Joesandboxmcp

🚀 Joe Sandbox MCP Server

Joe Sandbox MCP Server是一個用於和Joe Sandbox Cloud交互的模型上下文協議（MCP）服務器。該服務器具備Joe Sandbox豐富的分析和IOC提取能力，並且可以無縫集成到任何兼容MCP的應用程序中（例如Claude Desktop、Glama或自定義大語言模型代理）。

✨ 主要特性

• 靈活提交：提交本地文件、遠程URL、網站或命令行進行動態分析。
• IOC提取：獲取被丟棄文件、IP、域名和URL的入侵指標。
• 簽名檢測：從沙箱簽名中檢索並提取可操作的證據。
• 進程樹：可視化完整的執行層次結構，包括命令行和父子關係。
• 解包的PE文件：下載執行期間提取的內存中解包的二進制文件，這些文件通常會揭示運行時的有效負載。
• PCAP下載：檢索分析期間記錄的完整網絡流量捕獲（PCAP），以便進行離線檢查。
• 適合大語言模型的響應：所有結果都經過結構化處理，便於語言模型清晰地使用，包括截斷和相關過濾。

🚀 快速開始

通過uv安裝（推薦）

1. 克隆倉庫：

git clone https://github.com/joesecurity/joesandboxMCP.git
cd joesandboxMCP

2. 使用uv安裝依賴：

uv venv
uv pip install -e .

3. 啟動MCP服務器（請參閱下面的配置）

📚 詳細文檔

示例配置

{
  "mcpServers": {
    "JoeSandbox": {
      "command": "uv",
      "args": [
        "--directory",
        "/absolute/path/to/joesandboxMCP",
        "run",
        "main.py"
      ],
      "env": {
        "JBXAPIKEY": "your-jbxcloud-apikey",
        "ACCEPTTAC": "SET_TRUE_IF_YOU_ACCEPT"
      }
    }
  }
}

法律聲明

使用此與Joe Sandbox Cloud的集成需要接受Joe Security的條款和條件。

通過設置環境變量ACCEPTTAC=TRUE，您明確確認已閱讀並接受條款和條件。

可用工具

Joe Sandbox MCP服務器提供了廣泛的工具，可幫助您與沙箱報告進行交互、監控執行情況，並以大語言模型易於理解的格式提取威脅情報。

1. 提交分析：提交文件、URL、網站或命令行進行沙箱分析。您可以選擇等待結果，或者立即返回並稍後查看。支持各種選項，如互聯網訪問、腳本日誌記錄和存檔密碼。
2. 搜索過往分析：使用哈希值、文件名、檢測狀態、威脅名稱等查找歷史提交記錄。快速確定某個內容是否已經過分析。
3. 檢查提交狀態：獲取先前提交樣本的當前狀態和關鍵元數據。包括檢測結果、使用的系統和分析得分。
4. AI摘要：檢索沙箱AI生成的高級推理陳述。有助於用通俗易懂的語言理解複雜的行為。
5. 惡意丟棄文件：查看執行期間丟棄並被標記為惡意的文件。包括哈希值、文件名、源進程和檢測指標。 6 - 8. 網絡指標：顯示分析期間聯繫的域名、IP地址或URL。可以進行過濾，僅關注明顯惡意的項目或高置信度的檢測結果。包括IP解析、地理提示、通信上下文和檢測證據等詳細信息。
6. 行為檢測（簽名）：獲取執行期間觸發的關鍵行為檢測摘要。可以進行過濾，僅關注高影響的項目。
7. 進程樹：可視化執行期間運行的完整進程層次結構。顯示父子關係、命令行和終止信息。
8. 解包的二進制文件：檢索在內存中解包或解密的可執行文件。非常適合識別原始文件中不可見的有效負載。
9. 網絡流量（PCAP）：下載分析期間記錄的完整網絡數據包捕獲。適用於流量檢查、C2回調或域名/IP提取。
10. 近期活動：列出您最近的沙箱提交記錄，查看它們在哪些系統上運行、得分如何以及返回了什麼結果。
11. 內存轉儲：檢索運行時捕獲的原始內存轉儲。
12. 丟棄的文件：檢索分析期間丟棄的所有文件。

📄 許可證

本項目採用MIT許可證。