Volatility3 MCP 服务器

介绍

Volatility3 MCP Server 是一款功能强大的工具，它将 Claude Desktop 等 MCP 客户端与先进的内存取证框架 Volatility3 连接起来。这种集成允许 LLM 通过简单的对话界面分析内存转储、检测恶意软件并执行复杂的内存取证任务。

这解决了什么问题

内存取证是一个复杂的领域，通常需要专业知识和命令行技能。本项目通过以下方式弥补了这一差距：

• 允许非专家通过自然语言进行记忆取证
• 使 LLM 能够直接分析内存转储并提供见解
• 自动化通常需要多个手动步骤的常见取证工作流程
• 使内存取证更加便捷和用户友好

特征

• 内存转储分析：使用各种插件分析 Windows 和 Linux 内存转储
• 进程检查：列出正在运行的进程，检查其详细信息并识别可疑活动
• 网络分析：检查网络连接以检测命令和控制服务器
• 跨平台支持：适用于 Windows 和 Linux 内存转储（即将推出 macOS 支持）
• 恶意软件检测：使用YARA 规则扫描内存以识别已知的恶意软件签名

演示

演示视频

配置

1. 克隆此存储库：
2. 创建虚拟环境：
   python -m venv environ source environ/bin/activate
3. 安装所需的依赖项：
   pip install -r requirements.txt

您可以通过两种方式使用此项目：

选项 1：使用 Claude Desktop

4. 配置Claude桌面：
   • 转到Claude -> Settings -> Developer -> Edit Config -> claude_desktop_config.json并添加以下内容
     { "mcpServers": { "volatility3": { "command": "absolute/path/to/virtual/environment/bin/python3", "args": [ "absolute/path/to/bridge_mcp_volatility.py" ] } } }
5. 重新启动 Claude Desktop 并开始分析内存转储。

选项 2：使用游标（SSE 服务器）

4. 启动 SSE 服务器：
   python3 start_sse_server.py
5. 配置 Cursor 以使用 SSE 服务器：
   • 打开光标设置
   • 导航至Features -> MCP Servers
   • 添加一个新的 MCP 服务器，URL 为http://127.0.0.1:8080/sse
6. 在代理模式下使用 Cursor Composer 并开始分析内存转储。

可用工具

• 初始化内存转储文件：设置用于分析的内存转储文件
• detect_os ：识别内存转储的操作系统
• list_plugins ：显示所有可用的 Volatility3 插件
• get_plugin_info ：获取有关特定插件的详细信息
• run_plugin ：使用自定义参数执行任何 Volatility3 插件
• get_processes ：列出内存转储中所有正在运行的进程
• get_network_connections ：查看系统中的所有网络连接
• list_process_open_handles ：检查进程访问的文件和资源
• scan_with_yara ：使用 YARA 规则扫描内存中是否存在恶意模式

贡献

欢迎贡献代码！欢迎提交 Pull 请求。