Your AI Assistant in Memory Forensics
这个仓库托管了一个用于 volatility3.x 的 MCP 服务器。
Gaffx
README
您的内存取证 AI 助手
概述
Volatility MCP 将 Volatility 3 强大的内存分析功能与 FastAPI 和模型上下文协议 (MCP) 无缝集成。体验无障碍的内存取证,pslist 和 netscan 等插件可以通过简洁的 REST API 访问,将内存工件直接连接到 AI 助手和 Web 应用程序。
特性
- Volatility 3 集成: 利用 Volatility 3 框架进行内存镜像分析。
- FastAPI 后端: 提供 RESTful API 来与 Volatility 插件交互。
- Web 前端支持(未来特性): 旨在与基于 Web 的前端连接,以进行交互式分析。
- 模型上下文协议 (MCP): 支持与 Claude Desktop 等 MCP 客户端进行标准化通信。
- 插件支持: 支持各种 Volatility 插件,包括用于进程列表的
pslist和用于网络连接分析的netscan。
架构
项目架构包括以下组件:
- MCP 客户端: 像 Claude Desktop 这样的 MCP 客户端,与 FastAPI 后端交互。
- FastAPI 服务器: 一个基于 Python 的服务器,将 Volatility 插件公开为 API 端点。
- Volatility 3: 执行分析的内存取证框架。
此架构允许用户通过像 Claude Desktop 这样的 MCP 客户端分析内存镜像。用户可以使用自然语言提示来执行内存取证分析,例如 显示内存镜像 x 中的进程列表,或显示所有建立的外部连接。
入门
前提条件
- 您的系统上安装了 Python 3.7+
- 安装了 Volatility 3 二进制文件(参见 Volatility 3 安装指南)并将其添加到名为 VOLATILITY_BIN 的 env 路径中
安装
-
克隆存储库:
git clone <repository_url> cd <repository_directory> -
安装所需的 Python 依赖项:
pip install -r requirements.txt -
启动 FastAPI 服务器以公开 Volatility 3 API:
uvicorn volatility_fastapi_server:app -
安装 Claude Desktop (参见 Claude Desktop)
-
要将 Claude Desktop 配置为 volatility MCP 客户端,请导航至 Claude → Settings → Developer → Edit Config,找到 claude_desktop_config.json 文件,并插入以下配置详细信息
-
请注意,config.json 文件中的
-i选项指定了您的内存镜像文件的目录路径。{ "mcpServers": { "vol": { "command": "python", "args": [ "/ABSOLUTE_PATH_TO_MCP-SERVER/vol_mcp_server.py", "-i", "/ABSOLUTE_PATH_TO_MEMORY_IMAGE/<memory_image>" ] } } }
或者,直接更新此文件:
/Users/YOUR_USER/Library/Application Support/Claude/claude_desktop_config.json
用法
- 如上所述启动 FastAPI 服务器。
- 将 MCP 客户端(例如,Claude Desktop)连接到 FastAPI 服务器。
- 通过询问有关范围内的内存镜像的问题来启动提示,例如显示正在运行的进程,为进程 x 创建树关系图,或显示所有外部 RFC1918 连接。
未来特性和增强功能
- 原生 Volatility Python 集成: 将 Volatility Python SDK 直接集成到代码库中,而不是子进程 volatility 二进制文件
- Yara 集成: 实现从内存中转储进程并使用 Yara 规则扫描它以进行恶意软件分析的功能。
- 多镜像分析: 启用同时分析多个内存镜像,以关联事件并识别不同系统中的模式。
- 添加更多 Volatility 插件: 添加更多 volatility 插件以扩大内存分析的范围
- GUI 增强: 开发一个用户友好的 Web 界面,用于交互式内存分析和可视化。
- 自动报告生成: 自动生成详细的报告,总结内存分析的结果。
- 高级威胁检测: 结合先进技术来检测内存中复杂的威胁和异常。
贡献
欢迎贡献!请按照以下步骤进行贡献:
- Fork 这个存储库。
- 创建一个新分支 (
git checkout -b feature/my-feature)。 - 提交您的更改 (
git commit -m 'Add some feature')。 - 推送到您的分支 (
git push origin feature/my-feature)。 - 打开一个 pull request。
推荐服务器
Crypto Price & Market Analysis MCP Server
一个模型上下文协议 (MCP) 服务器,它使用 CoinCap API 提供全面的加密货币分析。该服务器通过一个易于使用的界面提供实时价格数据、市场分析和历史趋势。 (Alternative, slightly more formal and technical translation): 一个模型上下文协议 (MCP) 服务器,利用 CoinCap API 提供全面的加密货币分析服务。该服务器通过用户友好的界面,提供实时价格数据、市场分析以及历史趋势数据。
MCP PubMed Search
用于搜索 PubMed 的服务器(PubMed 是一个免费的在线数据库,用户可以在其中搜索生物医学和生命科学文献)。 我是在 MCP 发布当天创建的,但当时正在度假。 我看到有人在您的数据库中发布了类似的服务器,但还是决定发布我的服务器。
mixpanel
连接到您的 Mixpanel 数据。 从 Mixpanel 分析查询事件、留存和漏斗数据。
Sequential Thinking MCP Server
这个服务器通过将复杂问题分解为顺序步骤来促进结构化的问题解决,支持修订,并通过完整的 MCP 集成来实现多条解决方案路径。
Nefino MCP Server
为大型语言模型提供访问德国可再生能源项目新闻和信息的能力,允许按地点、主题(太阳能、风能、氢能)和日期范围进行筛选。
Vectorize
将 MCP 服务器向量化以实现高级检索、私有深度研究、Anything-to-Markdown 文件提取和文本分块。
Mathematica Documentation MCP server
一个服务器,通过 FastMCP 提供对 Mathematica 文档的访问,使用户能够从 Wolfram Mathematica 检索函数文档和列出软件包符号。
kb-mcp-server
一个 MCP 服务器,旨在实现便携性、本地化、简易性和便利性,以支持对 txtai “all in one” 嵌入数据库进行基于语义/图的检索。任何 tar.gz 格式的 txtai 嵌入数据库都可以被加载。
Research MCP Server
这个服务器用作 MCP 服务器,与 Notion 交互以检索和创建调查数据,并与 Claude Desktop Client 集成以进行和审查调查。
Cryo MCP Server
一个API服务器,实现了模型补全协议(MCP),用于Cryo区块链数据提取,允许用户通过任何兼容MCP的客户端查询以太坊区块链数据。