Volatility3

🚀 Volatility3 MCP 服務器

Volatility3 MCP 服務器是一款強大的工具，它將 MCP 客戶端（如 Claude Desktop）與高級內存取證框架 Volatility3 連接起來。藉助這種集成，大型語言模型能夠分析內存轉儲、檢測惡意軟件，並通過簡單的對話界面執行復雜的內存取證任務。

🚀 快速開始

配置步驟

1. 克隆此倉庫。
2. 創建虛擬環境：

   python -m venv environ
   source environ/bin/activate
   

3. 安裝所需的依賴項：

   pip install -r requirements.txt
   

使用方式

您可以通過兩種方式使用此項目：

選項 1：與 Claude Desktop 一起使用

4. 配置 Claude Desktop：
   • 轉到 Claude -> 設置 -> 開發者 -> 編輯配置 -> claude_desktop_config.json 並添加以下內容

        {
            "mcpServers": {
            "volatility3": {
                "command": "絕對路徑到虛擬環境/bin/python3",
                "args": [
                "絕對路徑到/bridge_mcp_volatility.py"
                ]
            }
            }
        }
     

5. 重啟 Claude Desktop 並開始分析內存轉儲。

選項 2：與 Cursor（SSE 服務器）一起使用

4. 啟動 SSE 服務器：

   python3 start_sse_server.py
   

5. 配置 Cursor 使用 SSE 服務器：
   • 打開 Cursor 設置
   • 點擊 功能 -> MCP 服務器
   • 添加一個新的 MCP 服務器，其 URL 為 http://127.0.0.1:8080/sse
6. 使用 Cursor Composer 的代理模式開始分析內存轉儲。

✨ 主要特性

• 內存轉儲分析：使用各種插件分析 Windows 和 Linux 內存轉儲。
• 進程檢查：列出運行中的進程，查看其詳細信息並識別可疑活動。
• 網絡分析：檢查網絡連接以發現命令和控制服務器。
• 跨平臺支持：適用於 Windows 和 Linux 內存轉儲（macOS 支持即將推出）。
• 惡意軟件檢測：使用 YARA 規則掃描內存，識別已知惡意軟件簽名。

📚 詳細文檔

簡介

Volatility3 MCP 服務器將 MCP 客戶端（如 Claude Desktop）與 Volatility3 這個高級內存取證框架連接起來，使大型語言模型能夠通過簡單對話界面執行復雜的內存取證任務。

解決的問題

內存取證是一個複雜且需要專業知識和命令行操作的領域。此項目解決了以下問題：

• 允許非專家通過自然語言進行內存取證。
• 使大型語言模型能夠直接分析內存轉儲並提供見解。
• 自動化通常需要多個手動步驟的常見取證工作流程。
• 提高了內存取證的易用性和用戶友好性。

演示

演示視頻

您還可以在此處找到一個關於此工具的詳細演示。

可用工具

• initialize_memory_file：設置用於分析的內存轉儲文件。
• detect_os：識別內存轉儲的操作系統。
• list_plugins：顯示所有可用的 Volatility3 插件。
• get_plugin_info：獲取特定插件的詳細信息。
• run_plugin：使用自定義參數執行任何 Volatility3 插件。
• get_processes：列出內存轉儲中的所有運行進程。
• get_network_connections：查看系統中的所有網絡連接。
• list_process_open_handles：檢查進程訪問的文件和資源。
• scan_with_yara：使用 YARA 規則掃描內存中的惡意模式。

🤝 貢獻

歡迎貢獻！請隨時提交 Pull Request。