여 다음을 추가합니다.
     { "mcpServers": { "volatility3": { "command": "absolute/path/to/virtual/environment/bin/python3", "args": [ "absolute/path/to/bridge_mcp_volatility.py" ] } } }
5. Claude Desktop을 재시작하고 메모리 덤프 분석을 시작합니다.

옵션 2: 커서 사용(SSE 서버)

4. SSE 서버를 시작합니다.
   python3 start_sse_server.py
5. SSE 서버를 사용하도록 커서를 구성합니다.
   • 커서 설정 열기
   • Features -> MCP Servers 로 이동합니다.
   • URL http://127.0.0.1:8080/sse 사용하여 새로운 MCP 서버를 추가합니다.
6. 에이전트 모드에서 커서 합성기를 사용하여 메모리 덤프 분석을 시작합니다.

사용 가능한 도구

• initialize_memory_file : 분석을 위한 메모리 덤프 파일을 설정합니다.
• detect_os : 메모리 덤프의 운영 체제를 식별합니다.
• list_plugins : 사용 가능한 모든 Volatility3 플러그인을 표시합니다.
• get_plugin_info : 특정 플러그인에 대한 자세한 정보를 가져옵니다.
• run_plugin : 사용자 정의 인수를 사용하여 Volatility3 플러그인을 실행합니다.
• get_processes : 메모리 덤프에서 실행 중인 모든 프로세스를 나열합니다.
• get_network_connections : 시스템의 모든 네트워크 연결을 확인합니다.
• list_process_open_handles : 프로세스가 액세스하는 파일 및 리소스를 조사합니다.
• scan_with_yara : YARA 규칙을 사용하여 악성 패턴을 메모리에서 스캔합니다.

기여하다

기여를 환영합니다! 풀 리퀘스트를 제출해 주세요.