Volatility3 MCP 服务器

简介

Volatility3 MCP 服务器是一个强大的工具，它将 MCP 客户端（如 Claude Desktop）与高级内存取证框架 Volatility3 连接起来。这种集成允许 LLM 分析内存转储、检测恶意软件，并通过简单的对话界面执行复杂的内存取证任务。

解决的问题

内存取证是一个复杂的领域，通常需要专业的知识和命令行专业技能。本项目通过以下方式弥合了这一差距：

• 允许非专业人士通过自然语言执行内存取证
• 使 LLM 能够直接分析内存转储并提供见解
• 自动化通常需要多个手动步骤的常见取证工作流程
• 使内存取证更易于访问和用户友好

特性

• 内存转储分析：使用各种插件分析 Windows 和 Linux 内存转储
• 进程检查：列出正在运行的进程，检查其详细信息，并识别可疑活动
• 网络分析：检查网络连接以检测命令和控制服务器
• 跨平台支持：适用于 Windows 和 Linux 内存转储（macOS 支持即将推出）
• 恶意软件检测：使用 YARA 规则扫描内存以识别已知的恶意软件签名

演示

演示视频

配置

1. 克隆此存储库：
2. 创建一个虚拟环境：

   python -m venv environ
   source environ/bin/activate
   

3. 安装所需的依赖项：

   pip install -r requirements.txt
   

您可以通过两种方式使用此项目：

选项 1：使用 Claude Desktop

4. 配置 Claude Desktop：
   • 转到 Claude -> Settings -> Developer -> Edit Config -> claude_desktop_config.json 并添加以下内容

        {
            "mcpServers": {
            "volatility3": {
                "command": "absolute/path/to/virtual/environment/bin/python3",
                "args": [
                "absolute/path/to/bridge_mcp_volatility.py"
                ]
            }
            }
        }
     

     
5. 重新启动 Claude Desktop 并开始分析内存转储。

选项 2：使用 Cursor (SSE Server)

4. 启动 SSE 服务器：

   python3 start_sse_server.py
   

5. 配置 Cursor 以使用 SSE 服务器：
   • 打开 Cursor 设置
   • 导航到 Features -> MCP Servers
   • 添加一个新的 MCP 服务器，URL 为 http://127.0.0.1:8080/sse
6. 在代理模式下使用 Cursor Composer 并开始分析内存转储。

可用工具

• initialize_memory_file：设置用于分析的内存转储文件
• detect_os：识别内存转储的操作系统
• list_plugins：显示所有可用的 Volatility3 插件
• get_plugin_info：获取有关特定插件的详细信息
• run_plugin：使用自定义参数执行任何 Volatility3 插件
• get_processes：列出内存转储中所有正在运行的进程
• get_network_connections：查看系统中的所有网络连接
• list_process_open_handles：检查进程访问的文件和资源
• scan_with_yara：使用 YARA 规则扫描内存中的恶意模式

贡献

欢迎贡献！请随时提交 Pull Request。