Volatility MCP 服务器

一个模型上下文协议 (MCP) 服务器，集成了 Volatility 3 内存取证框架与 Claude 和其他 MCP 兼容的 LLM。

为何重要

在印度，由于人口众多和网络犯罪率不断上升，数字取证调查人员面临着大量的案件积压。该工具通过以下方式帮助解决这一挑战：

• 允许调查人员使用简单的自然语言而不是复杂的命令来分析内存转储
• 降低执行内存取证所需的技术专业知识
• 通过自动化加速分析过程
• 帮助清理案件积压，并向司法系统提供更快的结果

通过使内存取证更易于访问，该工具可以显著减轻取证专家的负担，并改善整个印度的网络安全响应。

概述

该项目通过模型上下文协议 (MCP) 将 Volatility 3 框架强大的内存取证功能与大型语言模型 (LLM) 连接起来。它允许您通过将 Volatility 插件公开为 MCP 工具，直接由 Claude 或其他 MCP 兼容的 LLM 调用，从而使用自然语言执行内存取证分析。

特性

• 自然语言内存取证：要求 Claude 使用自然语言分析内存转储
• 进程分析：检查正在运行的进程、父子关系和隐藏进程
• 网络取证：识别内存转储中的网络连接
• 恶意软件检测：查找潜在的代码注入和其他恶意工件
• DLL 分析：检查加载的 DLL 和模块
• 文件对象：扫描内存中的文件对象
• 自定义插件：使用自定义参数运行任何 Volatility 插件
• 内存转储发现：自动查找目录中的内存转储

要求

• Python 3.10 或更高版本
• Volatility 3 框架
• Claude Desktop 或其他 MCP 兼容的客户端
• MCP Python SDK (mcp 包)

安装

1. 克隆此存储库：

   git clone https://github.com/yourusername/volatility-mcp-server.git
   

2. 安装所需的 Python 包：

   pip install mcp httpx
   

3. 在脚本中配置 Volatility 路径：

   • 打开 volatility_mcp_server.py 并更新 VOLATILITY_DIR 变量以指向您的 Volatility 3 安装路径。

4. 配置 Claude Desktop：

   • 打开您的 Claude Desktop 配置文件，该文件位于：
     • Windows: %APPDATA%\Claude\claude_desktop_config.json
     • macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
   • 添加服务器配置：

   {
     "mcpServers": {
       "volatility": {
         "command": "python",
         "args": [
           "/path/to/volatility_mcp_server.py"
         ],
         "env": {
           "PYTHONPATH": "/path/to/volatility3"
         }
       }
     }
   }
   

   • 将 /path/to/ 替换为文件的实际路径。

5. 重新启动 Claude Desktop 以应用更改。

用法

设置完成后，您可以简单地向 Claude 询问有关内存转储的自然语言问题：

• "列出 C:\path\to\dump.vmem 内存转储中的所有进程"
• "显示 C:\path\to\dump.vmem 中的网络连接"
• "运行 malfind 以检查内存转储中的代码注入"
• "进程 ID 4328 中加载了哪些 DLL？"
• "检查 C:\path\to\dump.vmem 中的隐藏进程"

可用工具

服务器将以下 Volatility 插件公开为 MCP 工具：

1. list_available_plugins - 显示您可以使用的所有 Volatility 插件
2. get_image_info - 提供有关内存转储文件的信息
3. run_pstree - 显示进程层次结构
4. run_pslist - 从进程列表中列出进程
5. run_psscan - 扫描进程，包括可能隐藏的进程
6. run_netscan - 显示内存转储中的网络连接
7. run_malfind - 检测潜在的代码注入
8. run_cmdline - 显示进程的命令行参数
9. run_dlllist - 列出进程加载的 DLL
10. run_handles - 显示文件句柄和其他系统句柄
11. run_filescan - 扫描内存中的文件对象
12. run_memmap - 显示特定进程的内存映射
13. run_custom_plugin - 使用自定义参数运行任何 Volatility 插件
14. list_memory_dumps - 查找目录中的内存转储

内存取证工作流程

此 MCP 服务器支持简化的内存取证工作流程：

1. 初始分类：

   • "显示 memory.vmem 中的进程树"
   • "列出 memory.vmem 中的所有网络连接"

2. 可疑进程调查：

   • "启动进程 1234 使用了什么命令行？"
   • "显示进程 1234 加载的所有 DLL"
   • "进程 1234 中打开了哪些文件句柄？"

3. 恶意软件搜寻：

   • "在 memory.vmem 上运行 malfind 以检查代码注入"
   • "显示具有不寻常父子关系的进程"
   • "在 memory.vmem 中查找隐藏进程"

故障排除

如果您遇到问题：

1. 路径问题：

   • 确保所有路径都是绝对路径，并在 Windows 路径中使用双反斜杠
   • 检查内存转储文件是否存在且可读

2. 权限问题：

   • 以管理员身份运行 Claude Desktop
   • 检查 Python 和 Volatility 目录是否具有正确的权限

3. Volatility 错误：

   • 确保 Volatility 3 本身可以正常工作
   • 尝试直接在命令行中运行相同的命令

4. MCP 错误：

   • 检查 Claude Desktop 日志中的 MCP 错误
   • 确保 MCP Python 包已正确安装

扩展

可以通过以下方式扩展此服务器：

1. 添加更多 Volatility 插件
2. 创建自定义分析工作流程
3. 与其他取证工具集成
4. 添加报告生成功能

许可证

MIT 许可证