Volatility3 MCP 服务器
介绍
Volatility3 MCP 服务器是一款功能强大的工具,它将 Claude Desktop 等 MCP 客户端与先进的内存取证框架 Volatility3 连接起来。这种集成允许 LLM 通过简单的对话界面分析内存转储、检测恶意软件并执行复杂的内存取证任务。
Related MCP server: ODBC MCP Server
这解决了什么问题
内存取证是一个复杂的领域,通常需要专业知识和命令行技能。本项目通过以下方式弥补了这一差距:
允许非专家通过自然语言进行记忆取证
使 LLM 能够直接分析内存转储并提供见解
自动化通常需要多个手动步骤的常见取证工作流程
使内存取证更加便捷和用户友好
特征
内存转储分析:使用各种插件分析 Windows 和 Linux 内存转储
进程检查:列出正在运行的进程,检查其详细信息并识别可疑活动
网络分析:检查网络连接以检测命令和控制服务器
跨平台支持:适用于 Windows 和 Linux 内存转储(即将推出 macOS 支持)
恶意软件检测:使用YARA 规则扫描内存以识别已知的恶意软件签名
演示
您还可以在此处找到有关此工具的详细介绍。
配置
克隆此存储库:
创建虚拟环境:
python -m venv environ source environ/bin/activate安装所需的依赖项:
pip install -r requirements.txt
您可以通过两种方式使用此项目:
选项 1:使用 Claude Desktop
配置Claude桌面:
转到
Claude->Settings->Developer->Edit Config->claude_desktop_config.json并添加以下内容{ "mcpServers": { "volatility3": { "command": "absolute/path/to/virtual/environment/bin/python3", "args": [ "absolute/path/to/bridge_mcp_volatility.py" ] } } }
重新启动 Claude Desktop 并开始分析内存转储。
选项 2:使用游标(SSE 服务器)
启动 SSE 服务器:
python3 start_sse_server.py配置 Cursor 以使用 SSE 服务器:
打开光标设置
导航至
Features->MCP Servers添加一个新的 MCP 服务器,URL 为
http://127.0.0.1:8080/sse
在代理模式下使用 Cursor Composer 并开始分析内存转储。
可用工具
初始化内存转储文件:设置用于分析的内存转储文件
detect_os :识别内存转储的操作系统
list_plugins :显示所有可用的 Volatility3 插件
get_plugin_info :获取有关特定插件的详细信息
run_plugin :使用自定义参数执行任何 Volatility3 插件
get_processes :列出内存转储中所有正在运行的进程
get_network_connections :查看系统中的所有网络连接
list_process_open_handles :检查进程访问的文件和资源
scan_with_yara :使用 YARA 规则扫描内存中是否存在恶意模式
贡献
欢迎贡献代码!欢迎提交 Pull 请求。