Volatility3 MCP 服务器
介绍
Volatility3 MCP 服务器是一款功能强大的工具,它将 Claude Desktop 等 MCP 客户端与先进的内存取证框架 Volatility3 连接起来。这种集成允许 LLM 通过简单的对话界面分析内存转储、检测恶意软件并执行复杂的内存取证任务。
Related MCP server: ODBC MCP Server
这解决了什么问题
内存取证是一个复杂的领域,通常需要专业知识和命令行技能。本项目通过以下方式弥补了这一差距:
允许非专家通过自然语言进行记忆取证
使 LLM 能够直接分析内存转储并提供见解
自动化通常需要多个手动步骤的常见取证工作流程
使内存取证更加便捷和用户友好
特征
内存转储分析:使用各种插件分析 Windows 和 Linux 内存转储
进程检查:列出正在运行的进程,检查其详细信息并识别可疑活动
网络分析:检查网络连接以检测命令和控制服务器
跨平台支持:适用于 Windows 和 Linux 内存转储(即将推出 macOS 支持)
恶意软件检测:使用YARA 规则扫描内存以识别已知的恶意软件签名
演示
您还可以在此处找到有关此工具的详细介绍。
配置
克隆此存储库:
创建虚拟环境:
python -m venv environ source environ/bin/activate安装所需的依赖项:
pip install -r requirements.txt
您可以通过两种方式使用此项目:
选项 1:使用 Claude Desktop
配置Claude桌面:
转到
Claude->Settings->Developer->Edit Config->claude_desktop_config.json并添加以下内容{ "mcpServers": { "volatility3": { "command": "absolute/path/to/virtual/environment/bin/python3", "args": [ "absolute/path/to/bridge_mcp_volatility.py" ] } } }
重新启动 Claude Desktop 并开始分析内存转储。
选项 2:使用游标(SSE 服务器)
启动 SSE 服务器:
python3 start_sse_server.py配置 Cursor 以使用 SSE 服务器:
打开光标设置
导航至
Features->MCP Servers添加一个新的 MCP 服务器,URL 为
http://127.0.0.1:8080/sse
在代理模式下使用 Cursor Composer 并开始分析内存转储。
可用工具
初始化内存转储文件:设置用于分析的内存转储文件
detect_os :识别内存转储的操作系统
list_plugins :显示所有可用的 Volatility3 插件
get_plugin_info :获取有关特定插件的详细信息
run_plugin :使用自定义参数执行任何 Volatility3 插件
get_processes :列出内存转储中所有正在运行的进程
get_network_connections :查看系统中的所有网络连接
list_process_open_handles :检查进程访问的文件和资源
scan_with_yara :使用 YARA 规则扫描内存中是否存在恶意模式
贡献
欢迎贡献代码!欢迎提交 Pull 请求。
This server cannot be installed
Resources
Looking for Admin?
Admins can modify the Dockerfile, update the server description, and track usage metrics. If you are the server author, to access the admin panel.