Winforensics MCP

WindowsフォレンジックMCPサーバーは、Linux環境向けに設計された包括的なデジタルフォレンジックツールキットです。純粋なPythonライブラリを使用してWindowsシステムの痕跡をネイティブで解析し、Windowsツールに依存しません。EVTXログ、レジストリ、実行痕跡、ファイルシステム、ユーザー活動、ネットワークフォレンジック、マルウェア検出、API監視キャプチャ分析などの機能を提供し、リモート収集と高度な調査コーディネーターをサポートしています。

セキュリティ開発者ツール #Windowsフォレンジック #Linuxツールキット #デジタル調査 #マルウェア分析 .Python

スコア : 2.5ポイント

ダウンロード数 : 3.4K

更新時間 : 2026-03-13

サイトを開く

Windows Forensics MCP Serverとは？

Windows Forensics MCP Serverは、Linux環境向けに特別に設計されたWindowsデジタルフォレンジックとイベントレスポンスのツールキットです。調査担当者は、Linuxシステム上で直接Windowsシステムのフォレンジックデータを分析および解析でき、Windowsツールや依存関係をインストールする必要はありません。このツールは純粋なPythonライブラリで実装されており、イベントログ、レジストリ、実行痕跡、ユーザー活動など、さまざまなWindowsフォレンジックアーティファクトを処理できます。

Windows Forensics MCP Serverの使い方は？

このツールはMCPサーバーとして動作し、ClaudeなどのAIアシスタントを通じて対話できます。WindowsのフォレンジックイメージをLinuxシステムにマウントし、その中のデータをこのツールで分析できます。ツールには高度な調査コーディネーターが備わっており、複数のデータソースを自動的に関連付け、複雑な調査問題に回答できます。

適用シーン

ネットワークセキュリティイベントレスポンス、デジタルフォレンジック調査、マルウェア分析、内部脅威調査などのシーンに適しています。特にLinux環境でWindowsシステムの証拠を分析する必要がある調査担当者に適しています。

主要機能

コアフォレンジック機能

Windowsイベントログ(EVTX)、レジストリ(SAM、SYSTEM、SOFTWAREなど)を解析し、WinRMを通じたリモート証拠収集をサポートします。

実行痕跡分析

PEファイル、Prefetch実行証拠、Amcacheハッシュ記録、SRUMアプリケーションリソース使用データを分析します。

ファイルシステムフォレンジック

MFTメインファイルテーブル、USN変更ログを解析し、統一されたタイムラインを構築します。

ユーザー活動分析

ブラウザ履歴、LNKショートカット、ShellBagsフォルダーナビゲーション履歴、RecentDocs最近のドキュメント記録を分析します。

ネットワークフォレンジック

PCAP/PCAPNGネットワークキャプチャファイルを解析し、ネットワークセッション、DNSクエリ、HTTPリクエストを分析します。

API監視分析

API Monitorのキャプチャファイルを解析し、プロセス注入、クレデンシャルダンプなどの攻撃パターンを検出します。26,944個のWindows API定義を含みます。

マルウェア検出

718個のYARAルールを使用してAPT、ランサムウェア、Webshellなどの脅威を検出し、VirusTotal脅威情報を統合し、Detect It Easyによる加殻検出を行います。

調査コーディネーター

高度なツールが複数のデータソースを自動的に関連付けます：investigate_execution、investigate_user_activity、hunt_ioc、build_timeline

利点

純粋なLinux環境で動作し、Windowsツールに依存しません

純粋なPythonで実装されており、デプロイとメンテナンスが容易です

高度な調査コーディネーターを提供し、複数のデータソースを自動的に関連付けます

複数の脅威情報源(YARA、VirusTotal)を統合しています

リモート証拠収集をサポートしています(WinRM経由)

豊富なAPI監視分析機能を備えています

制限

基本的なLinuxコマンドライン知識が必要です

一部の機能には外部ツール(Detect It Easyなど)が必要です

VirusTotalの無料版にはAPI呼び出し制限があります

Windowsの証拠をLinuxシステムにマウントする必要があります

使い方

ツールのインストール

uvパッケージマネージャーを使用してWindows Forensics MCP Serverをインストールします。

Claude CLIに追加する

MCPサーバーをClaudeコマンドラインインターフェイスに追加します。

フォレンジックデータの準備

WindowsのフォレンジックイメージをLinuxシステムにマウントします。例えば、/mnt/evidenceディレクトリにマウントします。

調査を開始する

Claudeを通じてMCPサーバーと対話し、高度なコーディネーターを使用して調査を行います。

使用例

例1: 疑わしいバイナリファイルの実行を調査する

mimikatz.exeが感染したシステム上で実行されたかどうかを調査します。

例2: 脅威指標を検索する

すべてのフォレンジックアーティファクトの中から特定のSHA1ハッシュ値を検索します。

例3: ユーザー活動を分析する

特定のユーザーのシステム上での活動を調査します。

例4: ネットワークキャプチャを分析する

PCAPファイル内の疑わしいネットワーク活動を分析します。

よくある質問

このツールを使用するためにWindowsライセンスが必要ですか？

VirusTotal APIキーをどのように取得しますか？

Detect It Easyとは何ですか？どのようにインストールしますか？

このツールはどのWindowsバージョンをサポートしていますか？

Eric Zimmermanツールの出力をどのようにインポートしますか？

🚀 Windows Forensics MCP Server

LinuxからのWindows DFIR - Windowsツールに一切依存せず、Linux環境専用に設計された包括的なフォレンジックツールキットです。純粋なPythonライブラリを使用してWindowsアーティファクトをネイティブに解析します。

✨ 主な機能

コアフォレンジック

カテゴリ	機能
EVTXログ	フィルタリング、検索、および事前構築されたセキュリティクエリを使用してWindowsイベントログを解析
レジストリ	SAM、SYSTEM、SOFTWARE、SECURITY、NTUSER.DATハイブを分析
リモート収集	WinRM（パスワードまたはパス・ザ・ハッシュ）を介してアーティファクトを収集

実行アーティファクト

カテゴリ	機能
PE分析	ハッシュ（MD5/SHA1/SHA256/imphash）、インポート、エクスポート、パッカー検出による静的分析
プリフェッチ	実行回数、タイムスタンプ、ロードされたファイルによる実行証拠
Amcache	Amcache.hveからのSHA1ハッシュと初回検出タイムスタンプ
SRUM	SRUDB.datからのアプリケーションリソース使用量、CPU時間、ネットワークアクティビティ

ファイルシステムアーティファクト

カテゴリ	機能
MFT	タイムスタンプ改ざん検出付きのマスターファイルテーブル解析
USNジャーナル	ファイル操作の変更履歴と削除されたファイルの回復
タイムライン	MFT、USN、プリフェッチ、Amcache、EVTXからの統一タイムライン

ユーザーアクティビティ

カテゴリ	機能
ブラウザ	Edge、Chrome、Firefoxの履歴とダウンロード
LNKファイル	最近アクセスしたファイルのWindowsショートカット分析
ShellBags	疑わしいパス検出付きのフォルダナビゲーション履歴
RecentDocs	レジストリベースの最近のドキュメント追跡

ネットワークフォレンジック

カテゴリ	機能
PCAP分析	PCAP/PCAPNGファイルを解析 - 会話、DNSクエリ、HTTPリクエスト、疑わしい接続

APIモニターキャプチャ分析

カテゴリ	機能
APMX解析	API Monitorのキャプチャ（.apmx64/.apmx86）を解析 - プロセスメタデータ、API呼び出し抽出、パラメータ値
パターン検出	キャプチャされたAPI呼び出しシーケンスから注入、中空化、クレデンシャルダンピングなどの攻撃パターンをMITRE ATT&CKマッピングで検出
ハンドル相関	呼び出し間でハンドル値を追跡して攻撃チェーンを再構築（OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> CreateRemoteThread）
注入分析	強化された注入チェーンの詳細を抽出：ターゲットPID/プロセス、シェルコードサイズ、割り当てアドレス、手法分類
API知識ベース	パラメータシグネチャ、DLLマッピング、およびカテゴリブラウジング付きの26,944のWindows API定義

マルウェア検出

カテゴリ	機能
YARAスキャン	signature-baseの718のルール - APT、ランサムウェア、ウェブシェル、ハックツール
VirusTotal	ハッシュ/IP/ドメインの評判をキャッシュとレート制限付きで照会（無料版対応）
DiE統合	Detect It Easyを介してパッカー（UPX、Themida、VMProtect）、コンパイラ、.NET、インストーラーを検出

オーケストレーター

ツール	機能
`investigate_execution`	プリフェッチ + Amcache + SRUMを相関させて「このバイナリは実行されたか？」という質問に答える
`investigate_user_activity`	ブラウザ + ShellBags + LNK + RecentDocsを相関させてユーザーアクティビティのタイムラインを作成
`hunt_ioc`	すべてのアーティファクトソースでIOC（ハッシュ/ファイル名/IP/ドメイン）を検索 + オプションのYARAスキャン
`build_timeline`	複数のソースから統一フォレンジックタイムラインを作成

ユーティリティ

ツール	機能
`ingest_parsed_csv`	Eric ZimmermanツールのCSV出力（MFTECmd、PECmd、AmcacheParser）をインポート

📦 インストール

前提条件

# uv（高速Pythonパッケージマネージャー）をインストール
curl -LsSf https://astral.sh/uv/install.sh | sh
source ~/.bashrc

# Python 3.10以上がインストールされていることを確認
python3 --version

PyPIからインストール

uv tool install winforensics-mcp

ソースからインストール

git clone https://github.com/x746b/winforensics-mcp.git
cd winforensics-mcp

# uvでインストール（推奨）
uv sync

# またはすべてのオプション機能を含めてインストール
uv venv && source .venv/bin/activate
uv pip install -e ".[all]"

検証

uv run python -m winforensics_mcp.server
# エラーなく起動するはず（Ctrl+Cで終了）

Claude CLIへの追加

PyPIからインストールした場合

claude mcp add winforensics-mcp --scope user -- uv run winforensics-mcp

ソースからインストールした場合

claude mcp add winforensics-mcp \
  --scope user \
  -- uv run --directory /path/to/winforensics-mcp python -m winforensics_mcp.server

検証:

claude mcp list
# winforensics-mcpが表示されるはず

LLM統合 (CLAUDE.md)

AIによるフォレンジック分析を行うには、ケースディレクトリにを含めてください。これにより以下の機能が提供されます:

オーケストレーター優先のガイダンス - LLMが低レベルのパーサーよりも高レベルのツールを使用することを保証
トークン効率 - 適切なツール選択によりAPIコストを50%以上削減
調査ワークフロー - 一貫した分析のためのステップバイステップの方法論

使用方法

CLAUDE.mdをケースディレクトリにコピーします:

cp /path/to/winforensics-mcp/CLAUDE.md /your/case/directory/
# CLAUDE.md内のパスをケースに合わせて編集

LLMは自動的にオーケストレーター優先のアプローチをたどります:

質問	使用されるオーケストレーター
"malware.exeは実行されましたか？"	`investigate_execution`
"ユーザーは何をしましたか？"	`investigate_user_activity`
"このハッシュをすべての場所で探してください"	`hunt_ioc`
"インシデントのタイムラインを作成してください"	`build_timeline`

💻 使用例

このバイナリは実行されましたか？

/mnt/evidenceのシステムでmimikatz.exeが実行されたかどうかを調査します

investigate_executionオーケストレーターはプリフェッチ、Amcache、およびSRUMを確認します:

{
  "target": "mimikatz.exe",
  "execution_confirmed": true,
  "confidence": "HIGH",
  "evidence": [
    {"source": "Prefetch", "finding": "3回実行され、最後は2024-03-15T14:23:45Z"},
    {"source": "Amcache", "finding": "SHA1: abc123..., 初回検出: 2024-03-14T09:00:00Z"},
    {"source": "SRUM", "finding": "ネットワーク: 15.2 MB送信; フォアグラウンド: 47秒"}
  ]
}

すべてのアーティファクトでIOCを検索

/mnt/evidenceでハッシュ204bc44c651e17f65c95314e0b6dfee586b72089を検索します

hunt_iocツールはプリフェッチ、Amcache、SRUM、MFT、USN、ブラウザ、EVTX、およびオプションでYARAを検索します:

{
  "ioc": "204bc44c651e17f65c95314e0b6dfee586b72089",
  "ioc_type": "sha1",
  "found": true,
  "sources_with_hits": ["Amcache", "MFT"],
  "findings": [
    {"source": "Amcache", "matches": 1, "details": "bloodhound.exe"},
    {"source": "MFT", "matches": 1, "details": "Users\\Admin\\Downloads\\bloodhound.exe"}
  ]
}

📚 詳細ドキュメント

オーケストレーター（高レベル調査）

ツール	説明
`investigate_execution`	プリフェッチ/Amcache/SRUMを相関させてバイナリの実行を証明
`investigate_user_activity`	ブラウザ/ShellBags/LNK/RecentDocsを相関させてユーザーアクティビティを調査
`hunt_ioc`	すべてのアーティファクトでIOC（ハッシュ/ファイル名/IP/ドメイン）を検索; `yara_scan=True`でYARA脅威インテリジェンスを追加
`build_timeline`	複数のアーティファクトソースから統一タイムラインを作成

実行アーティファクト

ツール	説明
`file_analyze_pe`	静的PE分析 - ハッシュ、インポート、エクスポート、パッカー検出
`disk_parse_prefetch`	実行証拠のためにプリフェッチを解析
`disk_parse_amcache`	Amcache.hveからSHA1ハッシュとタイムスタンプを解析
`disk_parse_srum`	SRUDB.datからアプリケーションリソースとネットワーク使用量を解析

マルウェア検出 (YARA)

ツール	説明
`yara_scan_file`	718のYARAルール（Mimikatz、CobaltStrike、ウェブシェル、APT、ランサムウェア）でファイルをスキャン
`yara_scan_directory`	マルウェアのためにディレクトリを一括スキャン
`yara_list_rules`	利用可能/バンドルされたYARAルールをリスト表示

脅威インテリジェンス (VirusTotal)

ツール	説明
`vt_lookup_hash`	VirusTotalでファイルハッシュ（MD5/SHA1/SHA256）を照会
`vt_lookup_ip`	IPアドレスの評判と地理的位置を取得
`vt_lookup_domain`	ドメインの評判と分類を取得
`vt_lookup_file`	ファイルハッシュを計算してVirusTotalで照会

ネットワークフォレンジック (PCAP)

ツール	説明
`pcap_get_stats`	PCAP統計を取得 - パケット数、プロトコル、上位トーカー
`pcap_get_conversations`	バイト数付きでTCP/UDP会話を抽出
`pcap_get_dns`	DNSクエリと応答を抽出
`pcap_get_http`	URL、メソッド、ユーザーエージェント付きでHTTPリクエストを抽出
`pcap_search`	パケットペイロードを文字列または正規表現パターンで検索
`pcap_find_suspicious`	C2インジケーター、ビーコニング、DNSトンネリングを検出

APIモニターキャプチャ分析 (APMX)

ツール	説明
`apmx_parse`	.apmx64/.apmx86キャプチャを解析 - プロセス情報、モジュール、呼び出し回数
`apmx_get_calls`	フィルタリング、ページネーション、および時間範囲サポート付きでAPI呼び出しを抽出
`apmx_get_call_details`	パラメータ値、戻り値、タイムスタンプ付きの詳細レコード
`apmx_detect_patterns`	MITRE ATT&CK IDで攻撃パターン（注入、中空化、クレデンシャルダンピング）を検出
`apmx_correlate_handles`	API呼び出し間でハンドルの生成元/消費元チェーンを追跡
`apmx_get_injection_info`	強化された注入チェーンを抽出（ターゲットPID、シェルコードサイズ、手法）
`apmx_get_calls_around`	特定のレコードの周辺の呼び出しのコンテキストウィンドウ
`apmx_search_params`	すべてのレコードで特定のパラメータ値を検索
`api_analyze_imports`	パターン検出とMITRE ATT&CKマッピング付きの完全なPEインポート分析
`api_detect_patterns`	PEインポートテーブルから攻撃パターンを検出
`api_lookup`	Windows APIシグネチャを照会（パラメータ、DLL、カテゴリ付きの26,944のAPI）
`api_search_category`	カテゴリ（例: "プロセス注入", "ファイル管理"）でAPIをブラウズ

パッカー検出 (DiE)

ツール	説明
`die_analyze_file`	ファイルのパッカー、コンパイラ、プロテクター、.NETを分析
`die_scan_directory`	パックされた実行可能ファイルのためにディレクトリを一括スキャン
`die_get_packer_info`	パッカーに関する情報（難易度、アンパックツール）を取得

ファイルシステム

ツール	説明
`disk_parse_mft`	タイムスタンプ改ざん検出付きで$MFTを解析
`disk_parse_usn_journal`	ファイル操作と削除されたファイルのために$Jを解析

ユーザーアクティビティ

ツール	説明
`browser_get_history`	Edge/Chrome/Firefoxの履歴とダウンロードを解析
`user_parse_lnk_files`	ターゲットパスのためにWindowsショートカットを解析
`user_parse_shellbags`	フォルダナビゲーション履歴のためにShellBagsを解析

イベントログ

ツール	説明
`evtx_list_files`	ディレクトリ内のEVTXファイルをリスト表示
`evtx_get_stats`	イベント数、時間範囲、イベントID分布を取得
`evtx_search`	フィルター（時間、イベントID、キーワード）で検索
`evtx_security_search`	事前構築されたセキュリティイベント検索（ログオン、プロセス作成など）
`evtx_attack_summary`	迅速なトリアージのためのコンパクトなTSV要約 - イベントごとに1行、攻撃に関連する列のみ
`evtx_explain_event_id`	イベントIDの説明を取得

レジストリ

ツール	説明
`registry_get_key`	特定のキーと値を取得
`registry_search`	パターンで値を検索
`registry_get_persistence`	起動キーとサービスを取得
`registry_get_users`	SAMからユーザーアカウントを取得
`registry_get_usb_history`	USBデバイスの履歴を取得
`registry_get_system_info`	OSバージョン、ホスト名、タイムゾーンを取得
`registry_get_network`	ネットワーク構成を取得

ユーティリティ

ツール	説明
`ingest_parsed_csv`	Eric ZimmermanのCSV出力（MFTECmd、PECmd、AmcacheParser、SrumECmd）をインポート
`forensics_list_important_events`	チャネルごとの重要なイベントIDをリスト表示
`forensics_list_registry_keys`	カテゴリごとのフォレンジックレジストリキーをリスト表示

リモート収集

ツール	説明
`remote_collect_artifacts`	WinRM（パスワードまたはパス・ザ・ハッシュ）を介してアーティファクトを収集
`remote_get_system_info`	リモートシステムの情報を取得

設定

VirusTotal APIキー

# オプション1: 環境変数
export VIRUSTOTAL_API_KEY="your-api-key-here"

# オプション2: 設定ファイル
mkdir -p ~/.config/winforensics-mcp
echo "your-api-key-here" > ~/.config/winforensics-mcp/vt_api_key

無料のAPIキーはvirustotal.comで取得できます。無料版は1分あたり4回のリクエストに制限されており、クライアントはレート制限を処理し、結果を24時間キャッシュします。

トラブルシューティング

DiE (Detect It Easy) が見つからない場合

# Debian/Ubuntu
sudo apt install detect-it-easy

# またはhttps://github.com/horsicq/DIE-engine/releasesからダウンロード

MCPサーバーを削除する場合

claude mcp remove winforensics-mcp --scope user

📄 ライセンス

クレジット: Rohitab Batra (API Monitor), Neo23x0/signature-base (YARAルール), horsicq/DIE-engine (Detect It Easy)

MITライセンス | xtk | DFIRコミュニティ向けに構築。Windowsは不要 >)

Edgeone Pages MCP Server

EdgeOne Pages MCPは、MCPプロトコルを通じてHTMLコンテンツをEdgeOne Pagesに迅速にデプロイし、公開URLを取得するサービスです。

Claude Desktop用に設計されたGmail自動認証MCPサーバーで、自然言語でのやり取りによるGmailの管理をサポートし、メール送信、ラベル管理、一括操作などの完全な機能を備えています。

Context7 MCPは、AIプログラミングアシスタントにリアルタイムのバージョン固有のドキュメントとコード例を提供するサービスで、Model Context Protocolを通じてプロンプトに直接統合され、LLMが古い情報を使用する問題を解決します。

百度マップMCPサーバーは国内初のMCPプロトコルに対応した地図サービスで、地理コーディング、ルート計画など10個の標準化されたAPIインターフェースを提供し、PythonとTypescriptでの迅速な接続をサポートし、エージェントに地図関連の機能を実現させます。

GitLab MCPサーバーは、Model Context Protocolに基づくプロジェクトで、GitLabアカウントとのやり取りに必要な包括的なツールセットを提供します。コードレビュー、マージリクエスト管理、CI/CD設定などの機能が含まれます。

UnityMCPはUnityエディターのプラグインで、モデルコンテキストプロトコル (MCP) を実装し、UnityとAIアシスタントのシームレスな統合を提供します。リアルタイムの状態監視、リモートコマンドの実行、ログ機能が含まれます。

26.5K

5ポイント

Magic MCP

Magic Component Platform (MCP) はAI駆動のUIコンポーネント生成ツールで、自然言語での記述を通じて、開発者が迅速に現代的なUIコンポーネントを作成するのを支援し、複数のIDEとの統合をサポートします。

JavaScript

19.7K

5ポイント

Sequential Thinking MCP Server

MCPプロトコルに基づく構造化思考サーバーで、思考段階を定義することで複雑な問題を分解し要約を生成するのに役立ちます。

Python

30.0K

4.5ポイント

智啓未来、あなたの人工知能ソリューションシンクタンク

English 简体中文繁體中文にほんご

Winforensics MCP

概要

コンテンツ詳細

代替品

Windows Forensics MCP Serverとは？

Windows Forensics MCP Serverの使い方は？

適用シーン

主要機能

使い方

使用例

よくある質問

関連リソース

インストール

🚀 Windows Forensics MCP Server

関連プロジェクト

✨ 主な機能

コアフォレンジック

実行アーティファクト

ファイルシステムアーティファクト

ユーザーアクティビティ

ネットワークフォレンジック

APIモニターキャプチャ分析

マルウェア検出

オーケストレーター

ユーティリティ

📦 インストール

前提条件

PyPIからインストール

ソースからインストール

検証

Claude CLIへの追加

LLM統合 (CLAUDE.md)

使用方法

💻 使用例

このバイナリは実行されましたか？

すべてのアーティファクトでIOCを検索

📚 詳細ドキュメント

オーケストレーター（高レベル調査）

実行アーティファクト

マルウェア検出 (YARA)

脅威インテリジェンス (VirusTotal)

ネットワークフォレンジック (PCAP)

APIモニターキャプチャ分析 (APMX)

パッカー検出 (DiE)

ファイルシステム

ユーザーアクティビティ

イベントログ

レジストリ

ユーティリティ

リモート収集

設定

VirusTotal APIキー

トラブルシューティング

DiE (Detect It Easy) が見つからない場合

MCPサーバーを削除する場合

📄 ライセンス

代替品